Berechtigungen in Privileged Access Manager erstellen

Sie können Berechtigungen erstellen, um ausgewählten Hauptkonten eine vorübergehende Berechtigungserhöhung zu ermöglichen. Beachten Sie beim Erstellen von Berechtigungen Folgendes:

Berechtigungen können auf Organisations-, Ordner- oder Projektebene erstellt werden. Die Rollen, die durch eine Berechtigung auf jeder Ebene gewährt werden, folgen der Google Cloud-Ressourcenhierarchie. Rollen, die durch eine Berechtigung auf Organisationsebene gewährt werden, werden beispielsweise auf Ordner- und Projektebene übernommen.
Wenn Sie einer Berechtigung eine Gruppe als Antragsteller hinzufügen, können alle einzelnen Konten in dieser Gruppe die Gewährung dieser Berechtigung beantragen. Allerdings können nur das einzelne Konto, für das die Gewährung angefordert wird, erweiterte Berechtigungen erhalten.
Wenn Sie einer Berechtigung eine Gruppe als Genehmiger hinzufügen, können alle einzelnen Konten in dieser Gruppe einen Antrag auf Gewährung genehmigen oder ablehnen.
Einfache Rollen werden nicht unterstützt.

Achtung:Seien Sie vorsichtig, wenn Sie die folgenden Rollentypen in eine Berechtigung aufnehmen:

Rollen mit Berechtigungen zum Gewähren und Widerrufen von IAM-Rollen (d. h. Rollen mit Berechtigungsnamen, die auf setIamPolicy enden).
Rollen mit der Berechtigung iam.roles.update, mit der Nutzer benutzerdefinierte Rollen ändern können.

Diese Rollentypen enthalten Berechtigungen, mit denen Nutzer ihre eigenen IAM-Berechtigungen ändern können. Daher können anfragende Hauptkonten mit diesen Rollen ihren eigenen Zugriff auf Ressourcen erweitern oder sich selbst zusätzlichen Zugriff auf Ressourcen gewähren.

Angenommen, ein Nutzer hat eine benutzerdefinierte Rolle mit sehr eingeschränkten Berechtigungen. Wenn dieser Nutzer eine Berechtigung mit der Rolle „Administrator für Rollen“ (roles/iam.roleAdmin) anfordert, kann er mit den Berechtigungen dieser Rolle der benutzerdefinierten Rolle die Berechtigung resourcemanager.projects.setIamPolicy hinzufügen. Mit dieser Berechtigung kann er alle IAM-Rollen für das Projekt gewähren und widerrufen, auch nach Ablauf der Berechtigung.

Hinweise

Privileged Access Manager muss aktiviert und Berechtigungen dafür eingerichtet sein.

Berechtigungen mit der Google Cloud Console erstellen

So erstellen Sie eine Berechtigung:

Rufen Sie die Seite Privileged Access Manager auf.

Zu Privileged Access Manager
Wählen Sie die Organisation, den Ordner oder das Projekt aus, auf das die Berechtigung angewendet werden soll.
Klicken Sie auf den Tab Berechtigungen.
Klicken Sie auf Erstellen.
Fügen Sie die folgenden Berechtigungsdetails hinzu:
- Name der Berechtigung.
- Bis zu 30 Rollen, die der Organisation, dem Ordner oder dem Projekt gewährt werden sollen. Sie können IAM-Bedingungen auf diese Rollen anwenden, sofern sie nicht mit Ressourcen-Tags übereinstimmen.
- Wie lange Gewährungen für die Berechtigung gelten.
Klicken Sie auf Weiter.
Suchen Sie nach bis zu 20 gültigen Hauptkonten, die die Berechtigung anfordern, und fügen Sie sie hinzu. Alle Hauptkontotypen werden unterstützt, mit Ausnahme von allUsers und allAuthenticatedUsers. Sie können mehr als 20 Identitäten hinzufügen, indem Sie sie einer Gruppe hinzufügen und die Gruppe in der Berechtigung angeben.
Wählen Sie aus, ob die Hauptkonten eine Begründung für den Gewährungsantrag angeben müssen.
Klicken Sie auf Weiter.
Sie können die Gewährung von Rollen ohne Genehmigung zulassen oder nach gültigen Hauptkonten suchen und diese hinzufügen, die den Antrag genehmigen können. Folgende Haupttypen sind zulässig:
- Google-Konten
- Google Groups
- Google Workspace-Domains
- Personalpool-IDs
Wenn Sie Genehmiger festlegen, können Sie auch festlegen, ob diese eine Begründung für die Genehmigung des Gewährungsantrags angeben müssen. Sie können pro Berechtigung bis zu 20 genehmigende Hauptkonten hinzufügen. Sie können mehr als 20 Identitäten hinzufügen, indem Sie sie einer Gruppe hinzufügen und die Gruppe in der Berechtigung angeben.
Klicken Sie auf Weiter.
Optional: Fügen Sie die E-Mail-Adressen der Personen hinzu, die benachrichtigt werden sollen, wenn die Berechtigung angefordert werden kann, wenn eine Gewährung aussteht und wenn einem Antragsteller Zugriff gewährt wird. Google-Identitäten, die mit der Berechtigung verknüpft sind, z. B. Genehmiger und Antragsteller, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
Klicken Sie auf Berechtigung erstellen.

Berechtigungen programmatisch erstellen

gcloud

Mit dem Befehl gcloud beta pam entitlements create wird eine Berechtigung auf Organisations-, Ordner- oder Projektebene erstellt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ENTITLEMENT_ID: Die zu erstellende Berechtigungs-ID. IDs müssen zwischen 4 und 63 Zeichen lang sein und dürfen nur die folgenden Zeichen enthalten: [a-z0-9-]. Das erste Zeichen muss ein Buchstabe sein.
RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID der Google Cloud-Organisation, des Google Cloud-Ordners oder des Google Cloud-Projekts, für das Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
SCOPE: Die Organisation, der Ordner oder das Projekt, in dem die Berechtigung erstellt werden soll, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
RESOURCE_MANAGER_RESOURCE_TYPE: Je nach Umfang entweder Organization, Folder oder Project.
ROLE: Die Rollen, die zugewiesen werden, wenn eine Berechtigung gewährt wird.
TIME_IN_SECONDS: Die maximale Dauer einer Berechtigung in Sekunden.
REQUESTING_MEMBER: Hauptkonten, die die Gewährung der Berechtigung beantragen können. Alle Hauptkontotypen werden unterstützt, mit Ausnahme von allUsers und allAuthenticatedUsers.
APPROVING_EMAIL: Optional. Zusätzliche E-Mail-Adressen, an die eine Benachrichtigung gesendet werden soll, wenn eine Gewährung angefordert wurde. Google-Identitäten, die mit Gewährungsgenehmigern verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch eine andere Gruppe von E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
APPROVING_MEMBER: Hauptkonten, die den Berechtigungsantrag genehmigen können. Gültige Hauptkontotypen:
- Nutzer
- Gruppe
- Domain
- Personalpool-IDs
ADMIN_EMAIL_ADDRESS: Optional. Zusätzliche E-Mail-Adressen, an die eine Benachrichtigung gesendet werden soll, wenn einem Anforderer Zugriff gewährt wird. Google-Identitäten, die mit Gewährungsgenehmigern verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch eine andere Gruppe von E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
REQUESTER_EMAIL_ADDRESS: Optional. Zusätzliche E-Mail-Adressen, die benachrichtigt werden sollen, wenn diese Berechtigung angefordert werden kann. Google-Identitäten, die mit Antragstellern von Gewährungen verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.

Speichern Sie den folgenden Inhalt in einer Datei mit dem Namen entitlement.yaml:

privilegedAccess:
  gcpIamAccess:
    resourceType: cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE
    resource: //cloudresourcemanager.googleapis.com/SCOPE
    roleBindings:
    - role: ROLE_1
    - role: ROLE_2
maxRequestDuration: TIME_IN_SECONDSs
eligibleUsers:
- principals:
  - REQUESTING_MEMBER_1
  - REQUESTING_MEMBER_2
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: 1
      approverEmailRecipients:
      - APPROVING_EMAIL_1
      - APPROVING_EMAIL_2
      approvers:
      - principals:
        - APPROVING_MEMBER_1
        - APPROVING_MEMBER_2
requesterJustificationConfig:
  unstructured: {}
additionalNotificationTargets:
  adminEmailRecipients:
  - ADMIN_EMAIL_ADDRESS_1
  - ADMIN_EMAIL_ADDRESS_2
  requesterEmailRecipients:
  - REQUESTER_EMAIL_ADDRESS_1
  - REQUESTER_EMAIL_ADDRESS_2

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam entitlements create \
    ENTITLEMENT_ID \
    --entitlement-file=entitlement.yaml \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam entitlements create `
    ENTITLEMENT_ID `
    --entitlement-file=entitlement.yaml `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam entitlements create ^
    ENTITLEMENT_ID ^
    --entitlement-file=entitlement.yaml ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Create request issued for: [ENTITLEMENT_ID]
Waiting for operation [projects/my-project/locations/global/operations/OPERATION_ID] to complete...done.
Created entitlement [ENTITLEMENT_ID].
additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
  - user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requesterJustificationConfig:
  unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'

REST

Die Methode createEntitlement der Privileged Access Manager API erstellt eine Berechtigung auf Organisations-, Ordner- oder Projektebene.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

SCOPE: Die Organisation, der Ordner oder das Projekt, in dem die Berechtigung erstellt werden soll, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
ENTITLEMENT_ID: Die zu erstellende Berechtigungs-ID. IDs müssen zwischen 4 und 63 Zeichen lang sein und dürfen nur die folgenden Zeichen enthalten: [a-z0-9-]. Das erste Zeichen muss ein Buchstabe sein.
REQUEST_ID: Optional. Muss eine UUID mit einem Wert ungleich 0 sein. Wenn der Server eine Anfrage mit einer Anfrage-ID empfängt, wird geprüft, ob innerhalb der letzten 60 Minuten bereits eine andere Anfrage mit dieser ID abgeschlossen wurde. In diesem Fall wird die neue Anfrage ignoriert.
RESOURCE_MANAGER_RESOURCE_TYPE: Je nach Umfang entweder Organization, Folder oder Project.
ROLE: Die Rollen, die zugewiesen werden, wenn eine Berechtigung gewährt wird.
TIME_IN_SECONDS: Die maximale Dauer einer Gewährung in Sekunden.
REQUESTING_MEMBER: Hauptkonten, die die Berechtigung beantragen können. Alle Hauptkontotypen werden unterstützt, mit Ausnahme von allUsers und allAuthenticatedUsers.
APPROVING_MEMBER: Hauptkonten, die den Berechtigungsantrag genehmigen können. Gültige Hauptkontotypen:
- Nutzer
- Gruppe
- Domain
- Personalpool-IDs
APPROVING_EMAIL: Optional. Zusätzliche E-Mail-Adressen, an die eine Benachrichtigung gesendet werden soll, wenn eine Gewährung angefordert wurde. Google-Identitäten, die mit Gewährungsgenehmigern verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
ADMIN_EMAIL_ADDRESS: Optional. Zusätzliche E-Mail-Adressen, an die eine Benachrichtigung gesendet werden soll, wenn einem Anforderer Zugriff gewährt wird. Google-Identitäten, die mit Gewährungsgenehmigern verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch eine andere Gruppe von E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
REQUESTER_EMAIL_ADDRESS: Optional. Zusätzliche E-Mail-Adressen, die benachrichtigt werden sollen, wenn diese Berechtigung angefordert werden kann. Google-Identitäten, die mit Antragstellern von Gewährungen verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.

HTTP-Methode und URL:

POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID&requestId=REQUEST_ID

JSON-Text anfordern:

{
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE",
      "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
      "roleBindings": [
        {
          "role": "ROLE_1"
        },
        {
          "role": "ROLE_2"
        }
      ]
    }
  },
  "maxRequestDuration": "TIME_IN_SECONDSs",
  "eligibleUsers": [
    {
      "principals": [
        "REQUESTING_MEMBER_1",
        "REQUESTING_MEMBER_2",
        ...
      ]
    }
  ],
  "approvalWorkflow": {
    "manualApprovals": {
      "requireApproverJustification": true,
      "steps": [
        {
          "approvers": [
            {
              "principals": [
                "APPROVING_MEMBER_1",
                "APPROVING_MEMBER_2",
                ...
              ]
            }
          ],
          "approvalsNeeded": 1,
          "approverEmailRecipients": [
            "APPROVING_EMAIL_1",
            "APPROVING_EMAIL_2",
            ...
          ]
        }
      ]
    }
  },
  "requesterJustificationConfig": {
    "unstructured": {
    }
  },
  "additionalNotificationTargets": {
    "adminEmailRecipients": [
      "ADMIN_EMAIL_ADDRESS_1",
      "ADMIN_EMAIL_ADDRESS_2",
      ...
    ],
    "requesterEmailRecipients": [
      "REQUESTER_EMAIL_ADDRESS_1",
      "REQUESTER_EMAIL_ADDRESS_2",
      ...
    ]
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID&requestId=REQUEST_ID"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID&requestId=REQUEST_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
    "name": "projects/my-project/locations/global/operations/OPERATION_ID",
    "metadata": {
      "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
      "createTime": "2024-03-05T03:35:14.596739353Z",
      "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
      "verb": "create",
      "requestedCancellation": false,
      "apiVersion": "v1beta"
    },
    "done": false
}

Wenn Sie den Fortschritt eines Erstellungsvorgangs prüfen möchten, können Sie eine GET-Anfrage an den folgenden Endpunkt senden:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Senden Sie eine GET-Anfrage an den folgenden Endpunkt, um alle Vorgänge aufzulisten:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Terraform

Sie können Terraform verwenden, um Berechtigungen zu erstellen. Weitere Informationen finden Sie in der Terraform-Dokumentation unter google_privileged_access_manager_entitlement.

Berechtigungen in Privileged Access Manager erstellen

Hinweise

Berechtigungen mit der Google Cloud Console erstellen

Berechtigungen programmatisch erstellen

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Terraform

Nächste Schritte