Prima di poter iniziare a creare, modificare o gestire il Gestore degli accessi con privilegi e le concessioni, le entità devono disporre delle autorizzazioni appropriate. Il servizio deve essere configurato anche a livello di organizzazione, cartella o progetto.
Entità che richiedono concessioni e approvando o negando le concessioni sono necessarie autorizzazioni specifiche di Privileged Access Manager.
Ruoli
Per ottenere le autorizzazioni di cui hai bisogno per lavorare con diritti e concessioni, chiedi all'amministratore di concederti seguenti ruoli IAM nell'organizzazione, nella cartella o nel progetto:
-
Per creare, aggiornare ed eliminare i diritti:
Amministratore Gestore degli accessi con privilegi (
roles/privilegedaccessmanager.admin). Inoltre, Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin), Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin) o Amministratore sicurezza (roles/iam.securityAdmin) -
Per visualizzare i diritti e le concessioni:
Visualizzatore Gestore degli accessi con privilegi (
roles/privilegedaccessmanager.viewer) -
Per visualizzare gli audit log:
Visualizzatore log (
roles/logs.viewer)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per lavorare con diritti e concessioni. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per lavorare con diritti e concessioni sono necessarie le seguenti autorizzazioni:
-
Per abilitare Privileged Access Manager nell'ambito dell'organizzazione, della cartella o del progetto:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
-
-
Per gestire i diritti e le concessioni:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare i diritti e le concessioni:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare gli audit log:
logging.logEntries.list
Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati altri ruoli predefiniti.
Abilita il Gestore accessi con privilegi
Dopo aver ottenuto le autorizzazioni necessarie per abilitare Privileged Access Manager, completa segui questi passaggi:
Vai alla pagina Gestore degli accessi con privilegi.
Seleziona l'organizzazione, la cartella o il progetto per cui vuoi attivare Privileged Access Manager.
Fai clic su Abilita PAM per attivare il servizio per l'ambito della risorsa selezionato.
Quando ti viene chiesto di concedere il ruolo Agente di servizio Gestore degli accessi con privilegi a l'agente di servizio di Privileged Access Manager Per gestire l'escalation dei privilegi, fai clic su Concedi ruolo.
Assicurati che l'agente di servizio Privileged Access Manager non sia bloccato dai seguenti controlli di sicurezza:
Criteri di rifiuto: aggiungi l'agente di servizio Privileged Access Manager al campo
exceptionPrincipalsdei tuoi criteri.Controlli di servizio VPC: aggiungi l'agente di servizio Privileged Access Manager ai livelli di accesso appropriati o aggiungi una regola di ingresso al perimetro per consentire l'agente di servizio.
Fai clic su Completa la configurazione.
Consenti l'indirizzo email di Privileged Access Manager
Per account email e gruppi che ricevono email da Privileged Access Manager
notifiche, aggiungi pam-noreply@google.com alle tue liste consentite in modo che l'email
non viene bloccato.