Sie können den Status und den Verlauf einer Genehmigung aufrufen oder eine aktive Genehmigung für andere Principals widerrufen. Der Verlauf von Zuschüssen ist 30 Tage nach dem Ende eines Zuschusses verfügbar.
Hinweise
Prüfen Sie, ob Sie Privileged Access Manager aktiviert und Berechtigungen dafür eingerichtet haben.
Genehmigungen mit der Google Cloud -Console aufrufen
So rufen Sie eine Erteilung auf:
Rufen Sie die Seite Privileged Access Manager auf.
Wählen Sie die Organisation, den Ordner oder das Projekt aus, für das Sie Genehmigungen aufrufen möchten.
Klicken Sie auf den Tab Genehmigungen und dann auf den Tab Genehmigungen für alle Nutzer. Auf diesem Tab finden Sie alle Genehmigungen, die Antragsteller für diese Genehmigungen und den Genehmigungsstatus. Gewährungen können folgende Status haben:
Status Beschreibung Wird aktiviert Die Gewährung wird gerade aktiviert. Aktivierung fehlgeschlagen Privileged Access Manager konnte die Rollen aufgrund eines nicht wiederholbaren Fehlers nicht zuweisen. Aktiv Die Gewährung ist aktiv und das Hauptkonto hat Zugriff auf die durch die Rollen zulässigen Ressourcen. Genehmigung ausstehend Für den Gewährungsantrag steht noch eine Entscheidung des Genehmigers aus. Abgelehnt Der Antrag auf Gewährung wurde von einem Genehmiger abgelehnt. Beendet Die Gewährung ist abgelaufen und die Rollen wurden vom Hauptkonto entfernt. Abgelaufen Der Antrag auf Gewährung ist abgelaufen, da er nicht innerhalb von 24 Stunden genehmigt wurde. Gesperrt Die Gewährung wird widerrufen und das Hauptkonto hat keinen Zugriff mehr auf die durch die Rollen zulässigen Ressourcen. Widerrufen Die Gewährung wird gerade widerrufen. Abheben Die Gewährung wird gerade widerrufen. Widerrufen Die Gewährung wird zurückgezogen und das Hauptkonto hat keinen Zugriff mehr auf die durch die Rollen zulässigen Ressourcen. Statuslabels
Zusätzlich zu diesen Status können neben dem Status von Gewährungen die folgenden Statuslabels angezeigt werden, die auf besondere Bedingungen hinweisen:
Geändert über IAM
Die mit dieser Gewährung verknüpften IAM-Richtlinienbindungen wurden direkt über IAM geändert. Weitere Informationen zu geänderten Bindungen finden Sie auf der IAM-Seite in derGoogle Cloud -Console. Wenn eine geänderte Erteilung widerrufen wird oder endet, entfernt Privileged Access Manager nur die Bindungen, die er erstellt hat und die nicht über IAM geändert wurden.
Wenn Sie den Titel oder Ausdruck der IAM-Bedingung ändern oder den Zugriff des Antragstellers auf die zugewiesene Rolle entfernen, wird dies als externe Änderung behandelt. Das Hinzufügen oder Ändern der Beschreibung der IAM-Bedingung gilt nicht als externe Änderung.
Privileged Access Manager prüft alle 5 Minuten, ob Berechtigungen extern geändert wurden. Es kann bis zu 5 Minuten dauern, bis diese Änderungen wirksam werden. Vorübergehende Änderungen, die innerhalb dieses 5‑Minuten-Zeitraums vorgenommen und rückgängig gemacht werden, werden möglicherweise nicht von Privileged Access Manager erkannt.
Klicken Sie in der Tabelle in der Zeile mit der Berechtigung, die Sie prüfen möchten, auf Weitere Optionen.
Wenn Sie die Details der Gewährung einschließlich des Verlaufs aufrufen möchten, klicken Sie auf Details ansehen. Sie können eine erteilte Berechtigung auch über diesen Bereich widerrufen.
Wenn Sie eine aktive Genehmigung widerrufen möchten, klicken Sie auf Genehmigung widerrufen.
Sie können sich temporär zugewiesene Rollen auch auf der IAM-Seite in der Google Cloud ansehen. Auf dem Tab Nach Hauptkonten ansehen haben temporär zugewiesene Rollen die Bedingung Erstellt von: PAM.
Gewährungen programmatisch ansehen
Sie können Zuschüsse programmatisch suchen, auflisten und abrufen.
Erteilungen suchen
gcloud
Mit dem Befehl gcloud alpha pam grants search wird nach einer Gewährung gesucht, die Sie erstellt haben, die Sie genehmigen oder ablehnen können oder die Sie bereits genehmigt oder abgelehnt haben. Für diese Methode sind keine speziellen Privileged Access Manager-Berechtigungen erforderlich.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie Berechtigungen ansehen.-
CALLER_RELATIONSHIP_TYPE: Verwenden Sie einen der folgenden Werte: .had-created: Gibt Gewährungen zurück, die der Aufrufer erstellt hat.had-approved: Gibt Gewährungen zurück, die der Aufrufer genehmigt oder abgelehnt hat.can-approve: Gibt Gewährungen zurück, die der Aufrufer genehmigen oder ablehnen kann.
RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wertorganization,folderoderproject.RESOURCE_ID: Wird mitRESOURCE_TYPEverwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wiemy-project. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud alpha pam grants search \ --entitlement=ENTITLEMENT_ID \ --caller-relationship=CALLER_RELATIONSHIP_TYPE \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam grants search ` --entitlement=ENTITLEMENT_ID ` --caller-relationship=CALLER_RELATIONSHIP_TYPE ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam grants search ^ --entitlement=ENTITLEMENT_ID ^ --caller-relationship=CALLER_RELATIONSHIP_TYPE ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Sie sollten eine Antwort ähnlich der folgenden erhalten:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
Mit der Methode searchGrants der Privileged Access Manager API wird nach einer Gewährung gesucht, die Sie erstellt haben, genehmigen oder ablehnen können oder bereits genehmigt oder abgelehnt haben. Für diese Methode sind keine speziellen Privileged Access Manager-Berechtigungen erforderlich.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
SCOPE: Die Organisation, der Ordner oder das Projekt, in dem sich die Berechtigung befindet, im Formatorganizations/ORGANIZATION_ID,folders/FOLDER_IDoderprojects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wiemy-project. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012.ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie Berechtigungen ansehen.RELATIONSHIP_TYPE: Gültige Werte sind:HAD_CREATED: Gibt Gewährungen zurück, die der Aufrufer erstellt hat.HAD_APPROVED: Gibt Gewährungen zurück, die der Aufrufer zuvor genehmigt oder abgelehnt hat.CAN_APPROVE: Gibt Gewährungen zurück, die der Aufrufer genehmigen oder ablehnen kann.
FILTER: Optional. Es werden Gewährungen zurückgegeben, deren Feldwerte mit einem AIP-160-Ausdruck übereinstimmen.PAGE_SIZE: Optional. Die Anzahl der Elemente, die in einer Antwort zurückgegeben werden sollen.PAGE_TOKEN: Optional. Die Seite, mit der die Antwort beginnen soll. Dazu wird ein Seitentoken verwendet, das in einer vorherigen Antwort zurückgegeben wurde.
HTTP-Methode und URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{
"grants": [
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin"
"id": "hwqrt_1"
}
]
}
},
"requestedPrivilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"entitlementRoleBindingId": "hwqrt_1"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
Zuteilungen auflisten
gcloud
Mit dem Befehl gcloud alpha pam grants list werden Gewährungen aufgelistet, die zu einer bestimmten Berechtigung gehören.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie Berechtigungen ansehen.RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wertorganization,folderoderproject.RESOURCE_ID: Wird mitRESOURCE_TYPEverwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wiemy-project. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud alpha pam grants list \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam grants list ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam grants list ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Sie sollten eine Antwort ähnlich der folgenden erhalten:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
Die Methode listGrants der Privileged Access Manager API listet Gewährungen auf, die zu einer bestimmten Berechtigung gehören.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
SCOPE: Die Organisation, der Ordner oder das Projekt, in dem sich die Berechtigung befindet, im Formatorganizations/ORGANIZATION_ID,folders/FOLDER_IDoderprojects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wiemy-project. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012.ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie Berechtigungen ansehen.FILTER: Optional. Es werden Gewährungen zurückgegeben, deren Feldwerte mit einem AIP-160-Ausdruck übereinstimmen.PAGE_SIZE: Optional. Die Anzahl der Elemente, die in einer Antwort zurückgegeben werden sollen.PAGE_TOKEN: Optional. Die Seite, mit der die Antwort beginnen soll. Dazu wird ein Seitentoken verwendet, das in einer vorherigen Antwort zurückgegeben wurde.
HTTP-Methode und URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{
"grants": [
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"id": "hwqrt_1"
}
]
}
},
"requestedPrivilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"entitlementRoleBindingId": "hwqrt_1"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
Zuschüsse erhalten
gcloud
Mit dem Befehl gcloud alpha pam grants describe wird eine bestimmte Gewährung abgerufen.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
GRANT_ID: Die ID der Genehmigung, für die Sie die Details abrufen möchten.ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört.RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wertorganization,folderoderproject.RESOURCE_ID: Wird mitRESOURCE_TYPEverwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wiemy-project. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud alpha pam grants describe \ GRANT_ID \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam grants describe ` GRANT_ID ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam grants describe ^ GRANT_ID ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Sie sollten eine Antwort ähnlich der folgenden erhalten:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
Mit der Methode getGrant der Privileged Access Manager API wird eine bestimmte Gewährung abgerufen.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
SCOPE: Die Organisation, der Ordner oder das Projekt, in dem sich die Berechtigung befindet, im Formatorganizations/ORGANIZATION_ID,folders/FOLDER_IDoderprojects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wiemy-project. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012.ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört.GRANT_ID: Die ID der Genehmigung, für die Sie die Details abrufen möchten.
HTTP-Methode und URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID,
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin"
"id": "hwqrt_1"
}
]
}
},
"requestedPrivilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"entitlementRoleBindingId": "hwqrt_1"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}