Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הצגה, עדכון ומחיקה של הרשאות ב-Privileged Access Manager

אחרי יצירת זכאות, אפשר להציג, לעדכן או למחוק אותה. יכול להיות שיעברו כמה דקות עד שהשינויים בבקשות ובמאשרים של הרשאה יופצו.

לפני שמתחילים

כדי לקבל את ההרשאות שדרושות לניהול הרשאות, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון, בתיקייה או בפרויקט:

כדי לנהל את ההרשאות לארגון:
- אדמין של Privileged Access Manager (roles/privilegedaccessmanager.admin)
- אדמין לענייני אבטחה (roles/iam.securityAdmin)
כדי לנהל את הגישה לתיקייה:
- אדמין של Privileged Access Manager (roles/privilegedaccessmanager.admin)
- אדמין IAM בתיקייה (roles/resourcemanager.folderAdmin)
כדי לנהל את ההרשאות לפרויקט:
- אדמין של Privileged Access Manager (roles/privilegedaccessmanager.admin)
- אדמין IAM בפרויקט (roles/resourcemanager.projectIamAdmin)
כדי לראות את יומני הביקורת: מציג היומנים (roles/logs.viewer)

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות לניהול הרשאות. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי לנהל הרשאות גישה, נדרשות ההרשאות הבאות:

כדי לנהל את ההרשאות לארגון:
- resourcemanager.organizations.get
- resourcemanager.organizations.setIamPolicy
- privilegedaccessmanager.entitlements.create
- privilegedaccessmanager.entitlements.delete
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.entitlements.setIamPolicy
- privilegedaccessmanager.operations.delete
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
כדי לראות את ההרשאות של הארגון:
- resourcemanager.organizations.get
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
כדי לנהל את ההרשאות לתיקייה:
- resourcemanager.folders.get
- resourcemanager.folders.setIamPolicy
- privilegedaccessmanager.entitlements.create
- privilegedaccessmanager.entitlements.delete
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.entitlements.setIamPolicy
- privilegedaccessmanager.operations.delete
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
כדי לראות את ההרשאות של תיקייה:
- resourcemanager.folders.get
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
כדי לנהל את ההרשאות לפרויקט:
- resourcemanager.projects.get
- resourcemanager.projects.getIamPolicy
- privilegedaccessmanager.entitlements.create
- privilegedaccessmanager.entitlements.delete
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.entitlements.setIamPolicy
- privilegedaccessmanager.operations.delete
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
כדי לראות את ההרשאות לפרויקט:
- resourcemanager.projects.get
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
כדי לצפות ביומני ביקורת: logging.logEntries.list

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

צפייה בזכויות, עדכון ומחיקה שלהן באמצעות Google Cloud המסוף

עוברים לדף Privileged Access Manager.

כניסה ל-Privileged Access Manager
בוחרים את הארגון, התיקייה או הפרויקט שבהם רוצים לנהל את ההרשאות.
בכרטיסייה זכויות גישה, לוחצים על הכרטיסייה זכויות גישה לכל המשתמשים. כאן אפשר לראות את ההרשאות הזמינות, את התפקידים שהן מעניקות ואת הגורמים המבקשים והמאשרים שתקפים לגביהן.
בטבלה, לוחצים על סמל האפשרויות הנוספות באותה שורה של ההרשאה שרוצים לבדוק.
- כדי לראות את פרטי ההרשאה, לוחצים על הצגת פרטי ההרשאה.
- כדי לראות את ההרשאות שמשויכות לזכאות, לוחצים על הצגת ההרשאות המשויכות.
- כדי לבטל את כל ההרשאות הפעילות לזכאות, לוחצים על ביטול כל ההרשאות.
- כדי למחוק את ההרשאה, לוחצים על מחיקת ההרשאה. אי אפשר למחוק זכאות עם הרשאות פעילות. קודם צריך לבטל את ההרשאות.
כדי לעדכן הרשאה, לוחצים על עריכת ההרשאה באותה שורה של ההרשאה שרוצים לעדכן.

כשמעדכנים הרשאה, חשוב לזכור את הנקודות הבאות:
- הגדרת ההרשאות המעודכנת חלה רק על בקשות גישה שנשלחו אחרי העדכון. עם זאת, שינויים בגורמים המאשרים חלים גם על בקשות גישה קיימות שעדיין לא אושרו או נדחו.
- כדי לבצע שינויים בתהליך העבודה לאישור הרשאות שדורשים שכבת אישור שנייה, או יותר מאישור אחד בכל רמה, צריך להפעיל את רמת Premium או Enterprise של Security Command Center. התכונה הזו זמינה בגרסת טרום-השקה.
- אפשר לבצע את השינויים המבניים הבאים בתהליך אישור של הרשאה רק אם אין הרשאות שדורשות אישור:
  - הוספה או הסרה של רמת אישור.
  - שינוי מספר האישורים שנדרשים בכל רמה.
  התכונה הזו זמינה בגרסת טרום-השקה.
- אפשר לשנות את רשימת הגורמים המאשרים בכל רמת אישור, גם אם יש בקשות גישה שממתינות לאישור.

צפייה בזכויות באופן פרוגרמטי

כדי להציג הרשאות באופן פרוגרמטי, אפשר לחפש, לרשום, לקבל ולייצא אותן.

הצגת רשימה של הרשאות

gcloud

הפקודה gcloud alpha pam entitlements list מציגה את הזכויות ששייכות להיקף מסוים.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערך organization,‏ folder או project.
‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud alpha pam entitlements list \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

‏Windows (PowerShell)

gcloud alpha pam entitlements list `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows‏ (cmd.exe)

gcloud alpha pam entitlements list ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

אמורים לקבל תגובה שדומה לזו:

additionalNotificationTargets:
  adminEmailRecipients:
  - alex@example.com
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - id: step-1
      approvalsNeeded: 3
      approvers:
      - principals:
        - user:alex@example.com
        - user:dev-team@example.com
    - id: step-2
      approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
  - user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwarq_1
      conditionExpression: "request.time.getHours() >= 8"
requesterJustificationConfig:
  unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'

REST

השיטה listEntitlements ב-Privileged Access Manager API מפרטת את ההרשאות ששייכות להיקף מסוים.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫SCOPE: הארגון, התיקייה או הפרויקט שבהם נמצאת הזכאות, בפורמט organizations/ORGANIZATION_ID,‏ folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
‫FILTER: אופציונלי. הפונקציה מחזירה הרשאות שערכי השדות שלהן תואמים ל ביטוי AIP-160.
‫PAGE_SIZE: אופציונלי. מספר הפריטים שיוחזרו בתשובה.
‫PAGE_TOKEN: אופציונלי. הדף שממנו מתחילים את התגובה, באמצעות טוקן דף שהוחזר בתגובה קודמת.

ה-method של ה-HTTP וכתובת ה-URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

[
  {
    "name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID",
    "createTime": "2023-11-21T17:28:39.962144708Z",
    "updateTime": "2023-11-21T17:28:43.160309410Z",
    "eligibleUsers": [
      {
        "principals": [
          "user:alex@example.com"
        ]
      }
    ],
    "approvalWorkflow": {
      "manualApprovals": {
        "steps": [
          {
            "approvers": [
              {
                "principals": [
                  "user:bola@example.com"
                ]
              }
            ],
            "approvalsNeeded": 1,
            "id": "step-1"
          },
          {
            "approvers": [
              {
                "principals": [
                  "user:bob@example.com",
                  "user:jacob@example.com"
                ]
              }
            ],
            "approvalsNeeded": 2,
            "id": "step-2"
          }
        ]
      }
    },
    "privilegedAccess": {
      "gcpIamAccess": {
        "resourceType": "cloudresourcemanager.googleapis.com/Project",
        "resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
        "roleBindings": [
          {
            "role": "roles/storage.admin",
            "id": "hwqrt_1",
            "conditionExpression": "request.time.getHours() >= 8"
          }
        ]
      }
    },
    "maxRequestDuration": "14400s",
    "state": "AVAILABLE",
    "requesterJustificationConfig": {
      "unstructured": {}
    },
    "additionalNotificationTargets": {
      "adminEmailRecipients": [
        "alex@example.com"
      ]
    },
    "etag": "00000000000000000000000000000000000000000000000000000000000="
  }
]

קבלת הרשאות

gcloud

הפקודה gcloud alpha pam entitlements describe מאחזרת זכאות ספציפית.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫ENTITLEMENT_ID: המזהה של ההרשאה שרוצים לראות את הפרטים שלה.
‫RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערך organization,‏ folder או project.
‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud alpha pam entitlements describe \
    ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

‏Windows (PowerShell)

gcloud alpha pam entitlements describe `
    ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows‏ (cmd.exe)

gcloud alpha pam entitlements describe ^
    ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

אמורים לקבל תגובה שדומה לזו:

additionalNotificationTargets:
 adminEmailRecipients:
 - alex@example.com
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - id: step-1
      approvalsNeeded: 3
      approvers:
      - principals:
        - user:alex@example.com
        - user:dev-team@example.com
    - id: step-2
      approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
  - user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwarq_1
      conditionExpression: "request.time.getHours() >= 8"
requesterJustificationConfig:
  unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'

REST

ה-method getEntitlement של Privileged Access Manager API מאחזרת זכות גישה ספציפית.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫SCOPE: הארגון, התיקייה או הפרויקט שמהם רוצים לקבל את ההרשאה, בפורמט organizations/ORGANIZATION_ID, folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
‫ENTITLEMENT_ID: המזהה של זכות הגישה שרוצים לקבל את הפרטים שלה.

ה-method של ה-HTTP וכתובת ה-URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID",
  "createTime": "2023-11-21T17:28:39.962144708Z",
  "updateTime": "2023-11-21T17:28:43.160309410Z",
  "eligibleUsers": [
    {
      "principals": [
        "user:alex@example.com"
      ]
    }
  ],
  "approvalWorkflow": {
    "manualApprovals": {
      "steps": [
        {
          "approvers": [
            {
              "principals": [
                "user:bola@example.com"
              ]
            }
          ],
          "approvalsNeeded": 1,
          "id": "step-1"
        },
        {
          "approvers": [
            {
              "principals": [
                "user:bob@example.com",
                "user:jacob@example.com"
              ]
            }
          ],
          "approvalsNeeded": 2,
          "id": "step-2"
        }
      ]
    }
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
      "roleBindings": [
        {
          "role": "roles/storage.admin",
          "id": "hwqrt_1",
          "conditionExpression": "request.time.getHours() >= 8"
        }
      ]
    }
  },
  "maxRequestDuration": "14400s",
  "state": "AVAILABLE",
  "requesterJustificationConfig": {
    "unstructured": {}
  },
  "additionalNotificationTargets": {
    "adminEmailRecipients": [
      "alex@example.com"
    ]
  },
  "etag": "00000000000000000000000000000000000000000000000000000000000="
}

ייצוא הרשאות באמצעות ה-CLI של gcloud

הפקודה gcloud alpha pam entitlements export מייצאת זכות ספציפית לקובץ YAML.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫ENTITLEMENT_ID: המזהה של הזכאות לייצוא.
‫FILENAME: שם הקובץ שאליו רוצים לייצא את תוכן ההרשאה.
‫RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערך organization,‏ folder או project.
‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud alpha pam entitlements export \
    ENTITLEMENT_ID \
    --destination=FILENAME.yaml \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

‏Windows (PowerShell)

gcloud alpha pam entitlements export `
    ENTITLEMENT_ID `
    --destination=FILENAME.yaml `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows‏ (cmd.exe)

gcloud alpha pam entitlements export ^
    ENTITLEMENT_ID ^
    --destination=FILENAME.yaml ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

אמורים לקבל תגובה שדומה לזו:

Exported [projects/my-project/locations/global/entitlements/ENTITLEMENT_ID] to 'FILENAME.yaml'.

עדכון הרשאות באופן פרוגרמטי

כשמעדכנים הרשאה, חשוב לזכור את הנקודות הבאות:

הגדרת ההרשאות המעודכנת חלה רק על בקשות גישה שנשלחו אחרי העדכון. עם זאת, שינויים בגורמים המאשרים חלים גם על בקשות גישה קיימות שעדיין לא אושרו או נדחו.
כדי לבצע שינויים בתהליך העבודה לאישור הרשאות שדורשים שכבת אישור שנייה, או יותר מאישור אחד בכל רמה, צריך להפעיל את רמת Premium או Enterprise של Security Command Center. התכונה הזו זמינה בגרסת טרום-השקה.
אפשר לבצע את השינויים המבניים הבאים בתהליך אישור של הרשאה רק אם אין הרשאות שדורשות אישור:
- הוספה או הסרה של רמת אישור.
- שינוי מספר האישורים שנדרשים בכל רמה.
התכונה הזו זמינה בגרסת טרום-השקה.
אפשר לשנות את רשימת הגורמים המאשרים בכל רמת אישור, גם אם יש בקשות גישה שממתינות לאישור.

gcloud

הפקודה gcloud alpha pam entitlements update מעדכנת הרשאה ספציפית.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫ENTITLEMENT_ID: המזהה של ההרשאה שרוצים לעדכן.
‫RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערך organization,‏ folder או project.
‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
‫FILENAME: קובץ שמכיל את התצורה ששונתה של ההרשאה. כדי ליצור את הקובץ הזה, צריך לקבל או לייצא את ההרשאה הקיימת, לשמור את התגובה בקובץ YAML ואז לשנות אותה כדי להשתמש בה כגוף של בקשת העדכון. כדי לעדכן את הגרסה האחרונה של ההרשאה, צריך לכלול את ה-ETAG בגוף הבקשה. במאמר יצירת זכויות גישה באופן פרוגרמטי מפורטים השדות הזמינים שאפשר לשנות או להוסיף.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud alpha pam entitlements update \
    ENTITLEMENT_ID \
    --entitlement-file=FILENAME.yaml \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

‏Windows (PowerShell)

gcloud alpha pam entitlements update `
    ENTITLEMENT_ID `
    --entitlement-file=FILENAME.yaml `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows‏ (cmd.exe)

gcloud alpha pam entitlements update ^
    ENTITLEMENT_ID ^
    --entitlement-file=FILENAME.yaml ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

אמורים לקבל תגובה שדומה לזו:

Request issued for: [ENTITLEMENT_ID]
Waiting for operation [RESOURCE_TYPE/RESOURCE_ID/locations/global/operations/OPERATION_ID] to complete...done.
Updated entitlement [ENTITLEMENT_ID].
additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - id: step-1
      approvalsNeeded: 3
      approvers:
      - principals:
        - user:alex@example.com
        - user:dev-team@example.com
    - id: step-2
      approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
  - user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwarq_1
      conditionExpression: "request.time.getHours() >= 8"
requesterJustificationConfig:
  unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'

REST

ה-method updateEntitlement של Privileged Access Manager API מעדכנת הרשאה ספציפית.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫SCOPE: הארגון, התיקייה או הפרויקט שבהם נמצאת הזכאות, בפורמט organizations/ORGANIZATION_ID,‏ folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
‫ENTITLEMENT_ID: המזהה של ההרשאה שרוצים לעדכן.
‫UPDATED_FIELDS: רשימה מופרדת בפסיקים של שדות שמתעדכנים בהרשאה. לדוגמה:
```
?updateMask=privilegedAccess,maxRequestDuration
```
לכל השדות שאפשר לעדכן, מגדירים את מסכת העדכון ל-*.
‫REQUEST_ID: אופציונלי. חייב להיות UUID שונה מאפס. אם השרת מקבל בקשה עם מזהה בקשה, הוא בודק אם בקשה אחרת עם אותו מזהה כבר הושלמה ב-60 הדקות האחרונות. אם כן, המערכת מתעלמת מהבקשה החדשה.
‫request.json: קובץ שמכיל את התצורה ששונתה של ההרשאה. כדי ליצור את הקובץ הזה, צריך לקבל או לייצא את ההרשאה הקיימת, לשמור את התגובה בקובץ בשם request.json, ואז לשנות אותה כדי להשתמש בה כתוכן הבקשה לעדכון. כדי לעדכן את הגרסה האחרונה של ההרשאה, צריך לכלול את ה-ETAG בגוף הבקשה. במאמר יצירת זכויות גישה באופן פרוגרמטי מפורטים השדות הזמינים שאפשר לשנות או להוסיף.

ה-method של ה-HTTP וכתובת ה-URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?updateMask=UPDATED_FIELDS&requestId=REQUEST_ID

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?updateMask=UPDATED_FIELDS&requestId=REQUEST_ID"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?updateMask=UPDATED_FIELDS&requestId=REQUEST_ID" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "projects/my-project/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

כדי לבדוק את התקדמות פעולת העדכון, אפשר לשלוח בקשת GET לנקודת הקצה הבאה:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

כדי לראות רשימה של כל הפעולות, שולחים בקשת GET לנקודת הקצה הבאה:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

מחיקת זכויות גישה באופן פרוגרמטי

gcloud

הפקודה gcloud alpha pam entitlements delete מוחקת זכות גישה ספציפית.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫ENTITLEMENT_ID: המזהה של ההרשאה למחיקה.
‫RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערך organization,‏ folder או project.
‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud alpha pam entitlements delete \
    ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

‏Windows (PowerShell)

gcloud alpha pam entitlements delete `
    ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows‏ (cmd.exe)

gcloud alpha pam entitlements delete ^
    ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

אמורים לקבל תגובה שדומה לזו:

Delete request issued for: [ENTITLEMENT_ID]
Waiting for operation [projects/my-project/locations/global/operations/OPERATION_ID] to complete...done.
Deleted entitlement [ENTITLEMENT_ID].

REST

ה-method deleteEntitlement של ה-API של Privileged Access Manager מוחקת זכות גישה ספציפית.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫SCOPE: הארגון, התיקייה או הפרויקט שבהם רוצים למחוק את ההרשאה, בפורמט organizations/ORGANIZATION_ID, folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
‫ENTITLEMENT_ID: המזהה של זכות הגישה שרוצים למחוק.
‫REQUEST_ID: אופציונלי. חייב להיות UUID שאינו אפס. אם השרת מקבל בקשה עם מזהה בקשה, הוא בודק אם בקשה אחרת עם אותו מזהה כבר הושלמה ב-60 הדקות האחרונות. אם כן, המערכת מתעלמת מהבקשה החדשה.

ה-method של ה-HTTP וכתובת ה-URL:

DELETE https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?requestId=REQUEST_ID

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?requestId=REQUEST_ID"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?requestId=REQUEST_ID" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "projects/my-project/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-06T02:28:28.020293460Z",
    "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

כדי לבדוק את התקדמות פעולת המחיקה, אפשר לשלוח בקשת GET לנקודת הקצה הבאה:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

כדי לראות רשימה של כל הפעולות, שולחים בקשת GET לנקודת הקצה הבאה:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

הצגה, עדכון ומחיקה של הרשאות ב-Privileged Access Manager קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

לפני שמתחילים

ההרשאות הנדרשות

צפייה בזכויות, עדכון ומחיקה שלהן באמצעות Google Cloud המסוף

צפייה בזכויות באופן פרוגרמטי

הצגת רשימה של הרשאות

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

קבלת הרשאות

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

ייצוא הרשאות באמצעות ה-CLI של gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

עדכון הרשאות באופן פרוגרמטי

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

מחיקת זכויות גישה באופן פרוגרמטי

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

המאמרים הבאים

הצגה, עדכון ומחיקה של הרשאות ב-Privileged Access Manager