Esta página foi traduzida pela API Cloud Translation.

Ver, atualizar e eliminar autorizações no Gestor de acesso privilegiado

Depois de criar uma autorização, pode vê-la, atualizá-la ou eliminá-la. As alterações aos requerentes e aos aprovadores de uma autorização podem demorar alguns minutos a propagar-se.

Antes de começar

Para receber as autorizações de que precisa para gerir elegibilidades, peça ao seu administrador para lhe conceder as seguintes funções de IAM na organização, na pasta ou no projeto:

Para gerir concessões para uma organização:
- Administrador do gestor de acesso privilegiado (roles/privilegedaccessmanager.admin)
- Administrador de segurança (roles/iam.securityAdmin)
Para gerir uma pasta:
- Administrador do Gestor de acesso privilegiado (roles/privilegedaccessmanager.admin)
- Administrador da IAM de pastas (roles/resourcemanager.folderAdmin)
Para gerir direitos de um projeto:
- Administrador do Gestor de acesso privilegiado (roles/privilegedaccessmanager.admin)
- Project IAM Admin (roles/resourcemanager.projectIamAdmin)
Para ver registos de auditoria: Visualizador de registos (roles/logs.viewer)

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Estas funções predefinidas contêm as autorizações necessárias para gerir os direitos. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

São necessárias as seguintes autorizações para gerir concessões:

Para gerir autorizações para uma organização:
- resourcemanager.organizations.get
- resourcemanager.organizations.setIamPolicy
- privilegedaccessmanager.entitlements.create
- privilegedaccessmanager.entitlements.delete
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.entitlements.setIamPolicy
- privilegedaccessmanager.operations.delete
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
Para ver as concessões de uma organização:
- resourcemanager.organizations.get
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
Para gerir concessões de uma pasta:
- resourcemanager.folders.get
- resourcemanager.folders.setIamPolicy
- privilegedaccessmanager.entitlements.create
- privilegedaccessmanager.entitlements.delete
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.entitlements.setIamPolicy
- privilegedaccessmanager.operations.delete
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
Para ver as autorizações de uma pasta:
- resourcemanager.folders.get
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
Para gerir direitos de um projeto:
- resourcemanager.projects.get
- resourcemanager.projects.getIamPolicy
- privilegedaccessmanager.entitlements.create
- privilegedaccessmanager.entitlements.delete
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.entitlements.setIamPolicy
- privilegedaccessmanager.operations.delete
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
Para ver as autorizações de um projeto:
- resourcemanager.projects.get
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
Para ver registos de auditoria: logging.logEntries.list

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Ver, atualizar e eliminar concessões através da Google Cloud consola

Aceda à página Gestor de acessos privilegiados.

Aceda ao Gestor de acessos privilegiados
Selecione a organização, a pasta ou o projeto no qual quer gerir as autorizações.
No separador Direitos, clique no separador Direitos para todos os utilizadores. Aqui, pode encontrar as autorizações disponíveis, as funções que concedem e os requerentes e aprovadores válidos.
Na tabela, clique em Mais opções na mesma linha de uma autorização que quer inspecionar.
- Para ver os detalhes da concessão, clique em Ver detalhes da concessão.
- Para ver as concessões associadas à autorização, clique em Ver concessões associadas.
- Para revogar todas as concessões ativas da autorização, clique em Revogar todas as concessões.
- Para eliminar a concessão, clique em Eliminar concessão. Não pode eliminar uma autorização com concessões ativas. Tem de revogar as concessões primeiro.
Para atualizar uma concessão, clique em Editar concessão na mesma linha da concessão que quer atualizar.

Tenha em atenção o seguinte quando atualizar uma autorização:
- A configuração de concessão atualizada aplica-se apenas a concessões pedidas após a atualização. No entanto, as alterações de aprovadores também se aplicam a pedidos de concessão existentes que ainda não foram aprovados nem recusados.
- Para fazer alterações ao fluxo de trabalho de aprovação de uma concessão que exijam um segundo nível de aprovação ou mais do que uma aprovação em qualquer nível, tem de ter o nível Security Command Center Premium ou Enterprise ativado ao nível da organização. Esta funcionalidade está disponível em pré-visualização.
- Só pode fazer as seguintes alterações estruturais ao fluxo de trabalho de aprovação de uma concessão se não existirem concessões para essa concessão a aguardar aprovação:
  - Adicionar ou remover um nível de aprovação.
  - Alterar o número de aprovações necessárias para qualquer nível.
  Esta funcionalidade está disponível em pré-visualização.
- Pode alterar a lista de aprovadores em qualquer nível de aprovação, mesmo que existam concessões pendentes de aprovação.

Veja concessões através de programação

Para ver as autorizações de forma programática, pode pesquisá-las, listá-las, obtê-las e exportá-las.

Apresentar concessões

gcloud

O comando gcloud alpha pam entitlements list lista as concessões que pertencem a um âmbito específico.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
RESOURCE_ID: usado com RESOURCE_TYPE. O ID do Google Cloud projeto, da pasta ou da organização para a qual quer gerir autorizações. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam entitlements list \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam entitlements list `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam entitlements list ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

additionalNotificationTargets:
  adminEmailRecipients:
  - alex@example.com
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - id: step-1
      approvalsNeeded: 3
      approvers:
      - principals:
        - user:alex@example.com
        - user:dev-team@example.com
    - id: step-2
      approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
  - user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwarq_1
      conditionExpression: "request.time.getHours() >= 8"
requesterJustificationConfig:
  unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'

REST

O método listEntitlements da API Privileged Access Manager lista as autorizações que pertencem a um âmbito específico.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
FILTER: opcional. Devolve autorizações cujos valores de campo correspondem a uma expressão AIP-160.
PAGE_SIZE: opcional. O número de itens a devolver numa resposta.
PAGE_TOKEN: opcional. A partir de que página deve começar a resposta, usando um token de página devolvido numa resposta anterior.

Método HTTP e URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Nota: O comando seguinte pressupõe que tem sessão iniciada na CLI gcloud com a sua conta de utilizador executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que inicia sessão automaticamente na CLI gcloud. Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

PowerShell (Windows)

Nota: O comando seguinte pressupõe que iniciou sessão na CLI do Google Ads com a sua conta de utilizador executando gcloud init ou gcloud auth login.gcloud Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

[
  {
    "name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID",
    "createTime": "2023-11-21T17:28:39.962144708Z",
    "updateTime": "2023-11-21T17:28:43.160309410Z",
    "eligibleUsers": [
      {
        "principals": [
          "user:alex@example.com"
        ]
      }
    ],
    "approvalWorkflow": {
      "manualApprovals": {
        "steps": [
          {
            "approvers": [
              {
                "principals": [
                  "user:bola@example.com"
                ]
              }
            ],
            "approvalsNeeded": 1,
            "id": "step-1"
          },
          {
            "approvers": [
              {
                "principals": [
                  "user:bob@example.com",
                  "user:jacob@example.com"
                ]
              }
            ],
            "approvalsNeeded": 2,
            "id": "step-2"
          }
        ]
      }
    },
    "privilegedAccess": {
      "gcpIamAccess": {
        "resourceType": "cloudresourcemanager.googleapis.com/Project",
        "resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
        "roleBindings": [
          {
            "role": "roles/storage.admin",
            "id": "hwqrt_1",
            "conditionExpression": "request.time.getHours() >= 8"
          }
        ]
      }
    },
    "maxRequestDuration": "14400s",
    "state": "AVAILABLE",
    "requesterJustificationConfig": {
      "unstructured": {}
    },
    "additionalNotificationTargets": {
      "adminEmailRecipients": [
        "alex@example.com"
      ]
    },
    "etag": "00000000000000000000000000000000000000000000000000000000000="
  }
]

Obtenha direitos

gcloud

O comando gcloud alpha pam entitlements describe obtém uma autorização específica.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

ENTITLEMENT_ID: o ID da concessão para a qual quer os detalhes.
RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
RESOURCE_ID: usado com RESOURCE_TYPE. O ID do Google Cloud projeto, da pasta ou da organização para a qual quer gerir autorizações. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam entitlements describe \
    ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam entitlements describe `
    ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam entitlements describe ^
    ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

additionalNotificationTargets:
 adminEmailRecipients:
 - alex@example.com
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - id: step-1
      approvalsNeeded: 3
      approvers:
      - principals:
        - user:alex@example.com
        - user:dev-team@example.com
    - id: step-2
      approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
  - user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwarq_1
      conditionExpression: "request.time.getHours() >= 8"
requesterJustificationConfig:
  unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'

REST

O método getEntitlement da API Privileged Access Manager obtém uma autorização específica.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

SCOPE: A organização, a pasta ou o projeto a partir dos quais obter a concessão, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
ENTITLEMENT_ID: o ID da concessão para a qual quer os detalhes.

Método HTTP e URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID",
  "createTime": "2023-11-21T17:28:39.962144708Z",
  "updateTime": "2023-11-21T17:28:43.160309410Z",
  "eligibleUsers": [
    {
      "principals": [
        "user:alex@example.com"
      ]
    }
  ],
  "approvalWorkflow": {
    "manualApprovals": {
      "steps": [
        {
          "approvers": [
            {
              "principals": [
                "user:bola@example.com"
              ]
            }
          ],
          "approvalsNeeded": 1,
          "id": "step-1"
        },
        {
          "approvers": [
            {
              "principals": [
                "user:bob@example.com",
                "user:jacob@example.com"
              ]
            }
          ],
          "approvalsNeeded": 2,
          "id": "step-2"
        }
      ]
    }
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
      "roleBindings": [
        {
          "role": "roles/storage.admin",
          "id": "hwqrt_1",
          "conditionExpression": "request.time.getHours() >= 8"
        }
      ]
    }
  },
  "maxRequestDuration": "14400s",
  "state": "AVAILABLE",
  "requesterJustificationConfig": {
    "unstructured": {}
  },
  "additionalNotificationTargets": {
    "adminEmailRecipients": [
      "alex@example.com"
    ]
  },
  "etag": "00000000000000000000000000000000000000000000000000000000000="
}

Exporte autorizações através da CLI gcloud

O comando gcloud alpha pam entitlements export exporta uma autorização específica para um ficheiro YAML.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

ENTITLEMENT_ID: o ID da concessão a exportar.
FILENAME: o nome do ficheiro para exportar o conteúdo dos direitos.
RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
RESOURCE_ID: usado com RESOURCE_TYPE. O ID do Google Cloud projeto, da pasta ou da organização para a qual quer gerir autorizações. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam entitlements export \
    ENTITLEMENT_ID \
    --destination=FILENAME.yaml \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam entitlements export `
    ENTITLEMENT_ID `
    --destination=FILENAME.yaml `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam entitlements export ^
    ENTITLEMENT_ID ^
    --destination=FILENAME.yaml ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

Exported [projects/my-project/locations/global/entitlements/ENTITLEMENT_ID] to 'FILENAME.yaml'.

Atualize direitos através de programação

Tenha em atenção o seguinte quando atualizar uma autorização:

A configuração de concessão atualizada aplica-se apenas a concessões pedidas após a atualização. No entanto, as alterações de aprovadores também se aplicam a pedidos de concessão existentes que ainda não foram aprovados nem recusados.
Para fazer alterações ao fluxo de trabalho de aprovação de uma concessão que exijam um segundo nível de aprovação ou mais do que uma aprovação em qualquer nível, tem de ter o nível Security Command Center Premium ou Enterprise ativado ao nível da organização. Esta funcionalidade está disponível em pré-visualização.
Só pode fazer as seguintes alterações estruturais ao fluxo de trabalho de aprovação de uma concessão se não existirem concessões para essa concessão a aguardar aprovação:
- Adicionar ou remover um nível de aprovação.
- Alterar o número de aprovações necessárias para qualquer nível.
Esta funcionalidade está disponível em pré-visualização.
Pode alterar a lista de aprovadores em qualquer nível de aprovação, mesmo que existam concessões pendentes de aprovação.

gcloud

O comando gcloud alpha pam entitlements update atualiza uma autorização específica.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

ENTITLEMENT_ID: o ID da autorização a atualizar.
RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
RESOURCE_ID: usado com RESOURCE_TYPE. O ID do Google Cloud projeto, da pasta ou da organização para a qual quer gerir autorizações. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
FILENAME: um ficheiro que contém a configuração modificada da concessão. Para criar este ficheiro, obtenha ou exporte a autorização existente, guarde a resposta num ficheiro YAML e, em seguida, modifique-a para usar como corpo do seu pedido de atualização. Tem de incluir o ETAG no corpo para atualizar a versão mais recente da concessão. Para ver os campos disponíveis que pode alterar ou adicionar, consulte o artigo Crie autorizações de forma programática.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam entitlements update \
    ENTITLEMENT_ID \
    --entitlement-file=FILENAME.yaml \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam entitlements update `
    ENTITLEMENT_ID `
    --entitlement-file=FILENAME.yaml `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam entitlements update ^
    ENTITLEMENT_ID ^
    --entitlement-file=FILENAME.yaml ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

Request issued for: [ENTITLEMENT_ID]
Waiting for operation [RESOURCE_TYPE/RESOURCE_ID/locations/global/operations/OPERATION_ID] to complete...done.
Updated entitlement [ENTITLEMENT_ID].
additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - id: step-1
      approvalsNeeded: 3
      approvers:
      - principals:
        - user:alex@example.com
        - user:dev-team@example.com
    - id: step-2
      approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
  - user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwarq_1
      conditionExpression: "request.time.getHours() >= 8"
requesterJustificationConfig:
  unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'

REST

O método updateEntitlement da API Privileged Access Manager atualiza uma autorização específica.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
ENTITLEMENT_ID: o ID da autorização a atualizar.
UPDATED_FIELDS: uma lista separada por vírgulas dos campos que estão a ser atualizados na concessão. Por exemplo:
```
?updateMask=privilegedAccess,maxRequestDuration
```
Para todos os campos atualizáveis, defina a máscara de atualização como *.
REQUEST_ID: opcional. Tem de ser um UUID diferente de zero. Se o servidor receber um pedido com um ID do pedido, verifica se outro pedido com esse ID já foi concluído nos últimos 60 minutos. Se for o caso, o novo pedido é ignorado.
request.json: um ficheiro que contém a configuração modificada da concessão. Para criar este ficheiro, obtenha ou exporte a autorização existente, guarde a resposta no ficheiro com o nome request.json e, em seguida, modifique-o para usar como corpo do pedido de atualização. Tem de incluir o ETAG no corpo para atualizar a versão mais recente da concessão. Para ver os campos disponíveis que pode alterar ou adicionar, consulte Crie autorizações de forma programática.

Método HTTP e URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?updateMask=UPDATED_FIELDS&requestId=REQUEST_ID

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?updateMask=UPDATED_FIELDS&requestId=REQUEST_ID"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?updateMask=UPDATED_FIELDS&requestId=REQUEST_ID" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "projects/my-project/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Para verificar o progresso de uma operação de atualização, pode enviar um pedido GET para o seguinte ponto final:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envie um pedido GET para o seguinte ponto final para listar todas as operações:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Elimine direitos de utilização por programação

gcloud

O comando gcloud alpha pam entitlements delete elimina uma autorização específica.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

ENTITLEMENT_ID: o ID do direito de utilização a eliminar.
RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
RESOURCE_ID: usado com RESOURCE_TYPE. O ID do Google Cloud projeto, da pasta ou da organização para a qual quer gerir autorizações. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam entitlements delete \
    ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam entitlements delete `
    ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam entitlements delete ^
    ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

Delete request issued for: [ENTITLEMENT_ID]
Waiting for operation [projects/my-project/locations/global/operations/OPERATION_ID] to complete...done.
Deleted entitlement [ENTITLEMENT_ID].

REST

O método deleteEntitlement da API Privileged Access Manager elimina uma autorização específica.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

SCOPE: a organização, a pasta ou o projeto no qual eliminar a concessão, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
ENTITLEMENT_ID: o ID da autorização a eliminar.
REQUEST_ID: opcional. Tem de ser um UUID diferente de zero. Se o servidor receber um pedido com um ID do pedido, verifica se já foi concluído outro pedido com esse ID nos últimos 60 minutos. Se for o caso, o novo pedido é ignorado.

Método HTTP e URL:

DELETE https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?requestId=REQUEST_ID

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?requestId=REQUEST_ID"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?requestId=REQUEST_ID" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "projects/my-project/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-06T02:28:28.020293460Z",
    "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Para verificar o progresso de uma operação de eliminação, pode enviar um pedido GET para o seguinte ponto final:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envie um pedido GET para o seguinte ponto final para listar todas as operações:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Ver, atualizar e eliminar autorizações no Gestor de acesso privilegiado Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Antes de começar

Autorizações necessárias

Ver, atualizar e eliminar concessões através da Google Cloud consola

Veja concessões através de programação

Apresentar concessões

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Obtenha direitos

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Exporte autorizações através da CLI gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Atualize direitos através de programação

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Elimine direitos de utilização por programação

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

O que se segue?

Ver, atualizar e eliminar autorizações no Gestor de acesso privilegiado