Esta página foi traduzida pela API Cloud Translation.

Ver, atualizar e eliminar autorizações no Gestor de acesso privilegiado

Depois de criar uma concessão, pode vê-la, atualizá-la ou eliminá-la. As alterações aos requerentes e aos aprovadores de uma autorização podem demorar alguns minutos a propagar-se.

Antes de começar

Para receber as autorizações de que precisa para gerir concessões, peça ao seu administrador que lhe conceda as seguintes funções do IAM na organização, na pasta ou no projeto:

Para gerir autorizações para uma organização:
- Administrador do gestor de acesso privilegiado (roles/privilegedaccessmanager.admin)
- Administrador de segurança (roles/iam.securityAdmin)
Para gerir uma pasta:
- Administrador do Gestor de acesso privilegiado (roles/privilegedaccessmanager.admin)
- Administrador da IAM de pastas (roles/resourcemanager.folderAdmin)
Para gerir direitos de um projeto:
- Administrador do Gestor de acesso privilegiado (roles/privilegedaccessmanager.admin)
- Project IAM Admin (roles/resourcemanager.projectIamAdmin)
Para ver registos de auditoria: Visualizador de registos (roles/logs.viewer)

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Estas funções predefinidas contêm as autorizações necessárias para gerir os direitos. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

São necessárias as seguintes autorizações para gerir concessões:

Para gerir autorizações para uma organização:
- resourcemanager.organizations.get
- resourcemanager.organizations.setIamPolicy
- privilegedaccessmanager.entitlements.create
- privilegedaccessmanager.entitlements.delete
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.entitlements.setIamPolicy
- privilegedaccessmanager.operations.delete
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
Para ver as autorizações de uma organização:
- resourcemanager.organizations.get
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
Para gerir autorizações de uma pasta:
- resourcemanager.folders.get
- resourcemanager.folders.setIamPolicy
- privilegedaccessmanager.entitlements.create
- privilegedaccessmanager.entitlements.delete
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.entitlements.setIamPolicy
- privilegedaccessmanager.operations.delete
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
Para ver as autorizações de uma pasta:
- resourcemanager.folders.get
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
Para gerir direitos de um projeto:
- resourcemanager.projects.get
- resourcemanager.projects.getIamPolicy
- privilegedaccessmanager.entitlements.create
- privilegedaccessmanager.entitlements.delete
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.entitlements.setIamPolicy
- privilegedaccessmanager.operations.delete
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
Para ver as autorizações de um projeto:
- resourcemanager.projects.get
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
Para ver registos de auditoria: logging.logEntries.list

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Ver, atualizar e eliminar concessões através da Google Cloud consola

Aceda à página Gestor de acesso privilegiado.

Aceda ao Gestor de acesso privilegiado
Selecione a organização, a pasta ou o projeto no qual quer gerir as autorizações.
No separador Direitos, clique no separador Direitos para todos os utilizadores. Aqui, pode encontrar as autorizações disponíveis, as funções que concedem e os requerentes e aprovadores válidos.
Na tabela, clique em Mais opções na mesma linha de uma autorização que quer inspecionar.
- Para ver os detalhes da concessão, clique em Ver detalhes da concessão.
- Para ver as concessões associadas à autorização, clique em Ver concessões associadas.
- Para revogar todas as concessões ativas da autorização, clique em Revogar todas as concessões.
- Para eliminar a concessão, clique em Eliminar concessão. Não pode eliminar uma autorização com concessões ativas. Primeiro, tem de revogar as concessões.
Para atualizar uma concessão, clique em Editar concessão na mesma linha da concessão que quer atualizar.

Tenha em atenção o seguinte quando atualizar uma autorização:
- A configuração de concessão atualizada aplica-se apenas a concessões pedidas após a atualização. No entanto, as alterações de aprovadores também se aplicam a pedidos de concessão existentes que ainda não foram aprovados ou recusados.
- Se o nível Premium ou Enterprise do Security Command Center estiver ativado ao nível da organização, pode fazer alterações estruturais ao fluxo de trabalho de aprovação de uma autorização. Estas alterações, que incluem adicionar ou remover a aprovação de segundo nível, adicionar ou remover aprovadores de segundo nível ou alterar as aprovações necessárias por nível, só são permitidas se não existirem concessões para essa autorização pendentes de aprovação.
  
  Esta funcionalidade está disponível em pré-visualização.

Veja autorizações através de programação

Para ver as autorizações de forma programática, pode pesquisá-las, listá-las, obtê-las e exportá-las.

Apresentar concessões

gcloud

O comando gcloud alpha pam entitlements list lista as concessões que pertencem a um âmbito específico.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
RESOURCE_ID: usado com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Google CloudOs IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam entitlements list \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam entitlements list `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam entitlements list ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

additionalNotificationTargets:
  adminEmailRecipients:
  - alex@example.com
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - id: step-1
      approvalsNeeded: 3
      approvers:
      - principals:
        - user:alex@example.com
        - user:dev-team@example.com
    - id: step-2
      approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
  - user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwarq_1
      conditionExpression: "request.time.getHours() >= 8"
requesterJustificationConfig:
  unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'

REST

O método listEntitlements da API Privileged Access Manager lista as autorizações que pertencem a um âmbito específico.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
FILTER: opcional. Devolve autorizações cujos valores de campo correspondem a uma expressão AIP-160.
PAGE_SIZE: opcional. O número de itens a devolver numa resposta.
PAGE_TOKEN: opcional. A partir de que página deve começar a resposta, usando um token de página devolvido numa resposta anterior.

Método HTTP e URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Nota: O comando seguinte pressupõe que tem sessão iniciada na CLI gcloud com a sua conta de utilizador executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que inicia automaticamente sessão na CLI gcloud. Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

PowerShell (Windows)

Nota: O comando seguinte pressupõe que iniciou sessão na CLI do Google Cloud com a sua conta de utilizador executando gcloud init ou gcloud auth login .gcloud Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

[
  {
    "name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID",
    "createTime": "2023-11-21T17:28:39.962144708Z",
    "updateTime": "2023-11-21T17:28:43.160309410Z",
    "eligibleUsers": [
      {
        "principals": [
          "user:alex@example.com"
        ]
      }
    ],
    "approvalWorkflow": {
      "manualApprovals": {
        "steps": [
          {
            "approvers": [
              {
                "principals": [
                  "user:bola@example.com"
                ]
              }
            ],
            "approvalsNeeded": 1,
            "id": "step-1"
          },
          {
            "approvers": [
              {
                "principals": [
                  "user:bob@example.com",
                  "user:jacob@example.com"
                ]
              }
            ],
            "approvalsNeeded": 2,
            "id": "step-2"
          }
        ]
      }
    },
    "privilegedAccess": {
      "gcpIamAccess": {
        "resourceType": "cloudresourcemanager.googleapis.com/Project",
        "resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
        "roleBindings": [
          {
            "role": "roles/storage.admin",
            "id": "hwqrt_1",
            "conditionExpression": "request.time.getHours() >= 8"
          }
        ]
      }
    },
    "maxRequestDuration": "14400s",
    "state": "AVAILABLE",
    "requesterJustificationConfig": {
      "unstructured": {}
    },
    "additionalNotificationTargets": {
      "adminEmailRecipients": [
        "alex@example.com"
      ]
    },
    "etag": "00000000000000000000000000000000000000000000000000000000000="
  }
]

Obtenha direitos de utilização

gcloud

O comando gcloud alpha pam entitlements describe obtém uma concessão específica.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

ENTITLEMENT_ID: o ID da concessão para a qual quer os detalhes.
RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
RESOURCE_ID: usado com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Google CloudOs IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam entitlements describe \
    ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam entitlements describe `
    ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam entitlements describe ^
    ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

additionalNotificationTargets:
 adminEmailRecipients:
 - alex@example.com
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - id: step-1
      approvalsNeeded: 3
      approvers:
      - principals:
        - user:alex@example.com
        - user:dev-team@example.com
    - id: step-2
      approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
  - user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwarq_1
      conditionExpression: "request.time.getHours() >= 8"
requesterJustificationConfig:
  unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'

REST

O método getEntitlement da API Privileged Access Manager obtém uma autorização específica.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

SCOPE: A organização, a pasta ou o projeto a partir do qual obter a concessão, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
ENTITLEMENT_ID: o ID da concessão cujos detalhes quer consultar.

Método HTTP e URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID",
  "createTime": "2023-11-21T17:28:39.962144708Z",
  "updateTime": "2023-11-21T17:28:43.160309410Z",
  "eligibleUsers": [
    {
      "principals": [
        "user:alex@example.com"
      ]
    }
  ],
  "approvalWorkflow": {
    "manualApprovals": {
      "steps": [
        {
          "approvers": [
            {
              "principals": [
                "user:bola@example.com"
              ]
            }
          ],
          "approvalsNeeded": 1,
          "id": "step-1"
        },
        {
          "approvers": [
            {
              "principals": [
                "user:bob@example.com",
                "user:jacob@example.com"
              ]
            }
          ],
          "approvalsNeeded": 2,
          "id": "step-2"
        }
      ]
    }
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
      "roleBindings": [
        {
          "role": "roles/storage.admin",
          "id": "hwqrt_1",
          "conditionExpression": "request.time.getHours() >= 8"
        }
      ]
    }
  },
  "maxRequestDuration": "14400s",
  "state": "AVAILABLE",
  "requesterJustificationConfig": {
    "unstructured": {}
  },
  "additionalNotificationTargets": {
    "adminEmailRecipients": [
      "alex@example.com"
    ]
  },
  "etag": "00000000000000000000000000000000000000000000000000000000000="
}

Exporte autorizações através da CLI gcloud

O comando gcloud alpha pam entitlements export exporta uma autorização específica para um ficheiro YAML.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

ENTITLEMENT_ID: o ID da concessão para exportar.
FILENAME: O nome do ficheiro para exportar o conteúdo dos direitos.
RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
RESOURCE_ID: usado com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Google CloudOs IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam entitlements export \
    ENTITLEMENT_ID \
    --destination=FILENAME.yaml \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam entitlements export `
    ENTITLEMENT_ID `
    --destination=FILENAME.yaml `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam entitlements export ^
    ENTITLEMENT_ID ^
    --destination=FILENAME.yaml ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

Exported [projects/my-project/locations/global/entitlements/ENTITLEMENT_ID] to 'FILENAME.yaml'.

Atualize autorizações através de programação

Tenha em atenção o seguinte quando atualizar uma autorização:

A configuração de concessão atualizada aplica-se apenas a concessões pedidas após a atualização. No entanto, as alterações de aprovadores também se aplicam a pedidos de concessão existentes que ainda não foram aprovados ou recusados.
Se o nível Premium ou Enterprise do Security Command Center estiver ativado ao nível da organização, pode fazer alterações estruturais ao fluxo de trabalho de aprovação de uma autorização. Estas alterações, que incluem adicionar ou remover a aprovação de segundo nível, adicionar ou remover aprovadores de segundo nível ou alterar as aprovações necessárias por nível, só são permitidas se não existirem concessões para essa autorização pendentes de aprovação.

Esta funcionalidade está disponível em pré-visualização.

gcloud

O comando gcloud alpha pam entitlements update atualiza uma concessão específica.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

ENTITLEMENT_ID: o ID da autorização a atualizar.
RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
RESOURCE_ID: usado com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Google CloudOs IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
FILENAME: um ficheiro que contém a configuração modificada da concessão. Para criar este ficheiro, obtenha ou exporte a autorização existente, guarde a resposta num ficheiro YAML e, em seguida, modifique-a para usar como corpo do seu pedido de atualização. Tem de incluir o ETAG no corpo para atualizar a versão mais recente da concessão. Para ver os campos disponíveis que pode alterar ou adicionar, consulte o artigo Crie autorizações de forma programática.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam entitlements update \
    ENTITLEMENT_ID \
    --entitlement-file=FILENAME.yaml \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam entitlements update `
    ENTITLEMENT_ID `
    --entitlement-file=FILENAME.yaml `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam entitlements update ^
    ENTITLEMENT_ID ^
    --entitlement-file=FILENAME.yaml ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

Request issued for: [ENTITLEMENT_ID]
Waiting for operation [RESOURCE_TYPE/RESOURCE_ID/locations/global/operations/OPERATION_ID] to complete...done.
Updated entitlement [ENTITLEMENT_ID].
additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - id: step-1
      approvalsNeeded: 3
      approvers:
      - principals:
        - user:alex@example.com
        - user:dev-team@example.com
    - id: step-2
      approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
  - user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwarq_1
      conditionExpression: "request.time.getHours() >= 8"
requesterJustificationConfig:
  unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'

REST

O método updateEntitlement da API Privileged Access Manager atualiza uma autorização específica.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
ENTITLEMENT_ID: o ID da autorização a atualizar.
UPDATED_FIELDS: uma lista separada por vírgulas dos campos que estão a ser atualizados na concessão. Por exemplo:
```
?updateMask=privilegedAccess,maxRequestDuration
```
Para todos os campos atualizáveis, defina a máscara de atualização como *.
REQUEST_ID: opcional. Tem de ser um UUID diferente de zero. Se o servidor receber um pedido com um ID do pedido, verifica se outro pedido com esse ID já foi concluído nos últimos 60 minutos. Se for o caso, o novo pedido é ignorado.
request.json: um ficheiro que contém a configuração modificada da concessão. Para criar este ficheiro, obtenha ou exporte a autorização existente, guarde a resposta no ficheiro com o nome request.json e, em seguida, modifique-o para usar como corpo do pedido de atualização. Tem de incluir o ETAG no corpo para atualizar a versão mais recente da concessão. Para ver os campos disponíveis que pode alterar ou adicionar, consulte Crie autorizações de forma programática.

Método HTTP e URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?updateMask=UPDATED_FIELDS&requestId=REQUEST_ID

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?updateMask=UPDATED_FIELDS&requestId=REQUEST_ID"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?updateMask=UPDATED_FIELDS&requestId=REQUEST_ID" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "projects/my-project/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Para verificar o progresso de uma operação de atualização, pode enviar um pedido GET para o seguinte ponto final:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envie um pedido GET para o seguinte ponto final para listar todas as operações:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Elimine direitos de utilização por programação

gcloud

O comando gcloud alpha pam entitlements delete elimina uma concessão específica.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

ENTITLEMENT_ID: o ID do direito de utilização a eliminar.
RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
RESOURCE_ID: usado com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Google CloudOs IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam entitlements delete \
    ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam entitlements delete `
    ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam entitlements delete ^
    ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

Delete request issued for: [ENTITLEMENT_ID]
Waiting for operation [projects/my-project/locations/global/operations/OPERATION_ID] to complete...done.
Deleted entitlement [ENTITLEMENT_ID].

REST

O método deleteEntitlement da API Privileged Access Manager elimina uma autorização específica.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

SCOPE: a organização, a pasta ou o projeto no qual eliminar a concessão, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
ENTITLEMENT_ID: o ID do direito de utilização a eliminar.
REQUEST_ID: opcional. Tem de ser um UUID diferente de zero. Se o servidor receber um pedido com um ID do pedido, verifica se já foi concluído outro pedido com esse ID nos últimos 60 minutos. Se for o caso, o novo pedido é ignorado.

Método HTTP e URL:

DELETE https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?requestId=REQUEST_ID

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Execute o seguinte comando:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?requestId=REQUEST_ID"

PowerShell (Windows)

Execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?requestId=REQUEST_ID" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "projects/my-project/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-06T02:28:28.020293460Z",
    "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Para verificar o progresso de uma operação de eliminação, pode enviar um pedido GET para o seguinte ponto final:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envie um pedido GET para o seguinte ponto final para apresentar uma lista de todas as operações:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Ver, atualizar e eliminar autorizações no Gestor de acesso privilegiado Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Antes de começar

Autorizações necessárias

Ver, atualizar e eliminar concessões através da Google Cloud consola

Veja autorizações através de programação

Apresentar concessões

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Obtenha direitos de utilização

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Exporte autorizações através da CLI gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Atualize autorizações através de programação

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Elimine direitos de utilização por programação

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

O que se segue?

Ver, atualizar e eliminar autorizações no Gestor de acesso privilegiado