Privileged Access Manager 설정 구성

Privileged Access Manager 설정 관리자는 승인 워크플로 및 알림 환경설정에 대한 몇 가지 추가 설정을 구성할 수 있습니다.

조직 또는 폴더 수준에서 구성한 설정은 하위 리소스 수준에서 설정을 명시적으로 재정의하지 않는 한 하위 리소스에 자동으로 적용됩니다.

서비스 계정을 승인 담당자로 사용 설정할 수 있습니다. 이 설정을 사용하면 관리자가 사용 권한을 만들거나 수정할 때 서비스 계정과 워크로드 아이덴티티 풀의 ID를 승인자로 추가할 수 있습니다.

특정 이벤트 및 특정 페르소나에 대한 알림을 선택적으로 사용 중지하거나 모든 알림을 사용 중지하여 다양한 Privileged Access Manager 이벤트에 대한 리소스 전체 알림 환경설정을 맞춤설정할 수 있습니다.

시작하기 전에

관리자에게 다음 IAM 역할을 부여해 달라고 요청하여 권한을 얻어 권한 있는 액세스 관리자 설정을 구성하세요.

  • 프로젝트, 폴더 또는 조직의 설정을 구성합니다. PAM 설정 관리자 (roles/privilegedaccessmanager.settingsAdmin) 조직
  • 프로젝트, 폴더 또는 조직의 설정 보기: 프로젝트, 폴더 또는 조직의 PAM 설정 뷰어 (roles/privilegedaccessmanager.settingsViewer)

이러한 사전 정의된 역할에는 권한 있는 액세스 관리자 설정을 구성하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 펼치세요.

필수 권한

Privileged Access Manager 설정을 구성하려면 다음 권한이 필요합니다.

  • 설정을 구성합니다. privilegedaccessmanager.settings.update
  • 설정 보기:
    • privilegedaccessmanager.settings.get
    • privilegedaccessmanager.settings.fetchEffective

승인 담당자로 서비스 계정 사용 설정

콘솔

  1. Privileged Access Manager 페이지로 이동합니다.

    Privileged Access Manager로 이동

  2. 조직, 폴더 또는 프로젝트를 선택합니다.

  3. 설정 탭을 클릭합니다. 설정 소스 섹션에서 기본적으로 상위에서 상속이 선택되어 있습니다.

  4. 하위 리소스에서 상위 리소스에서 상속된 설정을 재정의하려면 승인자로서의 서비스 계정 섹션에서 상속 재정의를 선택합니다.

  5. 서비스 계정을 승인자로 사용 설정하려면 승인자로 서비스 계정 사용 설정 전환 버튼을 켜고 저장을 클릭합니다.

REST

Privileged Access Manager API의 updateSettings 메서드는 추가 Privileged Access Manager를 구성합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • SCOPE: 설정을 업데이트하려는 조직, 폴더 또는 프로젝트로, organizations/ORGANIZATION_ID, folders/FOLDER_ID 또는 projects/PROJECT_ID 형식입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
  • UPDATED_FIELDS: 설정에서 업데이트해야 하는 필드의 쉼표로 구분된 목록입니다. 예를 들면 emailNotificationSettings,serviceAccountApproverSettings입니다.

    수정 가능한 모든 필드를 업데이트하려면 업데이트 마스크를 *로 설정합니다.

  • SA_AS_APPROVER: 서비스 계정이 승인을 승인할 수 있는지 여부를 나타내는 serviceAccountApproverSettings 필드의 불리언 값입니다. 기본값은 false입니다.
    • serviceAccountApproverSettings 필드를 값과 함께 지정하면 해당 설정이 리소스에 적용됩니다.
    • serviceAccountApproverSettings 필드를 지정했지만 비워두면 기본 설정이 리소스에 적용됩니다.
    • serviceAccountApproverSettings 필드를 전혀 지정하지 않으면 리소스가 상위 리소스의 설정을 상속합니다.

    이 설정을 사용 중지하면 서비스 계정의 승인이 필요한 부여가 승인되지 않습니다. 사용 권한에 서비스 계정만 승인자로 있는 경우 해당 사용 권한은 적용되지 않습니다.

  • request.json: 수정된 설정이 포함된 파일입니다. 이 파일을 만들려면 기존 설정을 가져오고 응답을 request.json 파일에 저장한 후 업데이트 요청 본문으로 사용할 수 있도록 수정합니다. 최신 버전의 설정을 업데이트하려면 본문에 ETAG를 포함해야 합니다.

HTTP 메서드 및 URL: 

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

JSON 요청 본문:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

업데이트 작업 진행 상황을 확인하려면 GET 요청을 다음 엔드포인트에 보내면 됩니다.

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

다음 엔드포인트에 GET 요청을 전송하여 모든 작업을 나열합니다.

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

알림 환경설정 맞춤설정

콘솔

  1. Privileged Access Manager 페이지로 이동합니다.

    Privileged Access Manager로 이동

  2. 조직, 폴더 또는 프로젝트를 선택합니다.

  3. 설정 탭을 클릭합니다.

  4. 알림 섹션에서 기본적으로 상위에서 상속이 선택되어 있습니다.

    다음 표는 기본 알림 환경설정을 보여줍니다.

    이벤트 관리자 요청자 승인 담당자
    사용 권한이 할당됨 - ✓ -
    권한 부여에 승인이 필요함 - - ✓
    지원금이 활성화됨 ✓ ✓ -
    권한 부여가 거부됨 - ✓ -
    권한이 만료됨 - ✓ -
    지원금이 종료됨 ✓ ✓ -
    권한이 취소됨 - ✓ -
    권한이 외부에서 수정됨 ✓ ✓ -
    권한 부여 활성화에 실패했습니다. ✓ ✓ -

  5. 부모의 설정 상속을 재정의하려면 다음 이벤트에 대한 알림 전송 전환 버튼을 사용 설정합니다.

  6. 필수 PAM 이벤트 및 페르소나의 알림을 사용 중지하려면 해당 체크박스를 선택 해제하고 저장을 클릭합니다.

  7. 모든 알림을 사용 중지하려면 다음 이벤트에 대한 알림 전송을 선택 해제하고 저장을 클릭합니다.

REST

Privileged Access Manager API의 updateSettings 메서드는 추가 Privileged Access Manager를 구성합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • SCOPE: 설정을 업데이트하려는 조직, 폴더 또는 프로젝트로, organizations/ORGANIZATION_ID, folders/FOLDER_ID 또는 projects/PROJECT_ID 형식입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
  • UPDATED_FIELDS: 설정에서 업데이트해야 하는 필드의 쉼표로 구분된 목록입니다. 예를 들면 emailNotificationSettings,serviceAccountApproverSettings입니다.

    수정 가능한 모든 필드를 업데이트하려면 업데이트 마스크를 *로 설정합니다.

  • NOTIFICATION_MODE: emailNotificationSettings 필드에서 ENABLED를 사용하여 이벤트 알림 이메일을 보내거나 DISABLED를 사용하여 이메일을 보내지 않습니다.
    • emailNotificationSettings 필드를 값과 함께 지정하면 해당 설정이 리소스에 적용됩니다.
    • emailNotificationSettings 필드를 지정했지만 비워두면 기본 설정이 리소스에 적용됩니다.
    • emailNotificationSettings 필드를 전혀 지정하지 않으면 리소스가 상위 리소스의 설정을 상속합니다.
  • request.json: 수정된 설정이 포함된 파일입니다. 이 파일을 만들려면 기존 설정을 가져오고 응답을 request.json 파일에 저장한 후 업데이트 요청 본문으로 사용할 수 있도록 수정합니다. 최신 버전의 설정을 업데이트하려면 본문에 ETAG를 포함해야 합니다.

HTTP 메서드 및 URL: 

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

JSON 요청 본문:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

업데이트 작업 진행 상황을 확인하려면 GET 요청을 다음 엔드포인트에 보내면 됩니다.

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

다음 엔드포인트에 GET 요청을 전송하여 모든 작업을 나열합니다.

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

다음 단계