Permissões e configuração do Privileged Access Manager

Antes de começar a criar, modificar ou gerenciar os direitos e concessões do Privileged Access Manager, os principais usuários precisam ter as permissões adequadas. O serviço também precisa ser configurado no nível da organização, da pasta ou do projeto.

Os principais que solicitam concessões e que as aprovam ou negam não precisam de nenhuma permissão específica do Privileged Access Manager.

Papéis

Para receber as permissões necessárias para trabalhar com direitos e permissões, peça ao administrador para conceder a você os seguintes papéis do IAM na organização, na pasta ou no projeto:

  • Para criar, atualizar e excluir direitos: Administrador do Privileged Access Manager (roles/privilegedaccessmanager.admin). Além disso, administrador do IAM da pasta (roles/resourcemanager.folderIamAdmin), administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) ou administrador de segurança (roles/iam.securityAdmin)
  • Para conferir direitos e permissões: Leitor do Privileged Access Manager (roles/privilegedaccessmanager.viewer)
  • Para conferir os registros de auditoria: visualizador de registros (roles/logs.viewer)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para trabalhar com direitos e permissões. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para trabalhar com direitos e concessões:

  • Para ativar o Privileged Access Manager no escopo da organização, da pasta ou do projeto:
    • privilegedaccessmanager.locations.checkOnboardingStatus
    • resourcemanager.organizations.get
    • resourcemanager.organizations.getIamPolicy
    • resourcemanager.organizations.setIamPolicy
    • resourcemanager.folders.get
    • resourcemanager.folders.getIamPolicy
    • resourcemanager.folders.setIamPolicy
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy
  • Para gerenciar direitos e permissões:
    • resourcemanager.folders.get
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • privilegedaccessmanager.entitlements.create
    • privilegedaccessmanager.entitlements.delete
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.entitlements.setIamPolicy
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.grants.revoke
    • privilegedaccessmanager.locations.get
    • privilegedaccessmanager.locations.list
    • privilegedaccessmanager.operations.delete
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • Para conferir direitos e permissões:
    • resourcemanager.folders.get
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.locations.get
    • privilegedaccessmanager.locations.list
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • Para ver registros de auditoria: logging.logEntries.list

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Ativar o Privileged Access Manager

Depois de ter as permissões necessárias para ativar o Privileged Access Manager, siga estas etapas:

  1. Acesse a página Privileged Access Manager.

    Acessar o Privileged Access Manager

  2. Selecione a organização, a pasta ou o projeto em que você quer ativar o Privileged Access Manager.

  3. Clique em Ativar PAM para ativar o serviço no escopo de recursos selecionado.

  4. Quando for solicitado que você conceda o papel de Agente de serviço do Privileged Access Manager ao Agente de serviço do Privileged Access Manager para gerenciar a elevação de privilégios, clique em Conceder função.

  5. Verifique se o agente de serviço do Privileged Access Manager não está bloqueado pelos seguintes controles de segurança:

  6. Clique em Concluir configuração.

Permitir o endereço de e-mail do Privileged Access Manager

Para contas de e-mail e grupos que recebem notificações por e-mail do Privileged Access Manager, adicione pam-noreply@google.com às listas de permissões para que o e-mail não seja bloqueado.

A seguir