Configurer les paramètres de Privileged Access Manager

En tant qu'administrateur des paramètres de Privileged Access Manager, vous pouvez configurer d'autres paramètres pour le workflow d'approbation et les préférences de notification.

Les paramètres que vous configurez au niveau de l'organisation ou du dossier sont automatiquement appliqués à leurs ressources enfants, sauf si vous les remplacez explicitement au niveau des ressources enfants.

Vous pouvez activer les comptes de service en tant qu'approbateurs éligibles. Ce paramètre permet aux administrateurs d'ajouter des comptes de service et des identités dans les pools d'identités de charge de travail en tant qu'approbateurs lors de la création ou de la modification d'un droit d'accès.

Vous pouvez personnaliser les préférences de notification à l'échelle des ressources pour différents événements Privileged Access Manager en désactivant sélectivement les notifications pour des événements et des personas spécifiques, ou en désactivant toutes les notifications.

Avant de commencer

Pour obtenir les autorisations nécessaires pour configurer les paramètres du gestionnaire d'accès privilégié, demandez à votre administrateur de vous accorder les rôles IAM suivants :

  • Configurez les paramètres de votre projet, dossier ou organisation : Administrateur des paramètres PAM (roles/privilegedaccessmanager.settingsAdmin) sur votre organisation
  • Afficher les paramètres de votre projet, dossier ou organisation : Lecteur des paramètres PAM (roles/privilegedaccessmanager.settingsViewer) sur votre projet, dossier ou organisation

Ces rôles prédéfinis contiennent les autorisations requises pour configurer les paramètres de Privileged Access Manager. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Vous devez disposer des autorisations suivantes pour configurer les paramètres de Privileged Access Manager :

  • Configurez les paramètres : privilegedaccessmanager.settings.update
  • Afficher les paramètres :
    • privilegedaccessmanager.settings.get
    • privilegedaccessmanager.settings.fetchEffective

Activer les comptes de service en tant qu'approbateurs

Console

  1. Accédez à la page Privileged Access Manager.

    Accéder à Privileged Access Manager

  2. Sélectionnez l'organisation, le dossier ou le projet.

  3. Cliquez sur l'onglet Paramètres. Dans la section Source des paramètres, l'option Hériter du parent est sélectionnée par défaut.

  4. Pour remplacer les paramètres hérités de la ressource parente sur une ressource enfant, dans la section Compte de service en tant qu'approbateur, sélectionnez Remplacer l'héritage.

  5. Pour activer le paramètre "Activer le compte de service en tant qu'approbateur", activez le bouton bascule Activer le compte de service en tant qu'approbateur, puis cliquez sur Enregistrer.

REST

La méthode updateSettings de l'API Privileged Access Manager configure des paramètres supplémentaires de Privileged Access Manager.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • SCOPE : organisation, dossier ou projet pour lequel vous souhaitez mettre à jour les paramètres, au format organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont des valeurs numériques, telles que 123456789012.
  • UPDATED_FIELDS : liste des champs à mettre à jour dans les paramètres, séparés par une virgule. Exemple :emailNotificationSettings,serviceAccountApproverSettings

    Pour mettre à jour tous les champs modifiables, définissez le masque de mise à jour sur *.

  • SA_AS_APPROVER : valeur booléenne dans le champ serviceAccountApproverSettings indiquant si les comptes de service sont autorisés à approuver les subventions. La valeur par défaut est false.
    • Si vous spécifiez le champ serviceAccountApproverSettings avec une valeur, ce paramètre est appliqué à votre ressource.
    • Si vous spécifiez le champ serviceAccountApproverSettings, mais que vous le laissez vide, les paramètres par défaut sont appliqués à votre ressource.
    • Si vous ne spécifiez pas du tout le champ serviceAccountApproverSettings, votre ressource hérite des paramètres de la ressource parente.

    Si vous désactivez ce paramètre, les droits d'accès nécessitant l'approbation de comptes de service ne seront pas approuvés. Si vos droits n'ont que des comptes de service comme approbateurs, ils ne sont pas effectifs.

  • request.json : fichier contenant les paramètres modifiés. Pour créer ce fichier, obtenez les paramètres existants, enregistrez la réponse dans un fichier nommé request.json, puis modifiez-la pour l'utiliser comme corps de votre requête de mise à jour. Vous devez inclure l'ETAG dans le corps pour mettre à jour la dernière version des paramètres.

Méthode HTTP et URL : 

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Corps JSON de la requête :

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Pour vérifier la progression d'une opération de mise à jour, vous pouvez envoyer une requête GET au point de terminaison suivant :

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envoyez une requête GET au point de terminaison suivant pour lister toutes les opérations :

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Personnaliser les préférences de notification

Console

  1. Accédez à la page Privileged Access Manager.

    Accéder à Privileged Access Manager

  2. Sélectionnez l'organisation, le dossier ou le projet.

  3. Cliquez sur l'onglet Paramètres.

  4. Dans la section Notifications, l'option Hériter du parent est sélectionnée par défaut.

    Le tableau suivant présente les préférences de notification par défaut :

    Événement Administrateur Demandeur Approbateur
    Droit d'accès attribué - ✓ -
    L'accès nécessite une approbation - - ✓
    Les autorisations sont activées ✓ ✓ -
    Les autorisations sont refusées - ✓ -
    Les autorisations ont expiré - ✓ -
    Les autorisations ont expiré ✓ ✓ -
    Les autorisations sont révoquées - ✓ -
    Les octrois sont modifiés en externe ✓ ✓ -
    Échec de l'activation des autorisations ✓ ✓ -

  5. Pour remplacer l'héritage des paramètres du parent, activez l'option Envoyer des notifications pour les événements suivants.

  6. Pour désactiver les notifications pour l'événement et la persona PAM requis, décochez les cases correspondantes, puis cliquez sur Enregistrer.

  7. Pour désactiver toutes les notifications, décochez Envoyer des notifications pour les événements suivants, puis cliquez sur Enregistrer.

REST

La méthode updateSettings de l'API Privileged Access Manager configure des paramètres supplémentaires de Privileged Access Manager.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • SCOPE : organisation, dossier ou projet pour lequel vous souhaitez mettre à jour les paramètres, au format organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Les ID de projet sont des chaînes alphanumériques, telles que my-project. Les ID de dossier et d'organisation sont des valeurs numériques, telles que 123456789012.
  • UPDATED_FIELDS : liste des champs à mettre à jour dans les paramètres, séparés par une virgule. Exemple :emailNotificationSettings,serviceAccountApproverSettings

    Pour mettre à jour tous les champs modifiables, définissez le masque de mise à jour sur *.

  • NOTIFICATION_MODE : Dans le champ emailNotificationSettings, utilisez ENABLED pour envoyer des notifications par e-mail pour l'événement ou DISABLED pour les empêcher.
    • Si vous spécifiez le champ emailNotificationSettings avec une valeur, ce paramètre est appliqué à votre ressource.
    • Si vous spécifiez le champ emailNotificationSettings, mais que vous le laissez vide, les paramètres par défaut sont appliqués à votre ressource.
    • Si vous ne spécifiez pas du tout le champ emailNotificationSettings, votre ressource hérite des paramètres de la ressource parente.
  • request.json : fichier contenant les paramètres modifiés. Pour créer ce fichier, obtenez les paramètres existants, enregistrez la réponse dans un fichier nommé request.json, puis modifiez-la pour l'utiliser comme corps de votre requête de mise à jour. Vous devez inclure l'ETAG dans le corps pour mettre à jour la dernière version des paramètres.

Méthode HTTP et URL : 

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Corps JSON de la requête :

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Pour envoyer votre requête, développez l'une des options suivantes :

Vous devriez recevoir une réponse JSON de ce type :


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Pour vérifier la progression d'une opération de mise à jour, vous pouvez envoyer une requête GET au point de terminaison suivant :

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envoyez une requête GET au point de terminaison suivant pour lister toutes les opérations :

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Étapes suivantes