Privileged Access Manager の設定を構成する

Privileged Access Manager 設定の管理者は、承認ワークフローと通知設定に関する追加の設定を構成できます。

組織レベルまたはフォルダレベルで構成した設定は、子リソース レベルで明示的にオーバーライドしない限り、子リソースに自動的に適用されます。

サービス アカウントを承認者として有効にできます。この設定により、管理者は利用資格の作成または変更時に、サービス アカウントと Workload Identity プール内の ID を承認者として追加できます。

特定イベントと特定のペルソナの通知を無効にするか、すべての通知を無効にすることで、さまざまな Privileged Access Manager イベントのリソース全体の通知設定をカスタマイズできます。

始める前に

Privileged Access Manager の設定を構成するために必要な権限を取得するには、次の IAM ロールを付与するよう管理者に依頼してください。

  • プロジェクト、フォルダ、組織の設定を構成する: 組織に対する PAM 設定管理者 roles/privilegedaccessmanager.settingsAdmin
  • プロジェクト、フォルダ、組織の設定を表示する: プロジェクト、フォルダ、組織に対する PAM 設定閲覧者 roles/privilegedaccessmanager.settingsViewer

これらの事前定義ロールには、Privileged Access Manager の設定に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

Privileged Access Manager の設定を構成するには、次の権限が必要です。

  • 設定を構成します。 privilegedaccessmanager.settings.update
  • 設定を表示する:
    • privilegedaccessmanager.settings.get
    • privilegedaccessmanager.settings.fetchEffective

承認者としてサービス アカウントを有効にする

コンソール

  1. [Privileged Access Manager] ページに移動します。

    Privileged Access Manager に移動

  2. 組織、フォルダ、プロジェクトを選択します。

  3. [設定] タブをクリックします。[設定のソース] セクションでは、デフォルトで [親から継承] が選択されています。

  4. 子リソースで親リソースから継承された設定をオーバーライドするには、[承認者としてのサービス アカウント] セクションで [継承をオーバーライド] を選択します。

  5. 承認者としてサービス アカウントを有効にする設定を有効にするには、[承認者としてサービス アカウントを有効にする] 切り替えボタンをオンにして、[保存] をクリックします。

REST

Privileged Access Manager API の updateSettings メソッドは、追加の Privileged Access Manager を構成します。

リクエストのデータを使用する前に、次のように置き換えます。

  • SCOPE: 設定を更新する組織、フォルダ、またはプロジェクト。organizations/ORGANIZATION_IDfolders/FOLDER_ID、または projects/PROJECT_ID の形式で指定します。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。
  • UPDATED_FIELDS: 設定で更新する必要があるフィールドのカンマ区切りリスト。例: emailNotificationSettings,serviceAccountApproverSettings

    変更可能なすべてのフィールドを更新するには、更新マスクを * に設定します。

  • SA_AS_APPROVER: サービス アカウントが権限付与を承認できるかどうかを示す serviceAccountApproverSettings フィールドのブール値。デフォルト値は false です。
    • serviceAccountApproverSettings フィールドに値を指定すると、その設定がリソースに適用されます。
    • serviceAccountApproverSettings フィールドを指定しても空白のままにすると、デフォルトの設定がリソースに適用されます。
    • serviceAccountApproverSettings フィールドをまったく指定しない場合、リソースは親リソースから設定を継承します。

    この設定を無効にすると、サービス アカウントからの承認が必要な権限付与は承認されません。利用資格の承認者がサービス アカウントのみの場合、その利用資格は有効になりません。

  • request.json: 変更された設定を含むファイル。このファイルを作成するには、既存の設定を取得し、request.json という名前のファイルに保存します。次に、このファイルを更新リクエストの本文として使用するように変更します。最新バージョンの設定を更新するには、本文に ETAG を含める必要があります。

HTTP メソッドと URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

リクエストの本文(JSON): 

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

リクエストを送信するには、次のいずれかのオプションを展開します。

次のような JSON レスポンスが返されます。


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

更新オペレーションの進行状況を確認するには、次のエンドポイントに GET リクエストを送信します。

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

次のエンドポイントに GET リクエストを送信して、すべてのオペレーションのリストを取得します。

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

通知設定をカスタマイズする

コンソール

  1. [Privileged Access Manager] ページに移動します。

    Privileged Access Manager に移動

  2. 組織、フォルダ、プロジェクトを選択します。

  3. [Settings] タブをクリックします。

  4. [通知] セクションでは、デフォルトで [親から継承] が選択されています。

    次の表に、デフォルトの通知設定を示します。

    イベント 管理者 リクエスト元 承認者
    利用資格が割り当てられました - ✓ -
    権限付与には承認が必要です - - ✓
    付与が有効になった ✓ ✓ -
    権限付与が拒否される - ✓ -
    付与の有効期限が切れている - ✓ -
    付与が終了しました ✓ ✓ -
    権限付与が取り消される - ✓ -
    権限付与が外部で変更されている ✓ ✓ -
    権限付与を有効にできませんでした ✓ ✓ -

  5. 親からの設定の継承をオーバーライドするには、[次のイベントの通知を送信する] 切り替えをオンにします。

  6. 必要な PAM イベントとペルソナの通知を無効にするには、対応するチェックボックスをオフにして、[保存] をクリックします。

  7. すべての通知を無効にするには、[次のイベントの通知を送信する] をオフにして、[保存] をクリックします。

REST

Privileged Access Manager API の updateSettings メソッドは、追加の Privileged Access Manager を構成します。

リクエストのデータを使用する前に、次のように置き換えます。

  • SCOPE: 設定を更新する組織、フォルダ、またはプロジェクト。organizations/ORGANIZATION_IDfolders/FOLDER_ID、または projects/PROJECT_ID の形式で指定します。プロジェクト ID は英数字からなる文字列です(例: my-project)。フォルダ ID と組織 ID は数値です(例: 123456789012)。
  • UPDATED_FIELDS: 設定で更新する必要があるフィールドのカンマ区切りリスト。例: emailNotificationSettings,serviceAccountApproverSettings

    変更可能なすべてのフィールドを更新するには、更新マスクを * に設定します。

  • NOTIFICATION_MODE: emailNotificationSettings フィールドで、ENABLED を使用してイベントの通知メールを送信するか、DISABLED を使用して送信しないようにします。
    • emailNotificationSettings フィールドに値を指定すると、その設定がリソースに適用されます。
    • emailNotificationSettings フィールドを指定しても空白のままにすると、デフォルトの設定がリソースに適用されます。
    • emailNotificationSettings フィールドをまったく指定しない場合、リソースは親リソースから設定を継承します。
  • request.json: 変更された設定を含むファイル。このファイルを作成するには、既存の設定を取得し、request.json という名前のファイルに保存します。次に、このファイルを更新リクエストの本文として使用するように変更します。最新バージョンの設定を更新するには、本文に ETAG を含める必要があります。

HTTP メソッドと URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

リクエストの本文(JSON): 

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

リクエストを送信するには、次のいずれかのオプションを展開します。

次のような JSON レスポンスが返されます。


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

更新オペレーションの進行状況を確認するには、次のエンドポイントに GET リクエストを送信します。

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

次のエンドポイントに GET リクエストを送信して、すべてのオペレーションのリストを取得します。

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

次のステップ