Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare le impostazioni di Privileged Access Manager

In qualità di amministratore delle impostazioni di Privileged Access Manager, puoi configurare alcune impostazioni aggiuntive per il flusso di lavoro di approvazione e le preferenze di notifica.

Le impostazioni che configuri a livello di organizzazione o cartella vengono applicate automaticamente alle relative risorse figlio, a meno che tu non esegua l'override delle impostazioni a livello di risorsa figlio.

Puoi abilitare i service account come approvatori idonei. Questa impostazione consente agli amministratori di aggiungere service account e identità nei pool di identità per i workload come approvatori durante la creazione o la modifica di un diritto.

Puoi personalizzare le preferenze di notifica a livello di risorsa per vari eventi di Privileged Access Manager disattivando selettivamente le notifiche per eventi e personaggi specifici oppure disattivando tutte le notifiche.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per configurare le impostazioni di Privileged Access Manager, chiedi all'amministratore di concederti i seguenti ruoli IAM:

Configura le impostazioni per il progetto, la cartella o l'organizzazione: Amministratore impostazioni PAM (roles/privilegedaccessmanager.settingsAdmin) nella tua organizzazione
Visualizza le impostazioni per il tuo progetto, la tua cartella o la tua organizzazione: PAM Settings Viewer (roles/privilegedaccessmanager.settingsViewer) sul tuo progetto, sulla tua cartella o sulla tua organizzazione

Questi ruoli predefiniti contengono le autorizzazioni necessarie per configurare le impostazioni di Privileged Access Manager. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per configurare le impostazioni di Privileged Access Manager sono necessarie le seguenti autorizzazioni:

Configura le impostazioni: privilegedaccessmanager.settings.update
Visualizza impostazioni:
- privilegedaccessmanager.settings.get
- privilegedaccessmanager.settings.fetchEffective

Abilitare i service account come approvatori

Console

Vai alla pagina Privileged Access Manager.

Vai a Privileged Access Manager
Seleziona l'organizzazione, la cartella o il progetto.
Fai clic sulla scheda Impostazioni. Nella sezione Origine impostazioni, l'opzione Eredita dal genitore è selezionata per impostazione predefinita.
Per ignorare le impostazioni ereditate dalla risorsa padre in una risorsa secondaria, seleziona Ignora ereditarietà nella sezione Service account come approvatore.
Per attivare l'impostazione del account di servizio come approvatore, attiva il pulsante di attivazione/disattivazione Abilita il service account come approvatore e fai clic su Salva.

Nota :se disattivi questa impostazione, le concessioni che richiedono approvazioni da parte degli account di servizio non verranno approvate. Se i tuoi diritti hanno solo account di servizio come approvatori, questi diritti non saranno effettivi.

REST

Il metodo updateSettings dell'API Privileged Access Manager configura Privileged Access Manager aggiuntivo.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

SCOPE: l'organizzazione, la cartella o il progetto per cui vuoi aggiornare le impostazioni, nel formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
UPDATED_FIELDS: un elenco separato da virgole dei campi da aggiornare nelle impostazioni. Ad esempio, emailNotificationSettings,serviceAccountApproverSettings.
Per aggiornare tutti i campi modificabili, imposta la maschera di aggiornamento su *.
SA_AS_APPROVER: un valore booleano nel campo serviceAccountApproverSettings che indica se i service account sono autorizzati ad approvare le concessioni. Il valore predefinito è false.
- Se specifichi il campo serviceAccountApproverSettings con un valore, questa impostazione viene applicata alla risorsa.
- Se specifichi il campo serviceAccountApproverSettings, ma lo lasci vuoto, vengono applicate le impostazioni predefinite alla risorsa.
- Se non specifichi il campo serviceAccountApproverSettings, la risorsa eredita le impostazioni dalla risorsa padre.
Se disattivi questa impostazione, le concessioni che richiedono approvazioni da parte degli account di servizio non verranno approvate. Se i tuoi diritti hanno solo service account come approvatori, questi diritti non sono effettivi.
request.json: un file contenente le impostazioni modificate. Per creare questo file, recupera le impostazioni esistenti, salva la risposta nel file denominato request.json e poi modificalo per utilizzarlo come corpo della richiesta di aggiornamento. Devi includere l'ETAG nel corpo per aggiornare l'ultima versione delle impostazioni.

Metodo HTTP e URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Corpo JSON della richiesta:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Per controllare l'avanzamento di un'operazione di aggiornamento, puoi inviare una richiesta GET al seguente endpoint:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Invia una richiesta GET al seguente endpoint per elencare tutte le operazioni:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Personalizzare le preferenze di notifica

Console

Vai alla pagina Privileged Access Manager.

Vai a Privileged Access Manager
Seleziona l'organizzazione, la cartella o il progetto.
Fai clic sulla scheda Impostazioni.

Nella sezione Notifiche, l'opzione Eredita dal genitore è selezionata per impostazione predefinita.

La tabella seguente mostra le preferenze di notifica predefinite:

Evento	Amministratore	Richiedente	Approvatore
Diritto assegnato	-	&checkmark;	-
La concessione richiede l'approvazione	-	-	&checkmark;
Le sovvenzioni sono attivate	&checkmark;	&checkmark;	-
Le concessioni vengono negate	-	&checkmark;	-
Le concessioni sono scadute	-	&checkmark;	-
Le concessioni sono terminate	&checkmark;	&checkmark;	-
Le concessioni vengono revocate	-	&checkmark;	-
Le concessioni sono modificate esternamente	&checkmark;	&checkmark;	-
Attivazione delle concessioni non riuscita	&checkmark;	&checkmark;	-

Per ignorare l'ereditarietà delle impostazioni dal genitore, attiva l'opzione Invia notifiche per i seguenti eventi.
Per disattivare le notifiche per l'evento e la persona PAM richiesti, deseleziona le caselle di controllo corrispondenti e fai clic su Salva.
Per disattivare tutte le notifiche, deseleziona Invia notifiche per i seguenti eventi e fai clic su Salva.

REST

Il metodo updateSettings dell'API Privileged Access Manager configura Privileged Access Manager aggiuntivo.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

SCOPE: l'organizzazione, la cartella o il progetto per cui vuoi aggiornare le impostazioni, nel formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
UPDATED_FIELDS: un elenco separato da virgole dei campi da aggiornare nelle impostazioni. Ad esempio, emailNotificationSettings,serviceAccountApproverSettings.
Per aggiornare tutti i campi modificabili, imposta la maschera di aggiornamento su *.
NOTIFICATION_MODE: Nel campo emailNotificationSettings, utilizza ENABLED per inviare email di notifica per l'evento o DISABLED per impedirne l'invio.
- Se specifichi il campo emailNotificationSettings con un valore, questa impostazione viene applicata alla risorsa.
- Se specifichi il campo emailNotificationSettings, ma lo lasci vuoto, vengono applicate le impostazioni predefinite alla risorsa.
- Se non specifichi il campo emailNotificationSettings, la risorsa eredita le impostazioni dalla risorsa padre.
request.json: un file contenente le impostazioni modificate. Per creare questo file, recupera le impostazioni esistenti, salva la risposta nel file denominato request.json e poi modificalo per utilizzarlo come corpo della richiesta di aggiornamento. Devi includere l'ETAG nel corpo per aggiornare l'ultima versione delle impostazioni.

Metodo HTTP e URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Corpo JSON della richiesta:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS"

PowerShell (Windows)

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Per controllare l'avanzamento di un'operazione di aggiornamento, puoi inviare una richiesta GET al seguente endpoint:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Invia una richiesta GET al seguente endpoint per elencare tutte le operazioni:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Passaggi successivi

Visualizzare le impostazioni di Privileged Access Manager

Configurare le impostazioni di Privileged Access Manager Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Prima di iniziare

Autorizzazioni obbligatorie

Abilitare i service account come approvatori

Console

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Personalizzare le preferenze di notifica

Console

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Passaggi successivi

Configurare le impostazioni di Privileged Access Manager