Pode ver o estado e o histórico de uma concessão ou revogar uma concessão para outros diretores se estiver ativa. O histórico de concessões está disponível durante 30 dias após o fim de uma concessão.
Antes de começar
Certifique-se de que ativou o Gestor de acesso privilegiado e configurou as respetivas autorizações.
Veja concessões através da consola Google Cloud
Para ver uma subvenção, siga estas instruções:
Aceda à página Gestor de acesso privilegiado.
Selecione a organização, a pasta ou o projeto no qual quer ver as concessões.
Clique no separador Concessões e, de seguida, no separador Concessões para todos os utilizadores. Este separador contém todas as concessões, os requerentes dessas concessões e o estado das concessões. As concessões podem ter os seguintes estados:
Estado Descrição A activar A concessão está em processo de ativação. A ativação falhou O Privileged Access Manager não conseguiu conceder as funções devido a um erro não repetível. Ativo A concessão está ativa e o principal tem acesso aos recursos permitidos pelas funções. Aprovação aguardada O pedido de concessão está a aguardar uma decisão de um aprovador. Recusado O pedido de concessão foi recusado por um aprovador. Terminado A concessão terminou e as funções foram removidas do principal. Expirado O pedido de concessão expirou porque não foi dada aprovação no prazo de 24 horas. Revogado A concessão é revogada e o principal deixa de ter acesso aos recursos permitidos pelas funções. Revogação A concessão está em processo de revogação. A levantar A subvenção está em processo de retirada. Retirado A concessão é revogada e o principal deixa de ter acesso aos recursos permitidos pelas funções. Etiquetas de estado
Além destes estados, as concessões podem ter as seguintes etiquetas de estado apresentadas junto ao respetivo estado, que indicam condições especiais:
Modificado através do IAM
As associações de políticas de IAM associadas a esta concessão foram modificadas diretamente através do IAM. Para ver detalhes sobre as associações modificadas, consulte a página do IAM naGoogle Cloud consola. Quando uma concessão modificada é revogada ou termina, o Privileged Access Manager remove apenas as associações que criou e que não foram modificadas através do IAM.
A modificação do título ou da expressão da condição do IAM, ou a remoção do acesso do requerente à função concedida, é tratada como uma modificação externa. A adição ou a modificação da descrição da condição da IAM não é considerada uma modificação externa.
O Privileged Access Manager verifica se existem modificações externas às concessões a cada 5 minutos. Estas alterações podem demorar até 5 minutos a refletirem-se. As alterações temporárias feitas e revertidas neste período de 5 minutos podem não ser detetadas pelo gestor de acesso privilegiado.
Na tabela, clique em Mais opções na mesma linha de uma autorização que quer inspecionar.
Para ver os detalhes da subvenção, incluindo o respetivo histórico, clique em Ver detalhes. Também pode revogar uma concessão a partir deste painel.
Para revogar uma concessão ativa, clique em Revogar concessão.
Também pode ver as funções concedidas temporariamente na página IAM na Google Cloud consola. No separador Vista por responsáveis, as funções concedidas temporariamente têm a condição Criado por: PAM.
Veja concessões através de programação
Para ver as concessões de forma programática, pode pesquisá-las, listá-las e obtê-las.
Pesquise subvenções
gcloud
O comando
gcloud alpha pam grants search
procura uma concessão que criou, pode aprovar ou
recusar, ou já aprovou ou recusou. Este método não requer autorizações específicas do
Privileged Access Manager para utilização.
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence. Pode obter o ID ao ver as autorizações.-
CALLER_RELATIONSHIP_TYPE: use um dos seguintes valores:had-created: devolve as autorizações que o autor da chamada criou.had-approved: devolve as concessões que o autor da chamada aprovou ou recusou.can-approve: devolve concessões que o autor da chamada pode aprovar ou recusar.
RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valororganization,folderouproject.RESOURCE_ID: usado comRESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Google CloudOs IDs dos projetos são strings alfanuméricas, comomy-project. Os IDs das pastas e das organizações são numéricos, como123456789012.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud alpha pam grants search \ --entitlement=ENTITLEMENT_ID \ --caller-relationship=CALLER_RELATIONSHIP_TYPE \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam grants search ` --entitlement=ENTITLEMENT_ID ` --caller-relationship=CALLER_RELATIONSHIP_TYPE ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam grants search ^ --entitlement=ENTITLEMENT_ID ^ --caller-relationship=CALLER_RELATIONSHIP_TYPE ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Deve receber uma resposta semelhante à seguinte:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
O método searchGrants da API Privileged Access Manager pesquisa uma concessão que criou, pode aprovar ou recusar, ou já aprovou ou recusou. Este método não requer autorizações específicas do
Privileged Access Manager para utilização.
Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:
SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato deorganizations/ORGANIZATION_ID,folders/FOLDER_IDouprojects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, comomy-project. Os IDs das pastas e das organizações são numéricos, como123456789012.ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence. Pode obter o ID ao ver as autorizações.RELATIONSHIP_TYPE: os valores válidos são:HAD_CREATED: devolve as autorizações que o autor da chamada criou.HAD_APPROVED: devolve as concessões que o autor da chamada aprovou ou recusou anteriormente.CAN_APPROVE: devolve concessões que o autor da chamada pode aprovar ou recusar.
FILTER: opcional. Devolve concessões cujos valores de campo correspondem a uma expressão AIP-160.PAGE_SIZE: opcional. O número de itens a devolver numa resposta.PAGE_TOKEN: opcional. A partir de que página deve começar a resposta, usando um token de página devolvido numa resposta anterior.
Método HTTP e URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Para enviar o seu pedido, expanda uma destas opções:
Deve receber uma resposta JSON semelhante à seguinte:
{
"grants": [
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin"
"id": "hwqrt_1"
}
]
}
},
"requestedPrivilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"entitlementRoleBindingId": "hwqrt_1"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
Liste as concessões
gcloud
O comando
gcloud alpha pam grants list
lista as concessões que pertencem a um direito específico.
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence. Pode obter o ID ao ver as concessões.RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valororganization,folderouproject.RESOURCE_ID: usado comRESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Google CloudOs IDs dos projetos são strings alfanuméricas, comomy-project. Os IDs das pastas e das organizações são numéricos, como123456789012.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud alpha pam grants list \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam grants list ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam grants list ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Deve receber uma resposta semelhante à seguinte:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
O método listGrants
da API Privileged Access Manager
lista as concessões que pertencem a uma autorização específica.
Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:
SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato deorganizations/ORGANIZATION_ID,folders/FOLDER_IDouprojects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, comomy-project. Os IDs das pastas e das organizações são numéricos, como123456789012.ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence. Pode obter o ID ao ver as concessões.FILTER: opcional. Devolve concessões cujos valores de campo correspondem a uma expressão AIP-160.PAGE_SIZE: opcional. O número de itens a devolver numa resposta.PAGE_TOKEN: opcional. A partir de que página deve começar a resposta, usando um token de página devolvido numa resposta anterior.
Método HTTP e URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Para enviar o seu pedido, expanda uma destas opções:
Deve receber uma resposta JSON semelhante à seguinte:
{
"grants": [
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"id": "hwqrt_1"
}
]
}
},
"requestedPrivilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"entitlementRoleBindingId": "hwqrt_1"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
Receba subvenções
gcloud
O comando
gcloud alpha pam grants describe
obtém uma concessão específica.
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
GRANT_ID: o ID da concessão cujos detalhes quer consultar.ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence.RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valororganization,folderouproject.RESOURCE_ID: usado comRESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Google CloudOs IDs dos projetos são strings alfanuméricas, comomy-project. Os IDs das pastas e das organizações são numéricos, como123456789012.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud alpha pam grants describe \ GRANT_ID \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam grants describe ` GRANT_ID ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam grants describe ^ GRANT_ID ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Deve receber uma resposta semelhante à seguinte:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
O método getGrant
da API Privileged Access Manager
obtém uma concessão específica.
Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:
SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato deorganizations/ORGANIZATION_ID,folders/FOLDER_IDouprojects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, comomy-project. Os IDs das pastas e das organizações são numéricos, como123456789012.ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence.GRANT_ID: o ID da subvenção para a qual quer os detalhes.
Método HTTP e URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
Para enviar o seu pedido, expanda uma destas opções:
Deve receber uma resposta JSON semelhante à seguinte:
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID,
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin"
"id": "hwqrt_1"
}
]
}
},
"requestedPrivilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"entitlementRoleBindingId": "hwqrt_1"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}