Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi setelan Privileged Access Manager

Sebagai administrator setelan Pengelola Akses Istimewa, Anda dapat mengonfigurasi beberapa setelan tambahan untuk alur kerja persetujuan dan preferensi notifikasi.

Setelan yang Anda konfigurasi di tingkat organisasi atau folder akan otomatis diterapkan ke resource turunannya, kecuali jika Anda secara eksplisit mengganti setelan di tingkat resource turunan.

Anda dapat mengaktifkan akun layanan sebagai pemberi persetujuan yang memenuhi syarat. Setelan ini memungkinkan administrator menambahkan akun layanan dan identitas di workload identity pool sebagai pemberi persetujuan saat membuat atau mengubah hak.

Anda dapat menyesuaikan preferensi notifikasi di seluruh resource untuk berbagai peristiwa Privileged Access Manager dengan menonaktifkan notifikasi secara selektif untuk peristiwa dan persona tertentu, atau menonaktifkan semua notifikasi.

Sebelum memulai

Untuk mendapatkan izin yang diperlukan untuk mengonfigurasi setelan Privileged Access Manager, minta administrator Anda untuk memberi Anda peran IAM berikut:

Mengonfigurasi setelan untuk project, folder, atau organisasi Anda: PAM Settings Admin (roles/privilegedaccessmanager.settingsAdmin) di organisasi Anda
Melihat setelan untuk project, folder, atau organisasi Anda: PAM Settings Viewer (roles/privilegedaccessmanager.settingsViewer) di project, folder, atau organisasi Anda

Peran bawaan ini berisi izin yang diperlukan untuk mengonfigurasi setelan Privileged Access Manager. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mengonfigurasi setelan Privileged Access Manager:

Konfigurasi setelan: privilegedaccessmanager.settings.update
Lihat setelan:
- privilegedaccessmanager.settings.get
- privilegedaccessmanager.settings.fetchEffective

Mengaktifkan akun layanan sebagai pemberi persetujuan

Konsol

Buka halaman Privileged Access Manager.

Buka Privileged Access Manager
Pilih organisasi, folder, atau project.
Klik tab Setelan. Di bagian Sumber setelan, Warisi dari induk dipilih secara default.
Untuk mengganti setelan yang diwarisi dari resource induk pada resource turunan, di bagian Service account as approver, pilih Override inheritance.
Untuk mengaktifkan setelan akun layanan sebagai pemberi persetujuan, aktifkan tombol Aktifkan Akun Layanan Sebagai Pemberi Persetujuan dan klik Simpan.

Catatan: Jika Anda menonaktifkan setelan ini, pemberian yang memerlukan persetujuan dari akun layanan tidak akan disetujui. Jika hak Anda hanya memiliki akun layanan sebagai pemberi persetujuan, hak tersebut tidak akan berlaku.

REST

Metode API Privileged Access Manager updateSettings mengonfigurasi Privileged Access Manager tambahan.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

SCOPE: Organisasi, folder, atau project yang setelannya ingin Anda perbarui, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
UPDATED_FIELDS: Daftar kolom yang dipisahkan koma yang perlu diperbarui dalam setelan. Contoh, emailNotificationSettings,serviceAccountApproverSettings.
Untuk memperbarui semua kolom yang dapat diubah, tetapkan mask update ke *.
SA_AS_APPROVER: Nilai boolean di kolom serviceAccountApproverSettings yang menunjukkan apakah akun layanan diizinkan untuk menyetujui pemberian akses. Nilai defaultnya adalah false.
- Jika Anda menentukan kolom serviceAccountApproverSettings dengan nilai, setelan tersebut akan diterapkan ke resource Anda.
- Jika Anda menentukan kolom serviceAccountApproverSettings, tetapi mengosongkannya, setelan default akan diterapkan ke resource Anda.
- Jika Anda tidak menentukan kolom serviceAccountApproverSettings sama sekali, resource Anda akan mewarisi setelan dari resource induk.
Jika Anda menonaktifkan setelan ini, pemberian yang memerlukan persetujuan dari akun layanan tidak akan disetujui. Jika hak Anda hanya memiliki akun layanan sebagai pemberi persetujuan, hak tersebut tidak akan berlaku.
request.json: File yang berisi setelan yang diubah. Untuk membuat file ini, dapatkan setelan yang ada, simpan respons dalam file bernama request.json, lalu ubah untuk digunakan sebagai isi permintaan pembaruan Anda. Anda harus menyertakan ETAG dalam isi untuk mengupdate setelan versi terbaru.

Metode HTTP dan URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Meminta isi JSON:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Untuk memeriksa progres operasi update, Anda dapat mengirim permintaan GET ke endpoint berikut:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Kirim permintaan GET ke endpoint berikut untuk mencantumkan semua operasi:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Menyesuaikan preferensi notifikasi

Konsol

Buka halaman Privileged Access Manager.

Buka Privileged Access Manager
Pilih organisasi, folder, atau project.
Klik tab Setelan.

Di bagian Notifikasi, Warisi dari induk dipilih secara default.

Tabel berikut menunjukkan preferensi notifikasi default:

Acara	Admin	Pemohon	Pemberi persetujuan
Hak ditetapkan	-	&checkmark;	-
Pemberian akses memerlukan persetujuan	-	-	&checkmark;
Pemberian akses diaktifkan	&checkmark;	&checkmark;	-
Pemberian akses ditolak	-	&checkmark;	-
Pemberian akses sudah tidak berlaku	-	&checkmark;	-
Pemberian akses telah berakhir	&checkmark;	&checkmark;	-
Pemberian akses dicabut	-	&checkmark;	-
Pemberian akses diubah secara eksternal	&checkmark;	&checkmark;	-
Aktivasi pemberian akses gagal	&checkmark;	&checkmark;	-

Untuk mengganti pewarisan setelan dari orang tua, aktifkan tombol Kirim notifikasi untuk peristiwa berikut.
Untuk menonaktifkan notifikasi untuk peristiwa dan persona PAM yang diperlukan, hapus centang pada kotak yang sesuai, lalu klik Simpan.
Untuk menonaktifkan semua notifikasi, hapus centang Kirim notifikasi untuk peristiwa berikut, lalu klik Simpan.

REST

Metode API Privileged Access Manager updateSettings mengonfigurasi Privileged Access Manager tambahan.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

SCOPE: Organisasi, folder, atau project yang setelannya ingin Anda perbarui, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
UPDATED_FIELDS: Daftar kolom yang dipisahkan koma yang perlu diperbarui dalam setelan. Contoh, emailNotificationSettings,serviceAccountApproverSettings.
Untuk memperbarui semua kolom yang dapat diubah, tetapkan mask update ke *.
NOTIFICATION_MODE: Di kolom emailNotificationSettings, gunakan ENABLED untuk mengirim email notifikasi untuk acara atau DISABLED untuk mencegahnya.
- Jika Anda menentukan kolom emailNotificationSettings dengan nilai, setelan tersebut akan diterapkan ke resource Anda.
- Jika Anda menentukan kolom emailNotificationSettings, tetapi mengosongkannya, setelan default akan diterapkan ke resource Anda.
- Jika Anda tidak menentukan kolom emailNotificationSettings sama sekali, resource Anda akan mewarisi setelan dari resource induk.
request.json: File yang berisi setelan yang diubah. Untuk membuat file ini, dapatkan setelan yang ada, simpan respons dalam file bernama request.json, lalu ubah untuk digunakan sebagai isi permintaan pembaruan Anda. Anda harus menyertakan ETAG dalam isi untuk mengupdate setelan versi terbaru.

Metode HTTP dan URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Meminta isi JSON:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS"

PowerShell (Windows)

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Untuk memeriksa progres operasi update, Anda dapat mengirim permintaan GET ke endpoint berikut:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Kirim permintaan GET ke endpoint berikut untuk mencantumkan semua operasi:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Langkah berikutnya

Melihat setelan Privileged Access Manager

Mengonfigurasi setelan Privileged Access Manager Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Sebelum memulai

Izin yang diperlukan

Mengaktifkan akun layanan sebagai pemberi persetujuan

Konsol

REST

curl (Linux, macOS, atau Cloud Shell)

PowerShell (Windows)

Menyesuaikan preferensi notifikasi

Konsol

REST

curl (Linux, macOS, atau Cloud Shell)

PowerShell (Windows)

Langkah berikutnya

Mengonfigurasi setelan Privileged Access Manager