Anda dapat membuat hak untuk mengizinkan peningkatan hak istimewa sementara untuk kumpulan prinsipal tertentu. Perhatikan hal-hal berikut saat membuat hak:
Hak dapat dibuat di tingkat organisasi, folder, atau project. Peran yang diberikan oleh hak di setiap tingkat mengikuti hierarki resource Google Cloud. Misalnya, peran yang diberikan oleh hak di tingkat organisasi diwarisi di tingkat folder dan project.
Jika Anda menambahkan grup sebagai pemohon ke hak, semua akun individual dalam grup tersebut dapat meminta pemberian hak tersebut. Namun, hanya akun individual yang meminta pemberian hak istimewa yang dapat menerima hak istimewa yang ditingkatkan.
Jika Anda menambahkan grup sebagai pemberi persetujuan ke hak, semua akun individual dalam grup tersebut dapat menyetujui atau menolak permintaan pemberian.
Peran dasar tidak didukung.
Sebelum memulai
Pastikan Anda telah mengaktifkan Privileged Access Manager dan menyiapkan izin untuknya.
Membuat hak menggunakan konsol Google Cloud
Untuk membuat hak, selesaikan petunjuk berikut:
Buka halaman Privileged Access Manager.
Pilih organisasi, folder, atau project tempat Anda ingin hak berlaku.
Klik tab Hak.
Klik Create.
Tambahkan detail hak berikut:
Nama hak.
Maksimal 30 peran yang akan diberikan di organisasi, folder, atau project. Anda dapat menerapkan kondisi IAM ke peran ini, selama tidak cocok dengan tag resource.
Berapa lama hibah dapat berlangsung berdasarkan hak.
Klik Berikutnya.
Telusuri dan tambahkan hingga 20 akun utama pemohon yang valid untuk hak. Semua jenis utama didukung kecuali
allUsers
danallAuthenticatedUsers
. Anda dapat menambahkan lebih dari 20 identitas dengan menambahkannya ke grup dan mencantumkan grup dalam hak.Pilih apakah akun utama perlu memberikan justifikasi untuk permintaan pemberian.
Klik Berikutnya.
Pilih untuk mengizinkan pemberian peran tanpa persetujuan, atau telusuri dan tambahkan akun utama yang valid yang dapat menyetujui permintaan. Jenis akun utama yang valid adalah sebagai berikut:
Akun Google
Google Grup
Domain Google Workspace
ID kumpulan tenaga kerja
Jika Anda memilih untuk memiliki pemberi persetujuan, pilih juga apakah pemberi persetujuan perlu memberikan justifikasi untuk menyetujui permintaan hibah. Anda dapat menambahkan hingga 20 akun utama yang menyetujui per hak. Anda dapat menambahkan lebih dari 20 identitas dengan menambahkannya ke grup dan mencantumkan grup dalam hak.
Klik Berikutnya.
Opsional: Tambahkan alamat email orang yang akan diberi tahu saat hak tersedia untuk diminta, saat hibah menunggu persetujuan, dan saat peminta diberi akses. Identitas Google yang terkait dengan hak, seperti pemberi persetujuan dan pemohon, akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
Klik Create Entitlement.
Membuat hak secara terprogram
gcloud
Perintah
gcloud beta pam entitlements create
membuat hak di tingkat organisasi, folder,
atau project.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
ENTITLEMENT_ID
: ID hak yang akan dibuat. ID harus terdiri dari 4-63 karakter, dan menggunakan karakter berikut:[a-z0-9-]
. Karakter pertama harus berupa huruf.RESOURCE_TYPE
: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilaiorganization
,folder
, atauproject
.RESOURCE_ID
: Digunakan denganRESOURCE_TYPE
. ID organisasi, folder, atau project Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, sepertimy-project
. Folder dan ID organisasi berupa numerik, seperti123456789012
.SCOPE
: Organisasi, folder, atau project tempat membuat hak, dalam formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
, atauprojects/PROJECT_ID
. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa angka, seperti123456789012
.RESOURCE_MANAGER_RESOURCE_TYPE
:Organization
,Folder
, atauProject
, bergantung pada cakupan.ROLE
: Peran yang akan ditetapkan saat hak diberikan.TIME_IN_SECONDS
: Durasi maksimum pemberian, dalam detik.-
REQUESTING_MEMBER
: Akun utama yang dapat meminta agar hak diberikan. Semua jenis akun utama didukung kecualiallUsers
danallAuthenticatedUsers
. APPROVING_EMAIL
: Opsional. Alamat email tambahan untuk diberi tahu saat hibah telah diminta. Identitas Google yang terkait dengan pemberi persetujuan hibah akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.-
APPROVING_MEMBER
: Akun utama yang dapat menyetujui permintaan hak. Jenis utama yang valid adalah sebagai berikut- Pengguna
- Grup
- Domain
- ID kumpulan tenaga kerja
ADMIN_EMAIL_ADDRESS
: Opsional. Alamat email tambahan untuk diberi tahu saat pemohon diberi akses. Identitas Google yang terkait dengan pemberi persetujuan hibah akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.REQUESTER_EMAIL_ADDRESS
: Opsional. Alamat email tambahan untuk diberi tahu saat hak ini tersedia untuk diminta. Identitas Google yang terkait dengan pemohon hibah akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
Simpan konten berikut ini dalam file yang bernama entitlement.yaml
:
privilegedAccess: gcpIamAccess: resourceType: cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE resource: //cloudresourcemanager.googleapis.com/SCOPE roleBindings: - role: ROLE_1 - role: ROLE_2 maxRequestDuration: TIME_IN_SECONDSs eligibleUsers: - principals: - REQUESTING_MEMBER_1 - REQUESTING_MEMBER_2 approvalWorkflow: manualApprovals: requireApproverJustification: true steps: - approvalsNeeded: 1 approverEmailRecipients: - APPROVING_EMAIL_1 - APPROVING_EMAIL_2 approvers: - principals: - APPROVING_MEMBER_1 - APPROVING_MEMBER_2 requesterJustificationConfig: unstructured: {} additionalNotificationTargets: adminEmailRecipients: - ADMIN_EMAIL_ADDRESS_1 - ADMIN_EMAIL_ADDRESS_2 requesterEmailRecipients: - REQUESTER_EMAIL_ADDRESS_1 - REQUESTER_EMAIL_ADDRESS_2
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta pam entitlements create \ ENTITLEMENT_ID \ --entitlement-file=entitlement.yaml \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam entitlements create ` ENTITLEMENT_ID ` --entitlement-file=entitlement.yaml ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam entitlements create ^ ENTITLEMENT_ID ^ --entitlement-file=entitlement.yaml ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
Create request issued for: [ENTITLEMENT_ID] Waiting for operation [projects/my-project/locations/global/operations/OPERATION_ID] to complete...done. Created entitlement [ENTITLEMENT_ID]. additionalNotificationTargets: {} approvalWorkflow: manualApprovals: requireApproverJustification: true steps: - approvalsNeeded: 1 approvers: - principals: - user:alex@example.com createTime: '2024-04-09T02:39:37.011866832Z' eligibleUsers: - principals: - user:bola@example.com etag: 00000000000000000000000000000000000000000000000000000000000= maxRequestDuration: 7200s name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID privilegedAccess: gcpIamAccess: resource: //cloudresourcemanager.googleapis.com/projects/my-project resourceType: cloudresourcemanager.googleapis.com/Project roleBindings: - role: roles/storage.admin requesterJustificationConfig: unstructured: {} state: AVAILABLE updateTime: '2024-04-09T02:39:40.066770306Z'
REST
Metode
createEntitlement
Privileged Access Manager API membuat hak di tingkat organisasi, folder,
atau project.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE
: Organisasi, folder, atau project tempat membuat hak, dalam formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
, atauprojects/PROJECT_ID
. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa angka, seperti123456789012
.ENTITLEMENT_ID
: ID hak yang akan dibuat. ID harus terdiri dari 4-63 karakter, dan menggunakan karakter berikut:[a-z0-9-]
. Karakter pertama harus berupa huruf.REQUEST_ID
: Opsional. Harus berupa UUID yang bukan nol. Jika server menerima permintaan dengan ID permintaan, server akan memeriksa apakah permintaan lain dengan ID tersebut telah selesai dalam 60 menit terakhir. Jika demikian, permintaan baru akan diabaikan.RESOURCE_MANAGER_RESOURCE_TYPE
:Organization
,Folder
, atauProject
, bergantung pada cakupan.ROLE
: Peran yang akan ditetapkan saat hak diberikan.TIME_IN_SECONDS
: Durasi maksimum pemberian izin, dalam detik.-
REQUESTING_MEMBER
: Akun utama yang dapat meminta hak diberikan. Semua jenis akun utama didukung kecualiallUsers
danallAuthenticatedUsers
. -
APPROVING_MEMBER
: Akun utama yang dapat menyetujui permintaan hak. Jenis utama yang valid adalah sebagai berikut- Pengguna
- Grup
- Domain
- ID kumpulan tenaga kerja
APPROVING_EMAIL
: Opsional. Alamat email tambahan untuk diberi tahu saat hibah telah diminta. Identitas Google yang terkait dengan pemberi persetujuan hibah akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.ADMIN_EMAIL_ADDRESS
: Opsional. Alamat email tambahan untuk diberi tahu saat pemohon diberi akses. Identitas Google yang terkait dengan pemberi persetujuan hibah akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.REQUESTER_EMAIL_ADDRESS
: Opsional. Alamat email tambahan untuk diberi tahu saat hak ini tersedia untuk diminta. Identitas Google yang terkait dengan pemohon hibah akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
Metode HTTP dan URL:
POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID&requestId=REQUEST_ID
Meminta isi JSON:
{ "privilegedAccess": { "gcpIamAccess": { "resourceType": "cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE", "resource": "//cloudresourcemanager.googleapis.com/SCOPE", "roleBindings": [ { "role": "ROLE_1" }, { "role": "ROLE_2" } ] } }, "maxRequestDuration": "TIME_IN_SECONDSs", "eligibleUsers": [ { "principals": [ "REQUESTING_MEMBER_1", "REQUESTING_MEMBER_2", ... ] } ], "approvalWorkflow": { "manualApprovals": { "requireApproverJustification": true, "steps": [ { "approvers": [ { "principals": [ "APPROVING_MEMBER_1", "APPROVING_MEMBER_2", ... ] } ], "approvalsNeeded": 1, "approverEmailRecipients": [ "APPROVING_EMAIL_1", "APPROVING_EMAIL_2", ... ] } ] } }, "requesterJustificationConfig": { "unstructured": { } }, "additionalNotificationTargets": { "adminEmailRecipients": [ "ADMIN_EMAIL_ADDRESS_1", "ADMIN_EMAIL_ADDRESS_2", ... ], "requesterEmailRecipients": [ "REQUESTER_EMAIL_ADDRESS_1", "REQUESTER_EMAIL_ADDRESS_2", ... ] } }
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{ "name": "projects/my-project/locations/global/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata", "createTime": "2024-03-05T03:35:14.596739353Z", "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID", "verb": "create", "requestedCancellation": false, "apiVersion": "v1beta" }, "done": false }
Untuk memeriksa progres operasi pembuatan, Anda dapat mengirim permintaan GET
ke endpoint berikut:
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID
Kirim permintaan GET
ke endpoint berikut untuk mencantumkan semua operasi:
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations
Terraform
Anda dapat menggunakan Terraform untuk membuat hak. Untuk informasi selengkapnya, lihat google_privileged_access_manager_entitlement dalam dokumentasi Terraform.
Config Connector
Anda dapat menggunakan Kubernetes Config Connector untuk membuat hak. Untuk informasi selengkapnya, lihat PrivilegedAccessManagerEntitlement dalam dokumentasi Config Connector.
Langkah selanjutnya
- Meminta akses yang ditingkatkan untuk sementara
- Menyetujui atau menolak hibah
- Melihat, memperbarui, dan menghapus hak
- Mengaudit peristiwa hak