Esta página se ha traducido con Cloud Translation API.

Configurar los ajustes de Privileged Access Manager

Como administrador de la configuración de Privileged Access Manager, puedes configurar algunos ajustes adicionales para el flujo de trabajo de aprobación y las preferencias de notificación.

Los ajustes que configures a nivel de organización o carpeta se aplicarán automáticamente a sus recursos secundarios, a menos que los anules explícitamente a nivel de recurso secundario.

Puedes habilitar cuentas de servicio como aprobadores aptos. Este ajuste permite a los administradores añadir cuentas de servicio e identidades en grupos de identidades de carga de trabajo como aprobadores al crear o modificar un derecho.

Puedes personalizar las preferencias de notificación de todo el recurso para varios eventos de Privileged Access Manager. Para ello, inhabilita selectivamente las notificaciones de eventos y usuarios concretos, o inhabilita todas las notificaciones.

Antes de empezar

Para obtener los permisos que necesitas para configurar los ajustes de Privileged Access Manager, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:

Configura los ajustes de tu proyecto, carpeta u organización: Administrador de ajustes de PAM (roles/privilegedaccessmanager.settingsAdmin) en tu organización
Para ver la configuración de tu proyecto, carpeta u organización, sigue estos pasos: Visor de configuración de PAM (roles/privilegedaccessmanager.settingsViewer) en tu proyecto, carpeta u organización

Estos roles predefinidos contienen los permisos necesarios para configurar los ajustes de Gestor de acceso con privilegios. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para configurar los ajustes de Privileged Access Manager, se necesitan los siguientes permisos:

Configura los ajustes: privilegedaccessmanager.settings.update
Ver ajustes:
- privilegedaccessmanager.settings.get
- privilegedaccessmanager.settings.fetchEffective

Habilitar cuentas de servicio como aprobadores

Consola

Ve a la página Privileged Access Manager.

Ir a Privileged Access Manager
Selecciona la organización, la carpeta o el proyecto.
Haz clic en la pestaña Configuración. En la sección Fuente de configuración, la opción Heredar del elemento superior está seleccionada de forma predeterminada.
Para anular la configuración heredada del recurso superior en un recurso secundario, en la sección Cuenta de servicio como aprobador, selecciona Anular herencia.
Para habilitar la opción de cuenta de servicio como aprobador, activa el interruptor Habilitar cuenta de servicio como aprobador y haz clic en Guardar.

Nota: Si inhabilitas este ajuste, no se aprobarán las concesiones que requieran la aprobación de cuentas de servicio. Si tus derechos solo tienen cuentas de servicio como aprobadores, no serán efectivos.

REST

El método updateSettings de la API Privileged Access Manager configura Privileged Access Manager adicional.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

SCOPE: la organización, la carpeta o el proyecto para los que quieras actualizar la configuración, con el formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
UPDATED_FIELDS: lista de campos separados por comas que deben actualizarse en la configuración. Por ejemplo, emailNotificationSettings,serviceAccountApproverSettings.
Para actualizar todos los campos que se pueden modificar, define la máscara de actualización como *.
SA_AS_APPROVER: valor booleano del campo serviceAccountApproverSettings que indica si las cuentas de servicio pueden aprobar concesiones. El valor predeterminado es false.
- Si especifica el campo serviceAccountApproverSettings con un valor, ese ajuste se aplicará a su recurso.
- Si especifica el campo serviceAccountApproverSettings, pero lo deja vacío, se aplicará la configuración predeterminada a su recurso.
- Si no especifica el campo serviceAccountApproverSettings, el recurso hereda la configuración del recurso superior.
Si inhabilitas este ajuste, no se aprobarán las concesiones que requieran la aprobación de cuentas de servicio. Si tus derechos solo tienen cuentas de servicio como aprobadores, no serán efectivos.
request.json: un archivo que contiene los ajustes modificados. Para crear este archivo, obtén la configuración actual, guarda la respuesta en un archivo llamado request.json y, a continuación, modifícalo para usarlo como cuerpo de tu solicitud de actualización. Debes incluir el ETAG en el cuerpo para actualizar la versión más reciente de los ajustes.

Método HTTP y URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Cuerpo JSON de la solicitud:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: En el siguiente comando se presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login , o bien usando Cloud Shell, que inicia sesión automáticamente en la CLI de gcloud . Para comprobar la cuenta activa, ejecuta el comando gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS"

PowerShell (Windows)

Nota: El siguiente comando presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login . Para comprobar la cuenta activa, ejecuta el comando gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la siguiente:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Para comprobar el progreso de una operación de actualización, puedes enviar una solicitud GET al siguiente endpoint:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envía una solicitud GET al siguiente endpoint para enumerar todas las operaciones:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Personalizar las preferencias de las notificaciones

Consola

Ve a la página Privileged Access Manager.

Ir a Privileged Access Manager
Selecciona la organización, la carpeta o el proyecto.
Haz clic en la pestaña Configuración.

En la sección Notificaciones, la opción Heredar del elemento superior está seleccionada de forma predeterminada.

En la siguiente tabla se muestran las preferencias de notificaciones predeterminadas:

Evento	Administrador	Solicitante	Aprobador
Derecho asignado	-	&checkmark;	-
La concesión requiere aprobación	-	-	&checkmark;
Las concesiones se han activado	&checkmark;	&checkmark;	-
Se deniegan las concesiones	-	&checkmark;	-
Las concesiones han caducado	-	&checkmark;	-
Las concesiones han finalizado	&checkmark;	&checkmark;	-
Se han revocado las concesiones	-	&checkmark;	-
Las concesiones se modifican externamente	&checkmark;	&checkmark;	-
No se ha podido activar la concesión	&checkmark;	&checkmark;	-

Para anular la herencia de la configuración del padre, activa el interruptor Enviar notificaciones de los siguientes eventos.
Para inhabilitar las notificaciones del evento y el perfil de PAM obligatorios, desmarca las casillas correspondientes y haz clic en Guardar.
Para inhabilitar todas las notificaciones, desmarca la opción Enviar notificaciones de los siguientes eventos y haz clic en Guardar.

REST

El método updateSettings de la API Privileged Access Manager configura Privileged Access Manager adicional.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

SCOPE: la organización, la carpeta o el proyecto para los que quieras actualizar la configuración, con el formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
UPDATED_FIELDS: lista de campos separados por comas que deben actualizarse en la configuración. Por ejemplo, emailNotificationSettings,serviceAccountApproverSettings.
Para actualizar todos los campos que se pueden modificar, define la máscara de actualización como *.
NOTIFICATION_MODE: En el campo emailNotificationSettings, usa ENABLED para enviar correos de notificación del evento o DISABLED para evitarlo.
- Si especifica el campo emailNotificationSettings con un valor, ese ajuste se aplicará a su recurso.
- Si especifica el campo emailNotificationSettings, pero lo deja vacío, se aplicará la configuración predeterminada a su recurso.
- Si no especifica el campo emailNotificationSettings, el recurso hereda la configuración del recurso superior.
request.json: un archivo que contiene los ajustes modificados. Para crear este archivo, obtén la configuración actual, guarda la respuesta en un archivo llamado request.json y, a continuación, modifícalo para usarlo como cuerpo de tu solicitud de actualización. Debes incluir el ETAG en el cuerpo para actualizar la versión más reciente de los ajustes.

Método HTTP y URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Cuerpo JSON de la solicitud:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la siguiente:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Para comprobar el progreso de una operación de actualización, puedes enviar una solicitud GET al siguiente endpoint:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envía una solicitud GET al siguiente endpoint para enumerar todas las operaciones:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Siguientes pasos

Ver la configuración de Privileged Access Manager

Configurar los ajustes de Privileged Access Manager Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Antes de empezar

Permisos obligatorios

Habilitar cuentas de servicio como aprobadores

Consola

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Personalizar las preferencias de las notificaciones

Consola

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Siguientes pasos

Configurar los ajustes de Privileged Access Manager