Esta página foi traduzida pela API Cloud Translation.

Configure as definições do Gestor de acesso privilegiado

Como administrador das definições do Gestor de acesso privilegiado, pode configurar algumas definições adicionais para o fluxo de trabalho de aprovação e as preferências de notificação.

As definições que configurar ao nível da organização ou da pasta são aplicadas automaticamente aos respetivos recursos secundários, a menos que substitua explicitamente as definições ao nível do recurso secundário.

Pode ativar as contas de serviço como aprovadores elegíveis. Esta definição permite aos administradores adicionar contas de serviço e identidades em Workload Identity Pools como aprovadores quando criam ou modificam uma autorização.

Pode personalizar as preferências de notificação ao nível do recurso para vários eventos do Privileged Access Manager desativando seletivamente as notificações de eventos específicos e personas específicas, ou desativando todas as notificações.

Antes de começar

Para receber as autorizações de que precisa para configurar as definições do Gestor de acesso privilegiado, peça ao seu administrador para lhe conceder as seguintes funções de IAM:

Configure as definições para o seu projeto, pasta ou organização: Administrador das definições de PAM (roles/privilegedaccessmanager.settingsAdmin) na sua organização
Veja as definições do seu projeto, pasta ou organização: Visualizador de definições do PAM (roles/privilegedaccessmanager.settingsViewer) no seu projeto, pasta ou organização

Estas funções predefinidas contêm as autorizações necessárias para configurar as definições do Gestor de acesso privilegiado. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

São necessárias as seguintes autorizações para configurar as definições do Gestor de acesso privilegiado:

Configure as definições: privilegedaccessmanager.settings.update
Ver definições:
- privilegedaccessmanager.settings.get
- privilegedaccessmanager.settings.fetchEffective

Ative as contas de serviço como aprovadores

Consola

Aceda à página Gestor de acesso privilegiado.

Aceda ao Gestor de acesso privilegiado
Selecione a organização, a pasta ou o projeto.
Clique no separador Definições. Na secção Origem das definições, a opção Herdar do principal está selecionada por predefinição.
Para substituir as definições herdadas do recurso principal num recurso secundário, na secção Conta de serviço como aprovador, selecione Substituir herança.
Para ativar a definição de conta de serviço como aprovador, ative o interrutor Ativar conta de serviço como aprovador e clique em Guardar.

Nota: se desativar esta definição, as concessões que requerem aprovações de contas de serviço não são aprovadas. Se as suas autorizações tiverem apenas contas de serviço como aprovadores, essas autorizações não são eficazes.

REST

O método updateSettings da API Privileged Access Manager configura o Privileged Access Manager adicional.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

SCOPE: a organização, a pasta ou o projeto para o qual quer atualizar as definições, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
UPDATED_FIELDS: uma lista separada por vírgulas dos campos que precisam de ser atualizados nas definições. Por exemplo, emailNotificationSettings,serviceAccountApproverSettings.
Para atualizar todos os campos que podem ser modificados, defina a máscara de atualização como *.
SA_AS_APPROVER: um valor booleano no campo serviceAccountApproverSettings que indica se as contas de serviço podem aprovar concessões. O valor predefinido é false.
- Se especificar o campo serviceAccountApproverSettings com um valor, essa definição é aplicada ao seu recurso.
- Se especificar o campo serviceAccountApproverSettings, mas o deixar vazio, as predefinições são aplicadas ao seu recurso.
- Se não especificar o campo serviceAccountApproverSettings, o recurso herda as definições do recurso principal.
Se desativar esta definição, as concessões que requerem aprovações de contas de serviço não são aprovadas. Se as suas autorizações tiverem apenas contas de serviço como aprovadores, essas autorizações não são eficazes.
request.json: um ficheiro que contém as definições modificadas. Para criar este ficheiro, obtenha as definições existentes, guarde a resposta no ficheiro com o nome request.json e, em seguida, modifique-o para usar como corpo do seu pedido de atualização. Tem de incluir o ETAG no corpo para atualizar a versão mais recente das definições.

Método HTTP e URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Corpo JSON do pedido:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Nota: O comando seguinte pressupõe que tem sessão iniciada na CLI gcloud com a sua conta de utilizador executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que inicia automaticamente sessão na CLI gcloud. Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS"

PowerShell (Windows)

Nota: O comando seguinte pressupõe que iniciou sessão na CLI do Google Cloud com a sua conta de utilizador executando gcloud init ou gcloud auth login .gcloud Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Para verificar o progresso de uma operação de atualização, pode enviar um pedido GET para o seguinte ponto final:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envie um pedido GET para o seguinte ponto final para listar todas as operações:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Personalize as preferências de notificação

Consola

Aceda à página Gestor de acesso privilegiado.

Aceda ao Gestor de acesso privilegiado
Selecione a organização, a pasta ou o projeto.
Clique no separador Definições.

Na secção Notificações, a opção Herdar do elemento principal está selecionada por predefinição.

A tabela seguinte mostra as preferências de notificação predefinidas:

Evento	Administrador	Requerente	Aprovador
Concessão atribuída	-	&checkmark;	-
A concessão requer aprovação	-	-	&checkmark;
As subvenções estão ativadas	&checkmark;	&checkmark;	-
As concessões são recusadas	-	&checkmark;	-
As concessões expiraram	-	&checkmark;	-
As subvenções terminaram	&checkmark;	&checkmark;	-
As subvenções são revogadas	-	&checkmark;	-
As concessões são modificadas externamente	&checkmark;	&checkmark;	-
Falha na ativação das subvenções	&checkmark;	&checkmark;	-

Para substituir a herança de definições do elemento principal, ative o botão Enviar notificações para os seguintes eventos.
Para desativar as notificações para o evento e a personagem PAM necessários, desmarque as caixas de verificação correspondentes e clique em Guardar.
Para desativar todas as notificações, desmarque a opção Enviar notificações para os seguintes eventos e clique em Guardar.

REST

O método updateSettings da API Privileged Access Manager configura o Privileged Access Manager adicional.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

SCOPE: a organização, a pasta ou o projeto para o qual quer atualizar as definições, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
UPDATED_FIELDS: uma lista separada por vírgulas dos campos que precisam de ser atualizados nas definições. Por exemplo, emailNotificationSettings,serviceAccountApproverSettings.
Para atualizar todos os campos que podem ser modificados, defina a máscara de atualização como *.
NOTIFICATION_MODE: No campo emailNotificationSettings, use ENABLED para enviar emails de notificação para o evento ou DISABLED para os impedir.
- Se especificar o campo emailNotificationSettings com um valor, essa definição é aplicada ao seu recurso.
- Se especificar o campo emailNotificationSettings, mas o deixar vazio, as predefinições são aplicadas ao seu recurso.
- Se não especificar o campo emailNotificationSettings, o recurso herda as definições do recurso principal.
request.json: um ficheiro que contém as definições modificadas. Para criar este ficheiro, obtenha as definições existentes, guarde a resposta no ficheiro com o nome request.json e, em seguida, modifique-o para usar como corpo do seu pedido de atualização. Tem de incluir o ETAG no corpo para atualizar a versão mais recente das definições.

Método HTTP e URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Corpo JSON do pedido:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS"

PowerShell (Windows)

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Para verificar o progresso de uma operação de atualização, pode enviar um pedido GET para o seguinte ponto final:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envie um pedido GET para o seguinte ponto final para listar todas as operações:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

O que se segue?

Ver definições do Gestor de acesso privilegiado

Configure as definições do Gestor de acesso privilegiado Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Antes de começar

Autorizações necessárias

Ative as contas de serviço como aprovadores

Consola

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Personalize as preferências de notificação

Consola

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

O que se segue?

Configure as definições do Gestor de acesso privilegiado