Prima di poter iniziare a creare, modificare o gestire i diritti e le concessioni di Privileged Access Manager, i tuoi principali devono disporre delle autorizzazioni appropriate. Il servizio deve essere configurato anche a livello di organizzazione, cartella o progetto.
Le entità che richiedono le concessioni e le approvano o le rifiutano non richiedono autorizzazioni specifiche di Privileged Access Manager.
Ruoli
Per ottenere le autorizzazioni necessarie per gestire i diritti e le concessioni, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione, nella cartella o nel progetto:
-
Per creare, aggiornare ed eliminare i diritti:
Privileged Access Manager Admin (
roles/privilegedaccessmanager.admin). Inoltre, Folder IAM Admin (roles/resourcemanager.folderIamAdmin), Project IAM Admin (roles/resourcemanager.projectIamAdmin) o Amministratore sicurezza (roles/iam.securityAdmin) -
Per visualizzare i diritti e le concessioni:
Privileged Access Manager Viewer (
roles/privilegedaccessmanager.viewer) -
Per visualizzare i log di controllo:
Visualizzatore log (
roles/logs.viewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per lavorare con diritti e concessioni. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per lavorare con diritti e concessioni sono necessarie le seguenti autorizzazioni:
-
Per attivare Privileged Access Manager nell'ambito dell'organizzazione, della cartella o del progetto:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
-
-
Per gestire i diritti e le concessioni:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare i diritti e le concessioni:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare gli audit log:
logging.logEntries.list
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Abilita il Gestore accessi con privilegi
Dopo aver ottenuto le autorizzazioni necessarie per attivare Privileged Access Manager, completa i seguenti passaggi:
Vai alla pagina Privileged Access Manager.
Seleziona l'organizzazione, la cartella o il progetto per cui vuoi attivare Privileged Access Manager.
Fai clic su Abilita PAM per attivare il servizio per l'ambito della risorsa selezionato.
Quando ti viene chiesto di concedere il ruolo Privileged Access Manager Service Agent al Privileged Access Manager Service Agent per gestire le riassegnazioni dei privilegi, fai clic su Concedi ruolo.
Assicurati che l'agente di servizio Privileged Access Manager non sia bloccato dai seguenti controlli di sicurezza:
Criteri di rifiuto: aggiungi l'agente di servizio Gestore degli accessi con privilegi al campo
exceptionPrincipalsdei tuoi criteri.Controlli di servizio VPC: aggiungi l'agente di servizio Privileged Access Manager ai livelli di accesso appropriati o aggiungi una regola di ingresso al perimetro per consentire l'agente di servizio.
Fai clic su Completa la configurazione.
Consenti l'indirizzo email di Privileged Access Manager
Per gli account email e i gruppi che ricevono notifiche email di Privileged Access Manager, aggiungi pam-noreply@google.com alle liste consentite in modo che l'email non venga bloccata.