אתם יכולים לראות את הסטטוס וההיסטוריה של מענק, או לבטל מענק לישויות מורשות אחרות אם הוא פעיל. היסטוריית ההרשאות זמינה למשך 30 יום אחרי סיום ההרשאה.
לפני שמתחילים
חשוב לוודא שהפעלתם את Privileged Access Manager והגדרתם לו הרשאות.
צפייה במענקים באמצעות מסוף Google Cloud
כדי לראות מענק, פועלים לפי ההוראות הבאות:
עוברים לדף Privileged Access Manager.
בוחרים את הארגון, התיקייה או הפרויקט שבהם רוצים לראות את ההרשאות.
לוחצים על הכרטיסייה הרשאות ואז על הכרטיסייה הרשאות לכל המשתמשים. בכרטיסייה הזו מופיעים כל המענקים, מבקשי המענקים והסטטוס של המענקים. המענקים יכולים להיות באחד מהסטטוסים הבאים:
סטטוס תיאור הפעלה המענק נמצא בתהליך הפעלה. ההפעלה נכשלה Privileged Access Manager לא הצליח להעניק את התפקידים בגלל שגיאה שלא ניתן לתקן. פעיל המענק פעיל ולישות המורשית יש גישה למשאבים שהתפקידים מאפשרים. בהמתנה לאישור בקשת הגישה ממתינה להחלטה של גורם מאשר. נדחתה הבקשה למתן הרשאה נדחתה על ידי מאשר. הסתיים ההרשאה הסתיימה והתפקידים הוסרו מהישות המורשית. פג תוקף התוקף של בקשת המענק פג כי לא ניתן אישור תוך 24 שעות. בוטל ההרשאה מבוטלת, ולישות המורשית אין יותר גישה למשאבים שהתפקידים מאפשרים. ביטול המענק נמצא בתהליך ביטול. מבצע משיכה… המענק נמצא בתהליך ביטול. בוטל עקב פרישה ההרשאה מבוטלת, ולישות המורשית אין יותר גישה למשאבים שהתפקידים מאפשרים. תוויות סטטוס
בנוסף לסטטוסים האלה, למענקים יכולים להיות תוויות סטטוס שמוצגות לצד הסטטוס שלהם, שמציינות תנאים מיוחדים:
בוצע שינוי באמצעות IAM
הקישורים למדיניות IAM שמשויכים למענק הזה השתנו ישירות דרך IAM. פרטים על שינויים בהרשאות זמינים בדף IAM במסוףGoogle Cloud . כששוללים הרשאה ששונתה או שהיא מסתיימת, Privileged Access Manager מסיר רק את הקישורים שהוא יצר ושלא שונו דרך IAM.
שינוי השם או הביטוי של תנאי IAM, או הסרת הגישה של מגיש הבקשה לתפקיד שהוקצה, נחשבים לשינוי חיצוני. הוספה או שינוי של תיאור תנאי IAM לא נחשבים לשינוי חיצוני.
הכלי Privileged Access Manager בודק אם בוצעו שינויים חיצוניים בהענקת ההרשאות כל 5 דקות. יכול להיות שיחלפו עד 5 דקות עד שהשינויים יופיעו. יכול להיות שמערכת Privileged Access Manager לא תזהה שינויים זמניים שבוצעו והוחזרו במהלך חלון הזמן של 5 דקות.
בטבלה, לוחצים על סמל האפשרויות הנוספות באותה שורה של ההרשאה שרוצים לבדוק.
כדי לראות את פרטי המענק, כולל ההיסטוריה שלו, לוחצים על הצגת פרטים. אפשר גם לבטל הרשאה מהחלונית הזו.
כדי לבטל הרשאה פעילה, לוחצים על ביטול ההרשאה.
אפשר גם לראות את התפקידים שהוקצו באופן זמני בדף IAM במסוף Google Cloud . בכרטיסייה View by principals (תצוגה לפי חשבונות משתמשים), לתפקידים שהוקצו באופן זמני יש תנאי של Created by: PAM (נוצר על ידי: PAM).
צפייה במענקים באופן פרוגרמטי
כדי להציג מענקים באופן פרוגרמטי, אפשר לחפש אותם, להציג אותם ברשימה ולקבל אותם.
חיפוש מענקים
gcloud
הפקודה
gcloud alpha pam grants search
מחפשת הרשאה שיצרתם, שאתם יכולים לאשר או לדחות, או שכבר אישרתם או דחיתם. כדי להשתמש בשיטה הזו, לא נדרשות הרשאות ספציפיות ב-Privileged Access Manager.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
ENTITLEMENT_ID: המזהה של ההרשאה שאליה המענק משויך. אפשר לאחזר את המזהה על ידי צפייה בהרשאות. -
CALLER_RELATIONSHIP_TYPE: משתמשים באחד מהערכים הבאים:-
had-created: מחזירה את ההרשאות שהמתקשר יצר. -
had-approved: מחזירה את ההרשאות שהמבצע אישר או דחה. -
can-approve: מחזירה את ההרשאות שהמבצע יכול לאשר או לדחות.
-
-
RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערךorganization,folderאוproject. -
RESOURCE_ID: משמש עםRESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud alpha pam grants search \ --entitlement=ENTITLEMENT_ID \ --caller-relationship=CALLER_RELATIONSHIP_TYPE \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam grants search ` --entitlement=ENTITLEMENT_ID ` --caller-relationship=CALLER_RELATIONSHIP_TYPE ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam grants search ^ --entitlement=ENTITLEMENT_ID ^ --caller-relationship=CALLER_RELATIONSHIP_TYPE ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
אמורים לקבל תגובה שדומה לזו:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
באמצעות searchGrants ב-Privileged Access Manager API אפשר לחפש מענק שיצרתם, לאשר או לדחות אותו, או מענק שכבר אישרתם או דחיתם. כדי להשתמש בשיטה הזו, לא נדרשות הרשאות ספציפיות ב-Privileged Access Manager.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
SCOPE: הארגון, התיקייה או הפרויקט שבהם נמצאת הזכאות, בפורמטorganizations/ORGANIZATION_ID,folders/FOLDER_IDאוprojects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012. -
ENTITLEMENT_ID: המזהה של ההרשאה שאליה המענק משויך. אפשר לאחזר את המזהה על ידי צפייה בהרשאות. -
RELATIONSHIP_TYPE: הערכים התקפים הם:-
HAD_CREATED: מחזירה את ההרשאות שהמתקשר יצר. -
HAD_APPROVED: מחזירה את ההרשאות שהמבצע קיבל או דחה בעבר. -
CAN_APPROVE: מחזירה את ההרשאות שהמבצע יכול לאשר או לדחות.
-
-
FILTER: אופציונלי. הפונקציה מחזירה הרשאות שערכי השדות שלהן תואמים ל ביטוי AIP-160. -
PAGE_SIZE: אופציונלי. מספר הפריטים שיוחזרו בתשובה. -
PAGE_TOKEN: אופציונלי. הדף שממנו מתחילים את התגובה, באמצעות טוקן דף שהוחזר בתגובה קודמת.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"grants": [
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin"
"id": "hwqrt_1"
}
]
}
},
"requestedPrivilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"entitlementRoleBindingId": "hwqrt_1"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
הצגת רשימת ההרשאות
gcloud
הפקודה gcloud alpha pam grants list מציגה את ההרשאות ששייכות לזכאות ספציפית.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
ENTITLEMENT_ID: המזהה של ההרשאה שאליה המענק משויך. אפשר לאחזר את המזהה על ידי צפייה בהרשאות. -
RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערךorganization,folderאוproject. -
RESOURCE_ID: משמש עםRESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud alpha pam grants list \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam grants list ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam grants list ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
אמורים לקבל תגובה שדומה לזו:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
השיטה listGrants ב-Privileged Access Manager API מפרטת את ההרשאות ששייכות לזכאות ספציפית.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
SCOPE: הארגון, התיקייה או הפרויקט שבהם נמצאת הזכאות, בפורמטorganizations/ORGANIZATION_ID,folders/FOLDER_IDאוprojects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012. -
ENTITLEMENT_ID: המזהה של ההרשאה שאליה המענק משויך. אפשר לאחזר את המזהה על ידי צפייה בהרשאות. -
FILTER: אופציונלי. הפונקציה מחזירה הרשאות שערכי השדות שלהן תואמים ל ביטוי AIP-160. -
PAGE_SIZE: אופציונלי. מספר הפריטים שיוחזרו בתשובה. -
PAGE_TOKEN: אופציונלי. הדף שממנו מתחילים את התגובה, באמצעות טוקן דף שהוחזר בתגובה קודמת.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"grants": [
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"id": "hwqrt_1"
}
]
}
},
"requestedPrivilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"entitlementRoleBindingId": "hwqrt_1"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
קבלת מענקים
gcloud
הפקודה
gcloud alpha pam grants describe
מאחזרת הרשאה ספציפית.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
GRANT_ID: המזהה של המענק שרוצים לקבל את הפרטים שלו. -
ENTITLEMENT_ID: המזהה של ההרשאה שאליה המענק משויך. -
RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערךorganization,folderאוproject. -
RESOURCE_ID: משמש עםRESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud alpha pam grants describe \ GRANT_ID \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam grants describe ` GRANT_ID ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam grants describe ^ GRANT_ID ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
אמורים לקבל תגובה שדומה לזו:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
ה-method getGrant ב-Privileged Access Manager API מאחזרת הרשאה ספציפית.
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
SCOPE: הארגון, התיקייה או הפרויקט שבהם נמצאת הזכאות, בפורמטorganizations/ORGANIZATION_ID,folders/FOLDER_IDאוprojects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמוmy-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל123456789012. -
ENTITLEMENT_ID: המזהה של ההרשאה שאליה המענק משויך. -
GRANT_ID: המזהה של ההרשאה שרוצים לקבל את הפרטים שלה.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
אתם אמורים לקבל תגובת JSON שדומה לזו:
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID,
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin"
"id": "hwqrt_1"
}
]
}
},
"requestedPrivilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"entitlementRoleBindingId": "hwqrt_1"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}