Halaman ini diterjemahkan oleh Cloud Translation API.

Membuat hak di Privileged Access Manager

Anda dapat membuat hak untuk mengizinkan peningkatan hak istimewa sementara untuk kumpulan prinsipal tertentu. Perhatikan hal-hal berikut saat membuat hak:

Hak dapat dibuat di tingkat organisasi, folder, atau project. Peran yang diberikan oleh hak di setiap tingkat mengikuti hierarki resource Google Cloud. Misalnya, peran yang diberikan oleh hak di tingkat organisasi diwarisi di tingkat folder dan project.
Jika Anda menambahkan grup sebagai pemohon ke hak, semua akun individual dalam grup tersebut dapat meminta pemberian hak tersebut. Namun, hanya akun individual yang meminta pemberian hak istimewa yang dapat menerima hak istimewa yang ditingkatkan.
Jika Anda menambahkan grup sebagai pemberi persetujuan ke hak, semua akun individual dalam grup tersebut dapat menyetujui atau menolak permintaan pemberian.
Peran dasar tidak didukung.

Perhatian: Berhati-hatilah saat menyertakan jenis peran berikut dalam hak:

Peran dengan izin untuk memberikan dan mencabut peran IAM (yaitu, peran dengan nama izin yang diakhiri dengan setIamPolicy).
Peran dengan izin iam.roles.update, yang memungkinkan pengguna mengubah peran kustom.

Jenis peran ini berisi izin yang dapat memungkinkan pengguna mengubah izin IAM mereka sendiri. Akibatnya, akun utama yang meminta dapat menggunakan peran ini untuk meningkatkan akses mereka sendiri ke resource, atau memberi diri mereka sendiri akses tambahan ke resource.

Misalnya, bayangkan pengguna yang memiliki peran kustom dengan izin yang sangat terbatas. Jika pengguna ini berhasil meminta pemberian hak atas hak dengan peran Administrator Peran (roles/iam.roleAdmin), ia dapat menggunakan izin dalam peran tersebut untuk menambahkan izin resourcemanager.projects.setIamPolicy ke peran kustomnya. Izin ini akan memungkinkan mereka memberikan dan mencabut semua peran IAM untuk project, bahkan setelah masa berlaku pemberian berakhir.

Sebelum memulai

Pastikan Anda telah mengaktifkan Privileged Access Manager dan menyiapkan izin untuknya.

Membuat hak menggunakan konsol Google Cloud

Untuk membuat hak, selesaikan petunjuk berikut:

Buka halaman Privileged Access Manager.

Buka Privileged Access Manager
Pilih organisasi, folder, atau project tempat Anda ingin hak berlaku.
Klik tab Hak.
Klik Create.
Tambahkan detail hak berikut:
- Nama hak.
- Maksimal 30 peran yang akan diberikan di organisasi, folder, atau project. Anda dapat menerapkan kondisi IAM ke peran ini, selama tidak cocok dengan tag resource.
- Durasi pemberian berdasarkan hak.
Klik Berikutnya.
Telusuri dan tambahkan hingga 20 akun utama pemohon yang valid untuk hak. Semua jenis utama didukung kecuali allUsers dan allAuthenticatedUsers. Anda dapat menambahkan lebih dari 20 identitas dengan menambahkannya ke grup dan mencantumkan grup dalam hak.
Pilih apakah akun utama perlu memberikan justifikasi untuk permintaan pemberian.
Klik Berikutnya.
Pilih untuk mengizinkan pemberian peran tanpa persetujuan, atau telusuri dan tambahkan akun utama yang valid yang dapat menyetujui permintaan. Jenis akun utama yang valid adalah sebagai berikut:
- Akun Google
- Google Grup
- Domain Google Workspace
- ID kumpulan tenaga kerja
Jika Anda memilih untuk memiliki pemberi persetujuan, pilih juga apakah pemberi persetujuan perlu memberikan justifikasi untuk menyetujui permintaan hibah. Anda dapat menambahkan hingga 20 akun utama yang menyetujui per hak. Anda dapat menambahkan lebih dari 20 identitas dengan menambahkannya ke grup dan mencantumkan grup dalam hak.
Klik Berikutnya.
Opsional: Tambahkan alamat email orang yang akan diberi tahu saat hak tersedia untuk diminta, saat hibah menunggu persetujuan, dan saat peminta diberi akses. Identitas Google yang terkait dengan hak, seperti pemberi persetujuan dan pemohon, akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
Klik Create Entitlement.

Membuat hak secara terprogram

gcloud

Perintah gcloud beta pam entitlements create membuat hak di tingkat organisasi, folder, atau project.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

ENTITLEMENT_ID: ID hak yang akan dibuat. ID harus terdiri dari 4-63 karakter, dan menggunakan karakter berikut: [a-z0-9-]. Karakter pertama harus berupa huruf.
RESOURCE_TYPE: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilai organization, folder, atau project.
RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID organisasi, folder, atau project Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
SCOPE: Organisasi, folder, atau project tempat membuat hak, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. ID folder dan organisasi berupa angka, seperti 123456789012.
RESOURCE_MANAGER_RESOURCE_TYPE: Organization, Folder, atau Project, bergantung pada cakupan.
ROLE: Peran yang akan ditetapkan saat hak diberikan.
TIME_IN_SECONDS: Durasi maksimum pemberian izin, dalam detik.
REQUESTING_MEMBER: Akun utama yang dapat meminta agar hak diberikan. Semua jenis akun utama didukung kecuali allUsers dan allAuthenticatedUsers.
APPROVING_EMAIL: Opsional. Alamat email tambahan untuk diberi tahu saat hibah telah diminta. Identitas Google yang terkait dengan pemberi persetujuan hibah akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
APPROVING_MEMBER: Akun utama yang dapat menyetujui permintaan hak. Jenis utama yang valid adalah sebagai berikut
- Pengguna
- Grup
- Domain
- ID kumpulan tenaga kerja
ADMIN_EMAIL_ADDRESS: Opsional. Alamat email tambahan untuk diberi tahu saat pemohon diberi akses. Identitas Google yang terkait dengan pemberi persetujuan hibah akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
REQUESTER_EMAIL_ADDRESS: Opsional. Alamat email tambahan untuk diberi tahu saat hak ini tersedia untuk diminta. Identitas Google yang terkait dengan pemohon hibah akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.

Simpan konten berikut ini dalam file yang bernama entitlement.yaml:

privilegedAccess:
  gcpIamAccess:
    resourceType: cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE
    resource: //cloudresourcemanager.googleapis.com/SCOPE
    roleBindings:
    - role: ROLE_1
    - role: ROLE_2
maxRequestDuration: TIME_IN_SECONDSs
eligibleUsers:
- principals:
  - REQUESTING_MEMBER_1
  - REQUESTING_MEMBER_2
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: 1
      approverEmailRecipients:
      - APPROVING_EMAIL_1
      - APPROVING_EMAIL_2
      approvers:
      - principals:
        - APPROVING_MEMBER_1
        - APPROVING_MEMBER_2
requesterJustificationConfig:
  unstructured: {}
additionalNotificationTargets:
  adminEmailRecipients:
  - ADMIN_EMAIL_ADDRESS_1
  - ADMIN_EMAIL_ADDRESS_2
  requesterEmailRecipients:
  - REQUESTER_EMAIL_ADDRESS_1
  - REQUESTER_EMAIL_ADDRESS_2

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud beta pam entitlements create \
    ENTITLEMENT_ID \
    --entitlement-file=entitlement.yaml \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam entitlements create `
    ENTITLEMENT_ID `
    --entitlement-file=entitlement.yaml `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam entitlements create ^
    ENTITLEMENT_ID ^
    --entitlement-file=entitlement.yaml ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

Create request issued for: [ENTITLEMENT_ID]
Waiting for operation [projects/my-project/locations/global/operations/OPERATION_ID] to complete...done.
Created entitlement [ENTITLEMENT_ID].
additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
  - user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requesterJustificationConfig:
  unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'

REST

Metode createEntitlement Privileged Access Manager API membuat hak di tingkat organisasi, folder, atau project.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

SCOPE: Organisasi, folder, atau project tempat membuat hak, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. ID folder dan organisasi berupa angka, seperti 123456789012.
ENTITLEMENT_ID: ID hak yang akan dibuat. ID harus terdiri dari 4-63 karakter, dan menggunakan karakter berikut: [a-z0-9-]. Karakter pertama harus berupa huruf.
REQUEST_ID: Opsional. Harus berupa UUID yang bukan nol. Jika server menerima permintaan dengan ID permintaan, server akan memeriksa apakah permintaan lain dengan ID tersebut telah selesai dalam 60 menit terakhir. Jika demikian, permintaan baru akan diabaikan.
RESOURCE_MANAGER_RESOURCE_TYPE: Organization, Folder, atau Project, bergantung pada cakupan.
ROLE: Peran yang akan ditetapkan saat hak diberikan.
TIME_IN_SECONDS: Durasi maksimum pemberian izin, dalam detik.
REQUESTING_MEMBER: Akun utama yang dapat meminta hak diberikan. Semua jenis akun utama didukung kecuali allUsers dan allAuthenticatedUsers.
APPROVING_MEMBER: Akun utama yang dapat menyetujui permintaan hak. Jenis utama yang valid adalah sebagai berikut
- Pengguna
- Grup
- Domain
- ID kumpulan tenaga kerja
APPROVING_EMAIL: Opsional. Alamat email tambahan untuk diberi tahu saat hibah telah diminta. Identitas Google yang terkait dengan pemberi persetujuan hibah akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
ADMIN_EMAIL_ADDRESS: Opsional. Alamat email tambahan untuk diberi tahu saat pemohon diberi akses. Identitas Google yang terkait dengan pemberi persetujuan hibah akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
REQUESTER_EMAIL_ADDRESS: Opsional. Alamat email tambahan untuk diberi tahu saat hak ini tersedia untuk diminta. Identitas Google yang terkait dengan pemohon hibah akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.

Metode HTTP dan URL:

POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID&requestId=REQUEST_ID

Meminta isi JSON:

{
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE",
      "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
      "roleBindings": [
        {
          "role": "ROLE_1"
        },
        {
          "role": "ROLE_2"
        }
      ]
    }
  },
  "maxRequestDuration": "TIME_IN_SECONDSs",
  "eligibleUsers": [
    {
      "principals": [
        "REQUESTING_MEMBER_1",
        "REQUESTING_MEMBER_2",
        ...
      ]
    }
  ],
  "approvalWorkflow": {
    "manualApprovals": {
      "requireApproverJustification": true,
      "steps": [
        {
          "approvers": [
            {
              "principals": [
                "APPROVING_MEMBER_1",
                "APPROVING_MEMBER_2",
                ...
              ]
            }
          ],
          "approvalsNeeded": 1,
          "approverEmailRecipients": [
            "APPROVING_EMAIL_1",
            "APPROVING_EMAIL_2",
            ...
          ]
        }
      ]
    }
  },
  "requesterJustificationConfig": {
    "unstructured": {
    }
  },
  "additionalNotificationTargets": {
    "adminEmailRecipients": [
      "ADMIN_EMAIL_ADDRESS_1",
      "ADMIN_EMAIL_ADDRESS_2",
      ...
    ],
    "requesterEmailRecipients": [
      "REQUESTER_EMAIL_ADDRESS_1",
      "REQUESTER_EMAIL_ADDRESS_2",
      ...
    ]
  }
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID&requestId=REQUEST_ID"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID&requestId=REQUEST_ID" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:

{
    "name": "projects/my-project/locations/global/operations/OPERATION_ID",
    "metadata": {
      "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
      "createTime": "2024-03-05T03:35:14.596739353Z",
      "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
      "verb": "create",
      "requestedCancellation": false,
      "apiVersion": "v1beta"
    },
    "done": false
}

Untuk memeriksa progres operasi pembuatan, Anda dapat mengirim permintaan GET ke endpoint berikut:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Kirim permintaan GET ke endpoint berikut untuk mencantumkan semua operasi:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Terraform

Anda dapat menggunakan Terraform untuk membuat hak. Untuk informasi selengkapnya, lihat google_privileged_access_manager_entitlement dalam dokumentasi Terraform.

Membuat hak di Privileged Access Manager

Sebelum memulai

Membuat hak menggunakan konsol Google Cloud

Membuat hak secara terprogram

gcloud

Linux, macOS, atau Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS, atau Cloud Shell)

PowerShell (Windows)

Terraform

Langkah selanjutnya