Privileged Access Manager-Einstellungen konfigurieren

Als Administrator für Privileged Access Manager-Einstellungen können Sie einige zusätzliche Einstellungen für den Genehmigungsworkflow und die Benachrichtigungseinstellungen konfigurieren.

Die Einstellungen, die Sie auf Organisations- oder Ordnerebene konfigurieren, werden automatisch auf die untergeordneten Ressourcen angewendet, sofern Sie die Einstellungen nicht explizit auf der Ebene der untergeordneten Ressource überschreiben.

Sie können Dienstkonten als berechtigte Genehmiger aktivieren. Mit dieser Einstellung können Administratoren Dienstkonten und Identitäten in Workload Identity-Pools als Genehmiger hinzufügen, wenn sie eine Berechtigung erstellen oder ändern.

Sie können ressourcenweite Benachrichtigungseinstellungen für verschiedene Privileged Access Manager-Ereignisse anpassen, indem Sie Benachrichtigungen für bestimmte Ereignisse und bestimmte Identitäten selektiv deaktivieren oder alle Benachrichtigungen deaktivieren.

Hinweise

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Privileged Access Manager-Einstellungen benötigen:

  • Einstellungen für Ihr Projekt, Ihren Ordner oder Ihre Organisation konfigurieren: PAM Settings Admin (roles/privilegedaccessmanager.settingsAdmin) für Ihre Organisation
  • Einstellungen für Ihr Projekt, Ihren Ordner oder Ihre Organisation ansehen: Betrachter der PAM-Einstellungen (roles/privilegedaccessmanager.settingsViewer) für Ihr Projekt, Ihren Ordner oder Ihre Organisation

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Konfigurieren der Einstellungen für den Privileged Access Manager erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Einstellungen für den privilegierten Zugriff zu konfigurieren:

  • Einstellungen konfigurieren: privilegedaccessmanager.settings.update
  • Einstellungen ansehen:
    • privilegedaccessmanager.settings.get
    • privilegedaccessmanager.settings.fetchEffective

Dienstkonten als Genehmiger aktivieren

Console

  1. Rufen Sie die Seite Privileged Access Manager auf.

    Zu Privileged Access Manager

  2. Wählen Sie die Organisation, den Ordner oder das Projekt aus.

  3. Klicken Sie auf den Tab Einstellungen. Im Abschnitt Quelle der Einstellungen ist standardmäßig Von übergeordneter Organisationseinheit übernehmen ausgewählt.

  4. Wenn Sie Einstellungen überschreiben möchten, die von der übergeordneten Ressource für eine untergeordnete Ressource übernommen wurden, wählen Sie im Abschnitt Dienstkonto als Genehmiger die Option Übernahme überschreiben aus.

  5. Wenn Sie die Einstellung „Dienstkonto als Genehmiger aktivieren“ aktivieren möchten, stellen Sie den Schalter Dienstkonto als Genehmiger aktivieren auf „Ein“ und klicken Sie auf Speichern.

REST

Mit der Methode updateSettings der Privileged Access Manager API wird ein zusätzlicher Privileged Access Manager konfiguriert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, für die Sie die Einstellungen aktualisieren möchten, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • UPDATED_FIELDS: Eine durch Kommas getrennte Liste von Feldern, die in den Einstellungen aktualisiert werden müssen. Beispiel: emailNotificationSettings,serviceAccountApproverSettings.

    Wenn Sie alle Felder aktualisieren möchten, die geändert werden können, legen Sie die Aktualisierungsmaske auf * fest.

  • SA_AS_APPROVER: Ein boolescher Wert im Feld serviceAccountApproverSettings, der angibt, ob Dienstkonten Berechtigungen genehmigen dürfen. Der Standardwert ist false.
    • Wenn Sie das Feld serviceAccountApproverSettings mit einem Wert angeben, wird diese Einstellung auf Ihre Ressource angewendet.
    • Wenn Sie das Feld serviceAccountApproverSettings angeben, es aber leer lassen, werden die Standardeinstellungen auf Ihre Ressource angewendet.
    • Wenn Sie das Feld serviceAccountApproverSettings nicht angeben, werden die Einstellungen der übergeordneten Ressource für Ihre Ressource übernommen.

    Wenn Sie diese Einstellung deaktivieren, werden die Zuweisungen, für die Genehmigungen von Dienstkonten erforderlich sind, nicht genehmigt. Wenn Ihre Berechtigungen nur Dienstkonten als Genehmiger haben, sind sie nicht wirksam.

  • request.json: Eine Datei mit den geänderten Einstellungen. Um diese Datei zu erstellen, rufen Sie die vorhandenen Einstellungen ab, speichern Sie die Antwort in der Datei request.json und ändern Sie sie dann so, dass sie als Text der Aktualisierungsanfrage verwendet werden kann. Sie müssen den ETAG im Text angeben, um die neueste Version der Einstellungen zu aktualisieren.

HTTP-Methode und URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

JSON-Text anfordern:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Wenn Sie den Fortschritt eines Aktualisierungsvorgangs prüfen möchten, können Sie eine GET-Anfrage an den folgenden Endpunkt senden:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Senden Sie eine GET-Anfrage an den folgenden Endpunkt, um alle Vorgänge aufzulisten:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Benachrichtigungseinstellungen anpassen

Console

  1. Rufen Sie die Seite Privileged Access Manager auf.

    Zu Privileged Access Manager

  2. Wählen Sie die Organisation, den Ordner oder das Projekt aus.

  3. Klicken Sie auf den Tab Einstellungen.

  4. Im Bereich Benachrichtigungen ist standardmäßig Vom übergeordneten Element übernehmen ausgewählt.

    In der folgenden Tabelle sind die Standardeinstellungen für Benachrichtigungen aufgeführt:

    Ereignis Admin Anforderer Genehmiger
    Berechtigung zugewiesen - ✓ -
    Erteilung erfordert Genehmigung - - ✓
    Zuschüsse sind aktiviert ✓ ✓ -
    Erteilung abgelehnt - ✓ -
    Erteilungen sind abgelaufen - ✓ -
    Erteilungen beendet ✓ ✓ -
    Erteilungen werden widerrufen - ✓ -
    Erteilungen werden extern geändert ✓ ✓ -
    Fehler bei der Aktivierung von Grants ✓ ✓ -

  5. Wenn Sie die Übernahme von Einstellungen vom übergeordneten Konto überschreiben möchten, aktivieren Sie den Schieberegler Benachrichtigungen für folgende Ereignisse senden.

  6. Wenn Sie Benachrichtigungen für das erforderliche PAM-Ereignis und die erforderliche Persona deaktivieren möchten, entfernen Sie die entsprechenden Häkchen und klicken Sie auf Speichern.

  7. Wenn Sie alle Benachrichtigungen deaktivieren möchten, entfernen Sie das Häkchen bei Benachrichtigungen für folgende Ereignisse senden und klicken Sie auf Speichern.

REST

Mit der Methode updateSettings der Privileged Access Manager API wird ein zusätzlicher Privileged Access Manager konfiguriert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, für die Sie die Einstellungen aktualisieren möchten, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • UPDATED_FIELDS: Eine durch Kommas getrennte Liste von Feldern, die in den Einstellungen aktualisiert werden müssen. Beispiel: emailNotificationSettings,serviceAccountApproverSettings.

    Wenn Sie alle Felder aktualisieren möchten, die geändert werden können, legen Sie die Aktualisierungsmaske auf * fest.

  • NOTIFICATION_MODE: Verwenden Sie im Feld emailNotificationSettings die Option ENABLED, um Benachrichtigungs-E-Mails für das Ereignis zu senden, oder DISABLED, um dies zu verhindern.
    • Wenn Sie das Feld emailNotificationSettings mit einem Wert angeben, wird diese Einstellung auf Ihre Ressource angewendet.
    • Wenn Sie das Feld emailNotificationSettings angeben, es aber leer lassen, werden die Standardeinstellungen auf Ihre Ressource angewendet.
    • Wenn Sie das Feld emailNotificationSettings nicht angeben, werden die Einstellungen der übergeordneten Ressource für Ihre Ressource übernommen.
  • request.json: Eine Datei mit den geänderten Einstellungen. Um diese Datei zu erstellen, rufen Sie die vorhandenen Einstellungen ab, speichern Sie die Antwort in der Datei request.json und ändern Sie sie dann so, dass sie als Text der Aktualisierungsanfrage verwendet werden kann. Sie müssen den ETAG im Text angeben, um die neueste Version der Einstellungen zu aktualisieren.

HTTP-Methode und URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

JSON-Text anfordern:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Wenn Sie den Fortschritt eines Aktualisierungsvorgangs prüfen möchten, können Sie eine GET-Anfrage an den folgenden Endpunkt senden:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Senden Sie eine GET-Anfrage an den folgenden Endpunkt, um alle Vorgänge aufzulisten:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Nächste Schritte