Antes de começar a criar, modificar ou gerenciar os direitos e asconcessões do Privileged Access Manager, os principais usuários precisam ter as permissões adequadas. O serviço também precisa ser configurado no nível da organização, da pasta ou do projeto.
Os principais que solicitam concessões e que as aprovam ou as negam não precisam de nenhuma permissão específica do Privileged Access Manager-.
Papéis
Para receber as permissões necessárias para trabalhar com direitos e permissões, peça ao administrador para conceder a você os seguintes papéis do IAM na organização, na pasta ou no projeto:
-
Para criar, atualizar e excluir direitos:
o administrador do Privileged Access Manager (
roles/privilegedaccessmanager.admin
). Além disso, o administrador do IAM da pasta (roles/resourcemanager.folderIamAdmin
), o administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin
) ou o administrador de segurança (roles/iam.securityAdmin
) -
Para conferir direitos e permissões:
o leitor do Privileged Access Manager (
roles/privilegedaccessmanager.viewer
) -
Para conferir os registros de auditoria:
o isualizador de registros (
roles/logs.viewer
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para trabalhar com direitos e permissões. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para trabalhar com direitos e concessões:
-
Para ativar o Privileged Access Manager no escopo da organização, da pasta ou do projeto:
-
privilegedaccessmanager.locations.checkOnboardingStatus
-
resourcemanager.organizations.get
-
resourcemanager.organizations.getIamPolicy
-
resourcemanager.organizations.setIamPolicy
-
resourcemanager.folders.get
-
resourcemanager.folders.getIamPolicy
-
resourcemanager.folders.setIamPolicy
-
resourcemanager.projects.get
-
resourcemanager.projects.getIamPolicy
-
resourcemanager.projects.setIamPolicy
-
-
Para gerenciar direitos e permissões:
-
resourcemanager.folders.get
-
resourcemanager.organizations.get
-
resourcemanager.projects.get
-
privilegedaccessmanager.entitlements.create
-
privilegedaccessmanager.entitlements.delete
-
privilegedaccessmanager.entitlements.get
-
privilegedaccessmanager.entitlements.list
-
privilegedaccessmanager.entitlements.setIamPolicy
-
privilegedaccessmanager.grants.get
-
privilegedaccessmanager.grants.list
-
privilegedaccessmanager.grants.revoke
-
privilegedaccessmanager.locations.get
-
privilegedaccessmanager.locations.list
-
privilegedaccessmanager.operations.delete
-
privilegedaccessmanager.operations.get
-
privilegedaccessmanager.operations.list
-
-
Para conferir direitos e permissões:
-
resourcemanager.folders.get
-
resourcemanager.organizations.get
-
resourcemanager.projects.get
-
privilegedaccessmanager.entitlements.get
-
privilegedaccessmanager.entitlements.list
-
privilegedaccessmanager.grants.get
-
privilegedaccessmanager.grants.list
-
privilegedaccessmanager.locations.get
-
privilegedaccessmanager.locations.list
-
privilegedaccessmanager.operations.get
-
privilegedaccessmanager.operations.list
-
-
Para ver registros de auditoria:
logging.logEntries.list
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Ativar o Privileged Access Manager
Depois de ter as permissões necessárias para ativar o Privileged Access Manager, siga estas etapas:
Acesse a página Privileged Access Manager.
Selecione a organização, a pasta ou o projeto em que você quer ativar o Privileged Access Manager.
Clique em Ativar PAM para ativar o serviço no escopo de recursos selecionado.
Quando for solicitado que você conceda o papel de agente de serviço do Privileged Access Manager ao agente de serviço do Privileged Access Manager para gerenciar a elevação de privilégios, clique em Conceder função.
Verifique se o agente de serviço do Privileged Access Manager não está bloqueado pelos seguintes controles de segurança:
Políticas de negação: adicione o agente de serviço do Privileged Access Manager ao campo
exceptionPrincipals
das políticas.VPC Service Controls: adicione o agente de serviço do Privileged Access Manager aos níveis de acesso apropriados ou adicione uma regra de entrada ao perímetro para permitir o agente de serviço.
Clique em Concluir configuração.
Permitir o endereço de e-mail do Privileged Access Manager
Para contas de e-mail e grupos que recebem notificações por e-mail do Privileged Access Manager, adicione pam-noreply@google.com
às listas de permissões para que o e-mail não seja bloqueado.