Esta página foi traduzida pela API Cloud Translation.

Configurar as configurações do Privileged Access Manager

Como administrador das configurações do Privileged Access Manager, você pode configurar outras opções para o fluxo de trabalho de aprovação e as preferências de notificação.

As configurações definidas no nível da organização ou da pasta são aplicadas automaticamente aos recursos filhos, a menos que você substitua explicitamente as configurações no nível do recurso filho.

É possível ativar contas de serviço como aprovadores qualificados. Com essa configuração, os administradores podem adicionar contas de serviço e identidades em pools de identidade da carga de trabalho como aprovadores ao criar ou modificar um direito.

É possível personalizar as preferências de notificação em todo o recurso para vários eventos do Privileged Access Manager. Para isso, desative seletivamente as notificações de eventos e personas específicos ou desative todas as notificações.

Antes de começar

Para receber as permissões necessárias para configurar o Privileged Access Manager, peça ao administrador para conceder a você os papéis do IAM a seguir:

Configure as definições do seu projeto, pasta ou organização: Administrador de configurações do PAM (roles/privilegedaccessmanager.settingsAdmin) na sua organização
Ver as configurações do seu projeto, pasta ou organização: Leitor de configurações do PAM (roles/privilegedaccessmanager.settingsViewer) no seu projeto, pasta ou organização

Esses papéis predefinidos contêm as permissões necessárias para configurar o Privileged Access Manager. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para configurar as opções do Privileged Access Manager:

Defina as configurações: privilegedaccessmanager.settings.update
Ver configurações:
- privilegedaccessmanager.settings.get
- privilegedaccessmanager.settings.fetchEffective

Ativar contas de serviço como aprovadores

Console

Acesse a página Privileged Access Manager.

Acessar o Privileged Access Manager
Selecione a organização, a pasta ou o projeto.
Clique na guia Configurações. Na seção Origem das configurações, a opção Herdar da organização mãe é selecionada por padrão.
Para substituir as configurações herdadas do recurso pai em um recurso filho, na seção Conta de serviço como aprovador, selecione Substituir herança.
Para ativar a configuração "Ativar conta de serviço como aprovador", clique no botão Ativar conta de serviço como aprovador e em Salvar.

Observação: se você desativar essa configuração, as concessões que exigem aprovações de contas de serviço não serão aprovadas. Se os direitos tiverem apenas contas de serviço como aprovadores, eles não serão efetivos.

REST

O método updateSettings da API Privileged Access Manager configura o Privileged Access Manager adicional.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

SCOPE: a organização, a pasta ou o projeto em que você quer atualizar as configurações, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
UPDATED_FIELDS: uma lista separada por vírgulas de campos que precisam ser atualizados nas configurações. Por exemplo, emailNotificationSettings,serviceAccountApproverSettings.
Para atualizar todos os campos que podem ser modificados, defina a máscara de atualização como *.
SA_AS_APPROVER: um valor booleano no campo serviceAccountApproverSettings que indica se as contas de serviço podem aprovar concessões. O valor padrão é false.
- Se você especificar o campo serviceAccountApproverSettings com um valor, essa configuração será aplicada ao seu recurso.
- Se você especificar o campo serviceAccountApproverSettings, mas o deixar vazio, as configurações padrão serão aplicadas ao recurso.
- Se você não especificar o campo serviceAccountApproverSettings, o recurso vai herdar as configurações do recurso pai.
Se você desativar essa configuração, as concessões que exigem aprovações de contas de serviço não serão aprovadas. Se os direitos tiverem apenas contas de serviço como aprovadores, eles não serão efetivos.
request.json: um arquivo que contém as configurações modificadas. Para criar esse arquivo, peça as configurações atuais, salve a resposta em um arquivo request.json e modifique-o para usar como o corpo da solicitação de atualização. É necessário incluir a ETAG no corpo para atualizar a versão mais recente das configurações.

Método HTTP e URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Corpo JSON da solicitação:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você tenha feito login na CLI do gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . Para saber qual é a conta ativa no momento, execute o comando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você tenha feito login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . Para saber qual é a conta ativa no momento, execute o comando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Para verificar o progresso de uma operação de atualização, envie uma solicitação GET para o seguinte endpoint:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envie uma solicitação GET para o endpoint a seguir e liste todas as operações:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Personalizar preferências de notificação

Console

Acesse a página Privileged Access Manager.

Acessar o Privileged Access Manager
Selecione a organização, a pasta ou o projeto.
Clique na guia Configurações.

Na seção Notificações, a opção Herdar do pai é selecionada por padrão.

A tabela a seguir mostra as preferências de notificação padrão:

Evento	Administrador	Solicitante	Aprovador
Direito atribuído	-	&checkmark;	-
A concessão requer aprovação	-	-	&checkmark;
As concessões são ativadas	&checkmark;	&checkmark;	-
As concessões são negadas	-	&checkmark;	-
As concessões expiraram	-	&checkmark;	-
As concessões foram encerradas	&checkmark;	&checkmark;	-
As concessões são revogadas	-	&checkmark;	-
As concessões são modificadas externamente	&checkmark;	&checkmark;	-
Falha na ativação das concessões	&checkmark;	&checkmark;	-

Para substituir a herança de configurações do familiar responsável, ative a opção Enviar notificações para os seguintes eventos.
Para desativar as notificações do evento e da persona de PAM necessários, desmarque as caixas de seleção correspondentes e clique em Salvar.
Para desativar todas as notificações, desmarque Enviar notificações para os seguintes eventos e clique em Salvar.

REST

O método updateSettings da API Privileged Access Manager configura o Privileged Access Manager adicional.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

SCOPE: a organização, a pasta ou o projeto em que você quer atualizar as configurações, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
UPDATED_FIELDS: uma lista separada por vírgulas de campos que precisam ser atualizados nas configurações. Por exemplo, emailNotificationSettings,serviceAccountApproverSettings.
Para atualizar todos os campos que podem ser modificados, defina a máscara de atualização como *.
NOTIFICATION_MODE: No campo emailNotificationSettings, use ENABLED para enviar e-mails de notificação do evento ou DISABLED para impedir o envio.
- Se você especificar o campo emailNotificationSettings com um valor, essa configuração será aplicada ao seu recurso.
- Se você especificar o campo emailNotificationSettings, mas o deixar vazio, as configurações padrão serão aplicadas ao recurso.
- Se você não especificar o campo emailNotificationSettings, o recurso vai herdar as configurações do recurso pai.
request.json: um arquivo que contém as configurações modificadas. Para criar esse arquivo, peça as configurações atuais, salve a resposta em um arquivo request.json e modifique-o para usar como o corpo da solicitação de atualização. É necessário incluir a ETAG no corpo para atualizar a versão mais recente das configurações.

Método HTTP e URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS

Corpo JSON da solicitação:

{
  "emailNotificationSettings": {
    "customNotificationBehavior": {
      "adminNotifications": {
        "grantActivated": "NOTIFICATION_MODE_1",
        "grantActivationFailed": "DISABLED",
        "grantEnded": "ENABLED",
        "grantExternallyModified": "ENABLED"
      },
      "approverNotifications": {
        "pendingApproval": "NOTIFICATION_MODE_2"
      },
      "requesterNotifications": {
        "entitlementAssigned": "ENABLED",
        "grantActivated": "ENABLED",
        "grantExpired": "NOTIFICATION_MODE_3",
        "grantRevoked": "ENABLED"
      }
    }
  },
  "etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
  "name": "SCOPE/locations/global/settings",
  "serviceAccountApproverSettings": {
    "enabled": SA_AS_APPROVER
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS" | Select-Object -Expand Content

Você receberá uma resposta JSON semelhante a esta:


{
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "SCOPE/locations/global/settings",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Para verificar o progresso de uma operação de atualização, envie uma solicitação GET para o seguinte endpoint:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Envie uma solicitação GET para o endpoint a seguir e liste todas as operações:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

A seguir

Ver as configurações do Privileged Access Manager

Configurar as configurações do Privileged Access Manager Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Antes de começar

Permissões necessárias

Ativar contas de serviço como aprovadores

Console

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Personalizar preferências de notificação

Console

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

A seguir

Configurar as configurações do Privileged Access Manager