Privileged Access Manager 权限和设置

在开始创建、修改或管理 Privileged Access Manager 权限和授权之前,您的主账号必须具备相应的权限。服务还必须在组织、文件夹或项目级别进行设置。

主账号请求授权批准或拒绝授权不需要任何 Privileged Access Manager 专属权限。

角色

如需获得使用权限和授权所需的权限,请让管理员向您授予组织、文件夹或项目的以下 IAM 角色:

  • 如需创建、更新和删除权限,请使用以下角色: Privileged Access Manager Admin (roles/privilegedaccessmanager.admin)。此外,还可以使用 Folder IAM Admin (roles/resourcemanager.folderIamAdmin)、Project IAM Admin (roles/resourcemanager.projectIamAdmin) 或 Security Admin (roles/iam.securityAdmin)
  • 如需查看权限和授予的权限,请使用以下角色: Privileged Access Manager Viewer (roles/privilegedaccessmanager.viewer)
  • 如需查看审核日志,请使用以下角色: Logs Viewer (roles/logs.viewer)

如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

这些预定义角色包含使用权限和授权所需的权限。如需查看所需的确切权限,请展开所需权限部分:

所需权限

如需处理使用权和授权,您需要具备以下权限:

  • 在组织、文件夹或项目范围内启用 Privileged Access Manager:
    • privilegedaccessmanager.locations.checkOnboardingStatus
    • resourcemanager.organizations.get
    • resourcemanager.organizations.getIamPolicy
    • resourcemanager.organizations.setIamPolicy
    • resourcemanager.folders.get
    • resourcemanager.folders.getIamPolicy
    • resourcemanager.folders.setIamPolicy
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy
  • 管理使用权和授权:
    • resourcemanager.folders.get
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • privilegedaccessmanager.entitlements.create
    • privilegedaccessmanager.entitlements.delete
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.entitlements.setIamPolicy
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.grants.revoke
    • privilegedaccessmanager.locations.get
    • privilegedaccessmanager.locations.list
    • privilegedaccessmanager.operations.delete
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • 查看使用权和授权:
    • resourcemanager.folders.get
    • resourcemanager.organizations.get
    • resourcemanager.projects.get
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.locations.get
    • privilegedaccessmanager.locations.list
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • 查看审核日志: logging.logEntries.list

您也可以使用自定义角色或其他预定义角色来获取这些权限。

启用 Privileged Access Manager

获得启用 Privileged Access Manager 所需的权限后,请完成以下步骤:

  1. 前往 Privileged Access Manager 页面。

    前往 Privileged Access Manager

  2. 选择要为其启用特权访问管理器的组织、文件夹或项目。

  3. 点击启用 PAM,为所选资源范围启用该服务。

  4. 如果系统要求您向 Privileged Access Manager 服务代理授予 Privileged Access Manager 服务代理角色以管理权限升级,请点击授予角色

  5. 确保 Privileged Access Manager 服务代理未被以下安全控件屏蔽:

  6. 点击完成设置

允许 Privileged Access Manager 电子邮件地址

对于接收 Privileged Access Manager 电子邮件通知的电子邮件账号和群组,请将 pam-noreply@google.com 添加到许可名单中,以免电子邮件遭到屏蔽。

后续步骤