Se usó la API de Cloud Translation para traducir esta página.

Configura los parámetros de configuración de Privileged Access Manager

Como administrador de la configuración de Privileged Access Manager, puedes configurar algunos parámetros adicionales para el flujo de trabajo de aprobación y las preferencias de notificación.

La configuración que estableces a nivel de la organización o la carpeta se aplica automáticamente a sus recursos secundarios, a menos que anules explícitamente la configuración a nivel del recurso secundario.

Puedes habilitar las cuentas de servicio como responsables de aprobación aptos. Este parámetro de configuración permite que los administradores agreguen cuentas de servicio y identidades en grupos de identidades para cargas de trabajo como responsables de aprobación cuando crean o modifican un derecho.

Puedes personalizar las preferencias de notificación para todo el recurso en relación con varios eventos de Privileged Access Manager. Para ello, inhabilita de forma selectiva las notificaciones para eventos y arquetipos específicos, o bien inhabilita todas las notificaciones.

Antes de comenzar

Para obtener los permisos que necesitas para configurar los parámetros de configuración de Privileged Access Manager, pídele a tu administrador que te otorgue los siguientes roles de IAM:

Configura los parámetros de configuración de tu proyecto, carpeta u organización: Administrador de configuración de PAM (roles/privilegedaccessmanager.settingsAdmin) en tu organización
Consulta la configuración de tu proyecto, carpeta u organización: Visualizador de configuración de PAM (roles/privilegedaccessmanager.settingsViewer) en tu proyecto, carpeta u organización

Estos roles predefinidos contienen los permisos necesarios para configurar los parámetros de configuración de Privileged Access Manager. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para configurar los parámetros de configuración de Privileged Access Manager:

Configura los parámetros de configuración: privilegedaccessmanager.settings.update
Configuración de visualización:
- privilegedaccessmanager.settings.get
- privilegedaccessmanager.settings.fetchEffective

Habilita las cuentas de servicio como responsables de aprobación

Console

Ve a la página Privileged Access Manager.

Ir a Privileged Access Manager
Selecciona la organización, la carpeta o el proyecto.
Haz clic en la pestaña Configuración. En la sección Fuente de configuración, Heredar del elemento superior está seleccionado de forma predeterminada.
Para anular la configuración heredada del recurso principal en un recurso secundario, en la sección Cuenta de servicio como aprobador, selecciona Anular herencia.
Para habilitar el parámetro de configuración de la cuenta de servicio como responsable de aprobación, activa el botón de activación Habilitar la cuenta de servicio como responsable de aprobación y haz clic en Guardar.

Nota: Si inhabilitas este parámetro de configuración, no se aprobarán las concesiones que requieran aprobaciones de cuentas de servicio. Si tus derechos solo tienen cuentas de servicio como aprobadores, esos derechos no serán efectivos.

REST

El método updateSettings de la API de Privileged Access Manager configura Privileged Access Manager adicional.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

SCOPE: La organización, la carpeta o el proyecto para el que deseas actualizar la configuración, en el formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
UPDATED_FIELDS: Es una lista separada por comas de los campos que se deben actualizar en la configuración. Por ejemplo, emailNotificationSettings,serviceAccountApproverSettings
Para actualizar todos los campos que se pueden modificar, establece la máscara de actualización en *.
SA_AS_APPROVER: Es un valor booleano en el campo serviceAccountApproverSettings que indica si se permite que las cuentas de servicio aprueben concesiones. El valor predeterminado es false.
- Si especificas el campo serviceAccountApproverSettings con un valor, se aplicará ese parámetro de configuración a tu recurso.
- Si especificas el campo serviceAccountApproverSettings, pero lo dejas vacío, se aplicará la configuración predeterminada a tu recurso.
- Si no especificas el campo serviceAccountApproverSettings, el recurso heredará la configuración del recurso principal.
Si inhabilitas este parámetro de configuración, no se aprobarán las concesiones que requieran aprobaciones de cuentas de servicio. Si tus derechos solo tienen cuentas de servicio como aprobadores, esos derechos no son válidos.
request.json: Es un archivo que contiene la configuración modificada. Para crear este archivo, obtén la configuración existente, guarda la respuesta en un archivo llamado request.json y, luego, modifícalo para usarlo como cuerpo de tu solicitud de actualización. Debes incluir el ETAG en el cuerpo para actualizar la versión más reciente de la configuración.

Método HTTP y URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Cuerpo JSON de la solicitud:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Para verificar el progreso de una operación de actualización, puedes enviar una solicitud GET al siguiente extremo:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envía una solicitud GET al siguiente extremo para enumerar todas las operaciones:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Cómo personalizar las preferencias de notificaciones

Console

Ve a la página Privileged Access Manager.

Ir a Privileged Access Manager
Selecciona la organización, la carpeta o el proyecto.
Haz clic en la pestaña Configuración.

En la sección Notificaciones, la opción Heredar del elemento superior está seleccionada de forma predeterminada.

En la siguiente tabla, se muestran las preferencias de notificación predeterminadas:

Evento	Administrador	Solicitante	Responsable de aprobación
Se asignó el derecho	-	&checkmark;	-
El permiso requiere aprobación	-	-	&checkmark;
Se activaron las concesiones	&checkmark;	&checkmark;	-
Se rechazan los otorgamientos	-	&checkmark;	-
Las concesiones vencieron	-	&checkmark;	-
Finalizaron los otorgamientos	&checkmark;	&checkmark;	-
Se revocan los otorgamientos	-	&checkmark;	-
Los permisos se modifican de forma externa	&checkmark;	&checkmark;	-
No se pudo completar la activación del otorgamiento	&checkmark;	&checkmark;	-

Para anular la herencia de la configuración de la cuenta principal, activa el botón de activación Enviar notificaciones para los siguientes eventos.
Para inhabilitar las notificaciones del evento y el arquetipo de PAM requeridos, desmarca las casillas de verificación correspondientes y haz clic en Guardar.
Para inhabilitar todas las notificaciones, borra Enviar notificaciones para los siguientes eventos y haz clic en Guardar.

REST

El método updateSettings de la API de Privileged Access Manager configura Privileged Access Manager adicional.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

SCOPE: La organización, la carpeta o el proyecto para el que deseas actualizar la configuración, en el formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
UPDATED_FIELDS: Es una lista separada por comas de los campos que se deben actualizar en la configuración. Por ejemplo, emailNotificationSettings,serviceAccountApproverSettings
Para actualizar todos los campos que se pueden modificar, establece la máscara de actualización en *.
NOTIFICATION_MODE: En el campo emailNotificationSettings, usa ENABLED para enviar correos electrónicos de notificación del evento o DISABLED para impedirlos.
- Si especificas el campo emailNotificationSettings con un valor, se aplicará ese parámetro de configuración a tu recurso.
- Si especificas el campo emailNotificationSettings, pero lo dejas vacío, se aplicará la configuración predeterminada a tu recurso.
- Si no especificas el campo emailNotificationSettings, el recurso heredará la configuración del recurso principal.
request.json: Es un archivo que contiene la configuración modificada. Para crear este archivo, obtén la configuración existente, guarda la respuesta en un archivo llamado request.json y, luego, modifícalo para usarlo como cuerpo de tu solicitud de actualización. Debes incluir el ETAG en el cuerpo para actualizar la versión más reciente de la configuración.

Método HTTP y URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Cuerpo JSON de la solicitud:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Para verificar el progreso de una operación de actualización, puedes enviar una solicitud GET al siguiente extremo:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envía una solicitud GET al siguiente extremo para enumerar todas las operaciones:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

¿Qué sigue?

Cómo ver la configuración de Privileged Access Manager

Configura los parámetros de configuración de Privileged Access Manager Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Antes de comenzar

Permisos necesarios

Habilita las cuentas de servicio como responsables de aprobación

Console

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Cómo personalizar las preferencias de notificaciones

Console

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

¿Qué sigue?

Configura los parámetros de configuración de Privileged Access Manager