אתם יכולים לראות את הסטטוס וההיסטוריה של הרשאת גישה, או לבטל הרשאת גישה למשתמשים אחרים אם היא פעילה. היסטוריית ההרשאות זמינה למשך 30 יום אחרי סיום ההרשאה.
לפני שמתחילים
צריך לוודא שהפעלתם את Privileged Access Manager והגדרתם לו הרשאות.
צפייה בהרשאות באמצעות מסוף Google Cloud
כדי לראות מענק, פועלים לפי ההוראות הבאות:
עוברים לדף Privileged Access Manager.
בוחרים את הארגון, התיקייה או הפרויקט שבהם רוצים לראות את ההרשאות.
לוחצים על הכרטיסייה מענקים ואז על הכרטיסייה מענקים לכל המשתמשים. בכרטיסייה הזו מופיעות כל ההרשאות, מבקשי ההרשאות והסטטוס של ההרשאות. המענקים יכולים להיות באחד מהסטטוסים הבאים:
סטטוס תיאור הפעלה המענק נמצא בתהליך הפעלה. ההפעלה נכשלה לא הייתה אפשרות להעניק את התפקידים ב-Privileged Access Manager בגלל שגיאה שלא ניתן לתקן. פעיל ההרשאה פעילה ולחשבון המשתמש יש גישה למשאבים שהתפקידים מאפשרים. בהמתנה לאישור בקשת הגישה ממתינה להחלטה של גורם מאשר. נדחתה הבקשה למתן הרשאה נדחתה על ידי מאשר. הסתיים ההרשאה הסתיימה והתפקידים הוסרו מחשבון המשתמש. פג תוקף תוקף בקשת הגישה פג כי לא ניתן אישור תוך 24 שעות או עד למועד ההפעלה שנקבע. בוטל ההרשאה מבוטלת, ולחשבון הראשי אין יותר גישה למשאבים שהתפקידים מאפשרים. ביטול המענק נמצא בתהליך ביטול. מתוזמן ל- DATEהמענק מתוזמן ומופעל בזמן ההפעלה שנבחר, בתנאי שעד אז יתקבלו כל האישורים (אם נדרשים). מבצע משיכה… המענק נמצא בתהליך ביטול. בוטל עקב פרישה ההרשאה מבוטלת, ולחשבון המשתמש אין יותר גישה למשאבים שהתפקידים מאפשרים. תוויות סטטוס
בנוסף לסטטוסים האלה, למענקים יכולים להיות תוויות סטטוס שמוצגות לצד הסטטוס שלהם, שמציינות תנאים מיוחדים:
בוצע שינוי באמצעות IAM
הקישורים למדיניות IAM שמשויכים למענק הזה השתנו ישירות דרך IAM. פרטים על שינויים בהרשאות זמינים בדף IAM במסוףGoogle Cloud . כששוללים הרשאה ששונתה או שהיא מסתיימת, הכלי לניהול גישה עם הרשאות מיוחדות מסיר רק את הקישורים שהוא יצר ושלא שונו דרך IAM.
שינוי השם או הביטוי של תנאי IAM, או הסרת הגישה של מגיש הבקשה לתפקיד שהוקצה, נחשבים לשינוי חיצוני. הוספה או שינוי של תיאור תנאי IAM לא נחשבים לשינוי חיצוני.
הכלי Privileged Access Manager בודק אם בוצעו שינויים חיצוניים בהרשאות כל 5 דקות. יכול להיות שיחלפו עד 5 דקות עד שהשינויים יופיעו. יכול להיות שמערכת Privileged Access Manager לא תזהה שינויים זמניים שבוצעו והוחזרו במהלך חלון הזמן של 5 דקות.
בטבלה, לוחצים על סמל האפשרויות הנוספות באותה שורה של ההרשאה שרוצים לבדוק.
כדי לראות את פרטי המענק, כולל ההיסטוריה שלו, לוחצים על הצגת פרטים. אפשר גם לבטל הרשאה מהחלונית הזו.
כדי לבטל הרשאה פעילה, לוחצים על ביטול ההרשאה.
אפשר לראות את התפקידים שהוקצו באופן זמני גם בדף IAM במסוף Google Cloud . בכרטיסייה View by principals (תצוגה לפי חשבונות משתמשים), לתפקידים שהוקצו באופן זמני יש תנאי של Created by: PAM (נוצר על ידי: PAM).
צפייה במענקים באופן פרוגרמטי
כדי להציג מענקים באופן פרוגרמטי, אפשר לחפש אותם, להציג אותם ברשימה ולקבל אותם.
חיפוש מענקים
gcloud
הפקודה
gcloud alpha pam grants search
מחפשת הרשאה שיצרתם, ויכולה לאשר או לדחות אותה, או שהיא כבר אושרה או נדחתה. השיטה הזו לא דורשת הרשאות ספציפיות ב-Privileged Access Manager כדי להשתמש בה.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
ENTITLEMENT_ID: המזהה של ההרשאה שאליה שייכת ההענקה. אפשר לאחזר את המזהה על ידי צפייה בהרשאות. -
CALLER_RELATIONSHIP_TYPE: משתמשים באחד מהערכים הבאים:-
had-created: מחזירה את ההרשאות שהמתקשר יצר. -
had-approved: מחזירה את ההרשאות שהמבצע אישר או דחה. -
can-approve: מחזירה את ההרשאות שהמבצע יכול לאשר או לדחות.
-
-
RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערךorganization,folderאוproject. -
RESOURCE_ID: משמש עםRESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud alpha pam grants search \ --entitlement=ENTITLEMENT_ID \ --caller-relationship=CALLER_RELATIONSHIP_TYPE \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam grants search ` --entitlement=ENTITLEMENT_ID ` --caller-relationship=CALLER_RELATIONSHIP_TYPE ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam grants search ^ --entitlement=ENTITLEMENT_ID ^ --caller-relationship=CALLER_RELATIONSHIP_TYPE ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
אמורים לקבל תגובה שדומה לזו:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
באמצעות searchGrants ב-Privileged Access Manager API אפשר לחפש מענק שיצרתם, שאתם יכולים לאשר או לדחות, או שכבר אישרתם או דחיתם. השיטה הזו לא דורשת הרשאות ספציפיות ב-Privileged Access Manager כדי להשתמש בה.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
SCOPE: הארגון, התיקייה או הפרויקט שבהם נמצאת הזכאות, בפורמטorganizations/ORGANIZATION_ID,folders/FOLDER_IDאוprojects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012. -
ENTITLEMENT_ID: המזהה של ההרשאה שאליה שייכת ההענקה. אפשר לאחזר את המזהה על ידי צפייה בהרשאות. -
RELATIONSHIP_TYPE: הערכים התקפים הם:-
HAD_CREATED: מחזירה את ההרשאות שהמתקשר יצר. -
HAD_APPROVED: מחזירה מענקים שהמבצע אישר או דחה בעבר. -
CAN_APPROVE: מחזירה את ההרשאות שהמבצע יכול לאשר או לדחות.
-
-
FILTER: אופציונלי. הפונקציה מחזירה הרשאות שערכי השדות שלהן תואמים ל ביטוי AIP-160. -
PAGE_SIZE: אופציונלי. מספר הפריטים שיוחזרו בתשובה. -
PAGE_TOKEN: אופציונלי. מספר הדף שממנו רוצים להתחיל את התשובה, באמצעות טוקן דף שהוחזר בתשובה קודמת.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"grants": [
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin"
"id": "hwqrt_1"
}
]
}
},
"requestedPrivilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"entitlementRoleBindingId": "hwqrt_1"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
הצגת רשימת ההרשאות
gcloud
הפקודה gcloud alpha pam grants list מציגה רשימה של הרשאות ששייכות לזכאות ספציפית.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
ENTITLEMENT_ID: המזהה של ההרשאה שאליה שייכת ההענקה. אפשר לאחזר את המזהה על ידי צפייה בהרשאות. -
RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערךorganization,folderאוproject. -
RESOURCE_ID: משמש עםRESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud alpha pam grants list \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam grants list ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam grants list ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
אמורים לקבל תגובה שדומה לזו:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
ה-method listGrants ב-Privileged Access Manager API מפרטת את ההרשאות ששייכות לזכאות ספציפית.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
SCOPE: הארגון, התיקייה או הפרויקט שבהם נמצאת הזכאות, בפורמטorganizations/ORGANIZATION_ID,folders/FOLDER_IDאוprojects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012. -
ENTITLEMENT_ID: המזהה של ההרשאה שאליה שייכת ההענקה. אפשר לאחזר את המזהה על ידי צפייה בהרשאות. -
FILTER: אופציונלי. הפונקציה מחזירה הרשאות שערכי השדות שלהן תואמים ל ביטוי AIP-160. -
PAGE_SIZE: אופציונלי. מספר הפריטים שיוחזרו בתשובה. -
PAGE_TOKEN: אופציונלי. מספר הדף שממנו רוצים להתחיל את התשובה, באמצעות טוקן דף שהוחזר בתשובה קודמת.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"grants": [
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"id": "hwqrt_1"
}
]
}
},
"requestedPrivilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"entitlementRoleBindingId": "hwqrt_1"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
קבלת מענקים
gcloud
הפקודה gcloud alpha pam grants describe מאחזרת הרשאה ספציפית.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
GRANT_ID: המזהה של ההרשאה שאתם רוצים לקבל את הפרטים שלה. -
ENTITLEMENT_ID: המזהה של ההרשאה שאליה שייכת ההענקה. -
RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערךorganization,folderאוproject. -
RESOURCE_ID: משמש עםRESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud alpha pam grants describe \ GRANT_ID \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam grants describe ` GRANT_ID ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam grants describe ^ GRANT_ID ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
אמורים לקבל תגובה שדומה לזו:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
ה-method getGrant ב-Privileged Access Manager API מאחזרת מענק ספציפי.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
SCOPE: הארגון, התיקייה או הפרויקט שבהם נמצאת הזכאות, בפורמטorganizations/ORGANIZATION_ID,folders/FOLDER_IDאוprojects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012. -
ENTITLEMENT_ID: המזהה של ההרשאה שאליה שייכת ההענקה. -
GRANT_ID: המזהה של ההרשאה שרוצים לקבל את הפרטים שלה.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID,
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin"
"id": "hwqrt_1"
}
]
}
},
"requestedPrivilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"entitlementRoleBindingId": "hwqrt_1"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}