Privileged Access Manager 설정 보기 및 내보내기

Privileged Access Manager 설정 뷰어는 조직, 폴더 또는 프로젝트의 Privileged Access Manager 설정을 볼 수 있습니다. Google Cloud CLI를 사용하여 프로그래매틱 방식으로 설정을 내보낼 수도 있습니다.

시작하기 전에

관리자에게 조직, 폴더 또는 프로젝트에 대해 다음 IAM 역할을 부여해 달라고 요청하여 권한 있는 액세스 관리자 설정을 보는 데 필요한 권한을 얻으세요.

  • 설정을 보려면 다음을 수행하세요. PAM 설정 뷰어 (roles/privilegedaccessmanager.settingsViewer)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 권한 있는 액세스 관리자 설정을 보는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

Privileged Access Manager 설정을 보려면 다음 권한이 필요합니다.

  • 설정을 보려면 다음 단계를 따르세요.
    • privilegedaccessmanager.settings.get
    • privilegedaccessmanager.settings.fetchEffective

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

설정 보기

콘솔

  1. Privileged Access Manager 페이지로 이동합니다.

    Privileged Access Manager로 이동

  2. Privileged Access Manager 설정을 보려는 조직, 폴더 또는 프로젝트를 선택합니다.

  3. 설정 탭을 클릭합니다.

설정 페이지에 선택한 리소스의 Privileged Access Manager 설정 세부정보가 표시됩니다.

gcloud

리소스에 대해 다음 설정을 볼 수 있습니다.

  • 리소스에 직접 설정된 개별 설정

  • 리소스에 설정되거나 상위 리소스에서 상속된 유효 설정

    리소스의 개별 설정 보기

    gcloud alpha pam settings describe 명령어를 사용하면 Privileged Access Manager 설정이 표시됩니다.

    아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

    • RESOURCE_TYPE: 선택사항. 설정을 가져오려는 리소스 유형입니다. organization, folder, project 값을 사용합니다.
    • RESOURCE_ID: RESOURCE_TYPE에 사용됩니다. 사용 권한을 관리하려는 Google Cloud프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.

    다음 명령어를 실행합니다.

    Linux, macOS 또는 Cloud Shell

    gcloud alpha pam settings describe \
    --location=global \
    -- RESOURCE_TYPE=RESOURCE_ID \

    Windows(PowerShell)

    gcloud alpha pam settings describe `
    --location=global `
    -- RESOURCE_TYPE=RESOURCE_ID `

    Windows(cmd.exe)

    gcloud alpha pam settings describe ^
    --location=global ^
    -- RESOURCE_TYPE=RESOURCE_ID ^

    다음과 비슷한 응답이 표시됩니다.

    createTime: '2025-05-18T10:10:10.101010101Z'
emailNotificationSettings:
  customNotificationBehavior:
    adminNotifications:
      grantActivated: ENABLED
      grantActivationFailed: DISABLED
      grantEnded: ENABLED
      grantExternallyModified: ENABLED
    approverNotifications:
      pendingApproval: ENABLED
    requesterNotifications:
      entitlementAssigned: ENABLED
      grantActivated: ENABLED
      grantExpired: ENABLED
      grantRevoked: ENABLED
etag: "ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md"
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings
serviceAccountApproverSettings:
  enabled: true
updateTime: '2025-05-18T10:10:10.101010101Z'

    리소스의 유효 설정 보기

    gcloud alpha pam settings describe-effective 명령어를 사용하면 Privileged Access Manager 설정이 표시됩니다.

    아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

    • RESOURCE_TYPE: 선택사항. 설정을 가져올 리소스 유형입니다. organization, folder, project 값을 사용합니다.
    • RESOURCE_ID: RESOURCE_TYPE에 사용됩니다. 사용 권한을 관리하려는 Google Cloud프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.

    다음 명령어를 실행합니다.

    Linux, macOS 또는 Cloud Shell

    gcloud alpha pam settings describe-effective \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID \

    Windows(PowerShell)

    gcloud alpha pam settings describe-effective `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID `

    Windows(cmd.exe)

    gcloud alpha pam settings describe-effective ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID ^

    다음과 비슷한 응답이 표시됩니다.

    emailNotificationSettings:
  customNotificationBehavior:
    adminNotifications:
      notifyGrantActivated: true
      notifyGrantActivationFailed: true
      notifyGrantEnded: true
      notifyGrantExternallyModified: true
    approverNotifications:
      notifyPendingApproval: true
    requesterNotifications:
      notifyEntitlementAssigned: true
      notifyEntitlementUpdated: true
      notifyGrantActivated: true
      notifyGrantActivationFailed: true
      notifyGrantEnded: true
      notifyGrantExpired: true
      notifyGrantExternallyModified: true
      notifyGrantRevoked: true
parent: RESOURCE_TYPE/RESOURCE_ID/locations/global
serviceAccountApproverSettings: {}

REST

리소스에 대해 다음 설정을 볼 수 있습니다.

  • 리소스에 직접 설정된 개별 설정

  • 리소스에 설정되거나 상위 리소스에서 상속된 유효 설정

    리소스의 개별 설정 보기

    Privileged Access Manager API의 getSettings 메서드는 Privileged Access Manager 설정을 확인합니다.

    요청 데이터를 사용하기 전에 다음을 바꿉니다.

    • SCOPE: 설정을 가져올 조직, 폴더 또는 프로젝트로, organizations/ORGANIZATION_ID, folders/FOLDER_ID 또는 projects/PROJECT_ID 형식입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.

    HTTP 메서드 및 URL: 

    GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings

    요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

    다음과 비슷한 JSON 응답이 표시됩니다.

    
{
  "createTime": "2025-05-18T10:10:10.101010101Z",
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "ENABLED",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "ENABLED"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "ENABLED",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": true
  },
  "updateTime": "2025-05-18T10:10:10.101010101Z"
}

    리소스의 유효 설정 보기

    Privileged Access Manager API의 fetchEffectiveSettings 메서드는 Privileged Access Manager 설정을 확인합니다.

    요청 데이터를 사용하기 전에 다음을 바꿉니다.

    • SCOPE: 설정을 가져올 조직, 폴더 또는 프로젝트로, organizations/ORGANIZATION_ID, folders/FOLDER_ID 또는 projects/PROJECT_ID 형식입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.

    HTTP 메서드 및 URL: 

    GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global:effectiveSettings

    요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

    다음과 비슷한 JSON 응답이 표시됩니다.

    {
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "notifyGrantActivated": "true",
        "notifyGrantActivationFailed": "true",
        "notifyGrantEnded": "true",
        "notifyGrantExternallyModified": "true"
      },
      "approverNotifications": {
        "notifyPendingApproval": "true"
      },
      "requesterNotifications": {
        "notifyEntitlementAssigned": "true",
        "notifyEntitlementUpdated": "true",
        "notifyGrantActivated": "true",
        "notifyGrantActivationFailed": "true",
        "notifyGrantEnded": "true",
        "notifyGrantExpired": "true",
        "notifyGrantExternallyModified": "true",
        "notifyGrantRevoked": "true"
      }
    }
  },
  "parent": "SCOPE/locations/global",
  "serviceAccountApproverSettings": {}
}

gcloud CLI를 사용하여 프로그래매틱 방식으로 설정 내보내기

gcloud alpha pam settings export 명령어는 특정 리소스의 설정을 검색하고 내보냅니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • FILENAME: 설정을 내보낼 파일 이름입니다.
  • RESOURCE_TYPE: 선택사항. 해당 리소스가 속한 리소스 유형입니다. organization, folder, project 값을 사용합니다.
  • RESOURCE_ID: RESOURCE_TYPE에 사용됩니다. 사용 권한을 관리하려는 Google Cloud프로젝트, 폴더, 조직의 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud alpha pam settings export \
    --destination=FILENAME.yaml \
    --location=global \
    -- RESOURCE_TYPE=RESOURCE_ID

Windows(PowerShell)

gcloud alpha pam settings export `
    --destination=FILENAME.yaml `
    --location=global `
    -- RESOURCE_TYPE=RESOURCE_ID

Windows(cmd.exe)

gcloud alpha pam settings export ^
    --destination=FILENAME.yaml ^
    --location=global ^
    -- RESOURCE_TYPE=RESOURCE_ID

다음과 비슷한 응답이 표시됩니다.

Exported [RESOURCE_TYPE/RESOURCE_ID/locations/global/settings] to FILENAME.yaml.

다음 단계