Berechtigungen in Privileged Access Manager erstellen

Sie können Berechtigungen erstellen, um die vorübergehende Rechteausweitung für eine ausgewählte Gruppe von Hauptkonten zuzulassen. Beachten Sie beim Erstellen von Berechtigungen Folgendes:

  • Sie können Berechtigungen auf Organisations-, Ordner- oder Projektebene erstellen. Rollen, die durch eine Berechtigung auf jeder Ebene gewährt werden, folgen der Google Cloud Ressourcenhierarchie. So werden beispielsweise Rollen, die durch eine Berechtigung auf Organisationsebene gewährt werden, auf Ordner- und Projektebene übernommen.

  • Wenn die Premium- oder Enterprise-Stufe von Security Command Center auf Organisationsebene aktiviert ist, können Sie mehr als eine Genehmigungsebene pro Berechtigung festlegen. Das ermöglicht bis zu zwei Ebenen sequenzieller Genehmigungen für jede Berechtigung. Sie können bis zu fünf Genehmigungen pro Ebene vorschreiben.

    Nachdem die erforderliche Anzahl von Genehmigungen der ersten Ebene eingegangen ist, werden E‑Mail-Benachrichtigungen an Genehmiger der zweiten Ebene gesendet. Nachdem die erforderliche Anzahl von Genehmigungen der zweiten Ebene eingegangen ist, wechselt die Zuweisung in den Status active. Wenn ein Genehmiger die Gewährung ablehnt, wechselt sie in den Status denied und wird nicht an weitere Genehmiger gesendet.

    Dieses Feature ist in der Vorschau verfügbar.

  • Wenn Dienstkonten Genehmigungen für diese Ressource erteilen dürfen, können Sie Dienstkonten und Arbeitslastidentitäten als Genehmiger hinzufügen. Informationen zum Aktivieren dieser Einstellung finden Sie unter Einstellungen für Privileged Access Manager konfigurieren.

    Dieses Feature ist in der Vorschau verfügbar.

  • Wenn Sie einer Berechtigung eine Gruppe als Anforderer hinzufügen, können alle Einzelkonten in dieser Gruppe eine Erteilung dieser Berechtigung beantragen. Allerdings können nur das einzelne Konto, für das die Gewährung angefordert wird, erweiterte Berechtigungen erhalten.

  • Wenn Sie einer Berechtigung eine Gruppe als Genehmiger hinzufügen, können alle einzelnen Konten in dieser Gruppe eine Genehmigungsanfrage genehmigen oder ablehnen.

  • Einfache Rollen (Administrator, Autor und Leser) werden unterstützt, alte einfache Rollen (Inhaber, Bearbeiter und Betrachter) jedoch nicht.

  • Schließen Sie keine Dienst-Agent-Rollen in Berechtigungen ein.

    Einige Dienst-Agent-Rollen enthalten sehr leistungsstarke Berechtigungen. Die Berechtigungen in diesen Rollen können ohne Vorankündigung geändert werden. Wählen Sie stattdessen eine andere vordefinierte Rolle aus oder erstellen Sie eine benutzerdefinierte Rolle mit den erforderlichen Berechtigungen.

Hinweise

Um die Berechtigungen zu erhalten, die Sie zum Erstellen von Berechtigungen benötigen, bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation, den Ordner oder das Projekt zuzuweisen, für die Sie Berechtigungen erstellen möchten:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Erstellen von Berechtigungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Erstellen von Berechtigungen erforderlich:

  • So erstellen Sie Berechtigungen und Erteilungen für eine Organisation:
    • resourcemanager.organizations.get
    • resourcemanager.organizations.setIamPolicy
    • privilegedaccessmanager.entitlements.create
  • So erstellen Sie Berechtigungen und Erteilungen für einen Ordner:
    • resourcemanager.folders.get
    • resourcemanager.folders.setIamPolicy
    • privilegedaccessmanager.entitlements.create
  • So erstellen Sie Berechtigungen und Erteilungen für ein Projekt:
    • resourcemanager.projects.get
    • resourcemanager.projects.setIamPolicy
    • privilegedaccessmanager.entitlements.create

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Berechtigungen erstellen

Console

  1. Rufen Sie die Seite Privileged Access Manager auf.

    Zu Privileged Access Manager

  2. Wählen Sie die Organisation, den Ordner oder das Projekt aus, auf die bzw. das die Berechtigung angewendet werden soll.

  3. Klicken Sie auf den Tab Berechtigungen.

  4. Klicken Sie auf Erstellen.

  5. Geben Sie im Abschnitt Details zur Berechtigung die folgenden Details zur Berechtigung ein:

    • Einen Berechtigungsnamen. Ein Berechtigungsname kann 4 bis 63 Zeichen lang sein. Er muss mit einem Kleinbuchstaben beginnen und darf nur Kleinbuchstaben, Ziffern und Bindestriche enthalten.

    • Bis zu 30 Rollen, die für die Organisation, den Ordner oder das Projekt gewährt werden können.

      Sie können diesen Rollen auch IAM-Bedingungen hinzufügen, so wie Sie Bedingungen zu Rollenbindungen für „Allow“-Richtlinien hinzufügen. In Privileged Access Manager-Berechtigungen ist die Verwendung von Bedingungen, die die Tags für eine Ressource prüfen, jedoch in der Vorabversion.

    • Die maximale Dauer einer Erteilung. Die maximale Dauer, die Sie für eine Berechtigung festlegen können, beträgt 7 Tage.

  6. Klicken Sie auf Weiter.

  7. Geben Sie im Bereich Anforderer hinzufügen bis zu 20 gültige anfordernde Hauptkonten für die Berechtigung ein.

    Alle Hauptkontotypen werden unterstützt, mit Ausnahme von allUsers und allAuthenticatedUsers. Sie können mehr als 20 Identitäten hinzufügen, indem Sie sie einer Gruppe hinzufügen und die Gruppe in der Berechtigung auflisten.

  8. Wählen Sie aus, ob die Hauptkonten eine Begründung für den Gewährungsantrag angeben müssen.

  9. Geben Sie zusätzliche E‑Mail-Adressen von Nutzern ein, die benachrichtigt werden sollen, wenn die Berechtigung angefordert werden kann.

    Google-Identitäten, die mit der Berechtigung verknüpft sind, z. B. Genehmiger und Antragsteller, werden automatisch benachrichtigt. Wenn Sie jedoch weitere Personen benachrichtigen möchten, können Sie deren E-Mail-Adressen hinzufügen. Das ist besonders nützlich, wenn Sie Mitarbeiteridentitäten anstelle von Google-Konten verwenden.

  10. Klicken Sie auf Weiter.

  11. Führen Sie im Abschnitt Genehmiger hinzufügen einen der folgenden Schritte aus:

    • Wenn Sie die Gewährung von Rollen ohne Genehmigung zulassen möchten, wählen Sie Zugriff ohne Genehmigungen aktivieren aus.

    • So legen Sie Genehmigungen fest:

      1. Optional: Wenn Genehmiger eine Begründung für die Genehmigung von Anfragen eingeben müssen, wählen Sie Begründung von Genehmigern erforderlich aus.

      2. Geben Sie die Details des Genehmigers der ersten Ebene ein:

        • Eine Liste der Genehmiger für die Berechtigung

          Sie können die folgenden Hauptkontotypen als Genehmiger hinzufügen:

          • Google-Konten

          • Google-Gruppen

          • Google Workspace-Domains

          • Personalpool-IDs

          • Arbeitslastpool-IDs

          • Dienstkonten

            Dienstkonten und Workload-Pool-IDs sind nur verfügbar, wenn Dienstkonten Genehmigungen für diese Ressource erteilen dürfen. Weitere Informationen finden Sie unter Einstellungen für Privileged Access Manager konfigurieren.

        • Anzahl der erforderlichen Genehmigungen

          Wenn Sie eine Gruppe als Genehmiger hinzugefügt haben, muss die Anzahl der erforderlichen Genehmigungen kleiner oder gleich der Anzahl der Identitäten in der Gruppe sein. Andernfalls bleiben die Zuschüsse auf unbestimmte Zeit im Status approval awaited.

        • E‑Mail-Adressen der Genehmiger für Benachrichtigungen

      3. Optional: Fügen Sie Details zum Genehmiger der zweiten Stufe hinzu:

        • Eine Liste der Genehmiger für die Berechtigung

          Sie können die folgenden Hauptkontotypen als Genehmiger hinzufügen:

          • Google-Konten

          • Google-Gruppen

          • Google Workspace-Domains

          • Personalpool-IDs

          • Arbeitslastpool-IDs

          • Dienstkonten

            Dienstkonten und Workload-Pool-IDs sind nur verfügbar, wenn Dienstkonten Genehmigungen für diese Ressource erteilen dürfen. Weitere Informationen finden Sie unter Einstellungen für Privileged Access Manager konfigurieren.

        • Anzahl der erforderlichen Genehmigungen

          Wenn Sie eine Gruppe als Genehmiger hinzugefügt haben, muss die Anzahl der erforderlichen Genehmigungen kleiner oder gleich der Anzahl der Identitäten in der Gruppe sein. Andernfalls bleiben die Zuschüsse auf unbestimmte Zeit im Status approval awaited.

        • E‑Mail-Adressen der Genehmiger für Benachrichtigungen

    Sie können pro Genehmigung bis zu 20 genehmigende Hauptkonten (Identitäten oder Gruppen) hinzufügen. Wenn Sie mehr als 20 Genehmigende hinzufügen möchten, können Sie sie einer Gruppe hinzufügen und die Gruppe als Genehmigende für die Berechtigung auflisten.

  12. Klicken Sie auf Weiter.

  13. Klicken Sie auf Create Entitlement (Anspruch erstellen).

Es kann einige Minuten dauern, bis neu erstellte Berechtigungen übertragen und einsatzbereit sind.

gcloud

Mit dem Befehl gcloud alpha pam entitlements create wird eine Berechtigung auf Organisations-, Ordner- oder Projektebene erstellt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ENTITLEMENT_ID: Die ID der zu erstellenden Berechtigung. Eine ID muss zwischen 4 und 63 Zeichen lang sein und die folgenden Zeichen enthalten: [a-z0-9-]. Das erste Zeichen muss ein Buchstabe sein.
  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID der Google CloudOrganisation, des Ordners oder des Projekts, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • RESOURCE_MANAGER_RESOURCE_TYPE: Je nach Bereich entweder Organization, Folder oder Project.
  • ROLE: Die Rollen, die zugewiesen werden sollen, wenn eine Berechtigung gewährt wird.
  • MAXIMUM_GRANT_DURATION: Die maximale Dauer, für die eine Gewährung angefordert werden kann, in Sekunden. Der unterstützte Bereich liegt zwischen 30 Minuten (1.800) und 168 Stunden (604.800).

  • REQUESTING_MEMBER: Hauptkonten, die die Gewährung der Berechtigung beantragen können. Alle Hauptkontotypen werden unterstützt, außer allUsers und allAuthenticatedUsers.

  • APPROVING_MEMBER: Hauptkonten, die die Berechtigungsanfrage genehmigen können. Gültige Hauptkontotypen:

  • APPROVALS_NEEDED: Die Anzahl der Genehmigenden, die die Berechtigungsanfrage genehmigen müssen.

    Wenn Sie eine Gruppe als Genehmiger hinzugefügt haben, muss die Anzahl der erforderlichen Genehmigungen kleiner oder gleich der Anzahl der Identitäten in der Gruppe sein. Andernfalls bleiben die Zuschüsse auf unbestimmte Zeit im Status approval awaited.

  • APPROVER_EMAIL_ADDRESSES: Optional. Zusätzliche E-Mail-Adressen, an die eine Benachrichtigung gesendet werden soll, wenn eine Gewährung angefordert wurde. Google-Identitäten, die mit Gewährungsgenehmigern verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
  • ADMIN_EMAIL_ADDRESS: Optional. Zusätzliche E-Mail-Adressen, an die eine Benachrichtigung gesendet werden soll, wenn einem Anforderer Zugriff gewährt wird. Google-Identitäten, die mit Gewährungsgenehmigern verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
  • REQUESTER_EMAIL_ADDRESS: Optional. Zusätzliche E‑Mail-Adressen, an die eine Benachrichtigung gesendet werden soll, wenn diese Berechtigung angefordert werden kann. Google-Identitäten, die mit Antragstellern von Gewährungen verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
  • CONDITION_EXPRESSION: Optional. Der Bedingungsausdruck, der angibt, wann das Hauptkonto die Berechtigungen in der Rolle verwenden kann. Diese Bedingung gilt nur, wenn die Förderung aktiv ist.

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen entitlement.yaml: 

privilegedAccess:
  gcpIamAccess:
    resourceType: cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_ID
    roleBindings:
    - role: ROLE_1
      conditionExpression: CONDITION_EXPRESSION_1
    - role: ROLE_2
      conditionExpression: CONDITION_EXPRESSION_2
maxRequestDuration: MAXIMUM_GRANT_DURATION
eligibleUsers:
- principals:
  - REQUESTING_MEMBER_1
  - REQUESTING_MEMBER_2
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: APPROVALS_NEEDED_1
      approverEmailRecipients:
      - APPROVER_EMAIL_ADDRESSES_1
      - APPROVER_EMAIL_ADDRESSES_2
      approvers:
      - principals:
       - APPROVING_MEMBER_1
       - APPROVING_MEMBER_2
    - approvalsNeeded: APPROVALS_NEEDED_2
      approverEmailRecipients:
       - APPROVER_EMAIL_ADDRESSES_3
       - APPROVER_EMAIL_ADDRESSES_4
      approvers:
      - principals:
        - APPROVING_MEMBER_3
        - APPROVING_MEMBER_4
requesterJustificationConfig:
  unstructured: {}
additionalNotificationTargets:
  adminEmailRecipients:
  - ADMIN_EMAIL_ADDRESS_1
  - ADMIN_EMAIL_ADDRESS_2
  requesterEmailRecipients:
  - REQUESTER_EMAIL_ADDRESS_1
  - REQUESTER_EMAIL_ADDRESS_2

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud alpha pam entitlements create \
    ENTITLEMENT_ID \
    --entitlement-file=entitlement.yaml \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam entitlements create `
    ENTITLEMENT_ID `
    --entitlement-file=entitlement.yaml `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam entitlements create ^
    ENTITLEMENT_ID ^
    --entitlement-file=entitlement.yaml ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Create request issued for: [ENTITLEMENT_ID]
Waiting for operation [projects/PROJECT_ID/locations/global/operations/OPERATION_ID] to complete...done.
Created entitlement [ENTITLEMENT_ID].
additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - id: step-1
      approvalsNeeded: 3
      approvers:
      - principals:
        - user:alex@example.com
        - group:dev-team@example.com
    - id: step-2
      approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
  createTime: '2024-04-09T02:39:37.011866832Z'
  eligibleUsers:
  - principals:
    - user:bola@example.com
  etag: 00000000000000000000000000000000000000000000000000000000000=
  maxRequestDuration: 7200s
  name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
  privilegedAccess:
    gcpIamAccess:
      resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
      resourceType: cloudresourcemanager.googleapis.com/Project
      roleBindings:
      - role: roles/storage.admin
        id: hwarq_1
        conditionExpression: "request.time.getHours() >= 8"
  requesterJustificationConfig:
    unstructured: {}
  state: AVAILABLE
Es kann einige Minuten dauern, bis neu erstellte Berechtigungen übertragen und einsatzbereit sind.

REST

Mit der Methode createEntitlement der Privileged Access Manager API wird eine Berechtigung auf Organisations-, Ordner- oder Projektebene erstellt.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, in dem die Berechtigung erstellt werden soll, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ENTITLEMENT_ID: Die ID der zu erstellenden Berechtigung. Eine ID muss zwischen 4 und 63 Zeichen lang sein und die folgenden Zeichen enthalten: [a-z0-9-]. Das erste Zeichen muss ein Buchstabe sein.
  • RESOURCE_MANAGER_RESOURCE_TYPE: Je nach Bereich entweder Organization, Folder oder Project.
  • ROLE: Die Rollen, die zugewiesen werden sollen, wenn eine Berechtigung gewährt wird.
  • MAXIMUM_GRANT_DURATION: Die maximale Dauer, für die eine Gewährung angefordert werden kann, in Sekunden. Der unterstützte Bereich liegt zwischen 30 Minuten (1.800) und 168 Stunden (604.800).

  • REQUESTING_MEMBER: Hauptkonten, die die Gewährung der Berechtigung beantragen können. Alle Hauptkontotypen werden unterstützt, außer allUsers und allAuthenticatedUsers.

  • APPROVING_MEMBER: Hauptkonten, die die Berechtigungsanfrage genehmigen können. Gültige Hauptkontotypen:

  • APPROVALS_NEEDED: Die Anzahl der Genehmigenden, die die Berechtigungsanfrage genehmigen müssen.

    Wenn Sie eine Gruppe als Genehmiger hinzugefügt haben, muss die Anzahl der erforderlichen Genehmigungen kleiner oder gleich der Anzahl der Identitäten in der Gruppe sein. Andernfalls bleiben die Zuschüsse auf unbestimmte Zeit im Status approval awaited.

  • APPROVER_EMAIL_ADDRESSES: Optional. Zusätzliche E-Mail-Adressen, an die eine Benachrichtigung gesendet werden soll, wenn eine Gewährung angefordert wurde. Google-Identitäten, die mit Gewährungsgenehmigern verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
  • ADMIN_EMAIL_ADDRESS: Optional. Zusätzliche E-Mail-Adressen, an die eine Benachrichtigung gesendet werden soll, wenn einem Anforderer Zugriff gewährt wird. Google-Identitäten, die mit Gewährungsgenehmigern verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
  • REQUESTER_EMAIL_ADDRESS: Optional. Zusätzliche E‑Mail-Adressen, an die eine Benachrichtigung gesendet werden soll, wenn diese Berechtigung angefordert werden kann. Google-Identitäten, die mit Antragstellern von Gewährungen verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
  • CONDITION_EXPRESSION: Optional. Der Bedingungsausdruck, der angibt, wann das Hauptkonto die Berechtigungen in der Rolle verwenden kann. Diese Bedingung gilt nur, wenn die Förderung aktiv ist.

HTTP-Methode und URL:

POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID

JSON-Text anfordern:

{
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE",
      "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
      "roleBindings": [
        {
          "role": "ROLE_1",
          "conditionExpression": "CONDITION_EXPRESSION_1",
        },
        {
          "role": "ROLE_2",
          "conditionExpression": "CONDITION_EXPRESSION_2",
        },
      ]
    }
  },
  "maxRequestDuration": "MAXIMUM_GRANT_DURATION",
  "eligibleUsers": [
    {
      "principals": [
        "REQUESTING_MEMBER_1",
        "REQUESTING_MEMBER_2",
        ...
      ]
    }
  ],
  "approvalWorkflow": {
    "manualApprovals": {
      "requireApproverJustification": true,
      "steps": [
        {
          "approvers": [
            {
              "principals": [
                "APPROVING_MEMBER_1",
                "APPROVING_MEMBER_2",
              ]
            }
          ],
          "approvalsNeeded": APPROVALS_NEEDED_1,
          "approverEmailRecipients": [
            "APPROVER_EMAIL_ADDRESSES_1",
            "APPROVER_EMAIL_ADDRESSES_2",
          ]
        },
        {
          "approvers": [
            {
              "principals": [
                "APPROVING_MEMBER_3",
                "APPROVING_MEMBER_4",
              ]
            }
          ],
          "approvalsNeeded": APPROVALS_NEEDED_2,
          "approverEmailRecipients": [
            "APPROVER_EMAIL_ADDRESSES_3",
            "APPROVER_EMAIL_ADDRESSES_4",
          ]
        }
      ]
    }
  },
  "requesterJustificationConfig": {
    "unstructured": {
    }
  },
  "additionalNotificationTargets": {
    "adminEmailRecipients": [
      "ADMIN_EMAIL_ADDRESS_1",
      "ADMIN_EMAIL_ADDRESS_2",
    ],
    "requesterEmailRecipients": [
      "REQUESTER_EMAIL_ADDRESS_1",
      "REQUESTER_EMAIL_ADDRESS_2",
    ]
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:


{
  "name": "projects/PROJECT_ID/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Wenn Sie den Fortschritt eines Erstellungsvorgangs prüfen möchten, können Sie eine GET-Anfrage an den folgenden Endpunkt senden: 

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Senden Sie eine GET-Anfrage an den folgenden Endpunkt, um alle Vorgänge aufzulisten:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations
 Es kann einige Minuten dauern, bis neu erstellte Berechtigungen übertragen und einsatzbereit sind.

Terraform

Sie können Terraform verwenden, um Berechtigungen zu erstellen. Weitere Informationen finden Sie in der Terraform-Dokumentation unter google_privileged_access_manager_entitlement. Es kann einige Minuten dauern, bis neu erstellte Berechtigungen übertragen und einsatzbereit sind.

Config Connector

Sie können Kubernetes Config Connector verwenden, um Berechtigungen zu erstellen. Weitere Informationen finden Sie in der Config Connector-Dokumentation unter PrivilegedAccessManagerEntitlement. Es kann einige Minuten dauern, bis neu erstellte Berechtigungen übertragen und einsatzbereit sind.

Nächste Schritte