Antes de começar a criar, modificar ou gerenciar os direitos e concessões do Privileged Access Manager, os principais usuários precisam ter as permissões adequadas. O serviço também precisa ser configurado no nível da organização, da pasta ou do projeto.
Os principais que solicitam concessões e que as aprovam ou negam não precisam de nenhuma permissão específica do Privileged Access Manager.
Papéis
Para receber as permissões necessárias para trabalhar com direitos e permissões, peça ao administrador para conceder a você os seguintes papéis do IAM na organização, pasta ou projeto:
-
Para criar, atualizar e excluir direitos:
Administrador do Privileged Access Manager (
roles/privilegedaccessmanager.admin). Além disso, administrador do IAM da pasta (roles/resourcemanager.folderIamAdmin), administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) ou administrador de segurança (roles/iam.securityAdmin) -
Para conferir direitos e permissões:
Leitor do Privileged Access Manager (
roles/privilegedaccessmanager.viewer) -
Para conferir os registros de auditoria:
Visualizador de registros (
roles/logs.viewer)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para trabalhar com direitos e permissões. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para trabalhar com direitos e concessões:
-
Para ativar o Privileged Access Manager no escopo da organização, da pasta ou do projeto:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
-
-
Para gerenciar direitos e permissões:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para conferir direitos e permissões:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ver registros de auditoria:
logging.logEntries.list
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Ativar o Gerenciador de acesso privilegiado
Depois de ter as permissões necessárias para ativar o Privileged Access Manager, siga estas etapas:
Acesse a página Privileged Access Manager.
Selecione a organização, a pasta ou o projeto em que você quer ativar o Privileged Access Manager.
Clique em Ativar PAM para ativar o serviço no escopo de recursos selecionado.
Quando for solicitado que você conceda o papel de Agente de serviço do Privileged Access Manager ao Agente de serviço do Privileged Access Manager para gerenciar a elevação de privilégios, clique em Conceder função.
Verifique se o agente de serviço do Privileged Access Manager não está bloqueado pelos seguintes controles de segurança:
Políticas de negação: adicione o agente de serviço do Privileged Access Manager ao campo
exceptionPrincipalsdas políticas.VPC Service Controls: adicione o agente de serviço do Privileged Access Manager aos níveis de acesso apropriados ou adicione uma regra de entrada ao perímetro para permitir o agente de serviço.
Clique em Concluir configuração.
Permitir o endereço de e-mail do Privileged Access Manager
Para contas de e-mail e grupos que recebem notificações por e-mail do Privileged Access Manager, adicione pam-noreply@google.com às listas de permissões para que o e-mail não seja bloqueado.