本頁面由 Cloud Translation API 翻譯而成。

Privileged Access Manager 權限和設定

如要開始建立、修改或管理 Privileged Access Manager 權利和授權，主體必須具備適當的權限。服務也必須在機構、資料夾或專案層級設定。

要求授權和核准或拒絕授權的主體，都不需要任何 Privileged Access Manager 專屬權限。

事前準備

確認您具備設定及管理 Privileged Access Manager 權限所需的 Identity and Access Management (IAM) 權限。

如要取得使用權利和授權所需的權限，請要求管理員在機構、資料夾或專案中授予下列 IAM 角色：

如要建立、更新及刪除機構的授權： Privileged Access Manager 管理員 (roles/privilegedaccessmanager.admin) 和安全管理員 (roles/iam.securityAdmin)
如要建立、更新及刪除資料夾的權利，請確認您具備下列角色： Privileged Access Manager 管理員和資料夾 IAM 管理員 (roles/resourcemanager.folderAdmin)
如要建立、更新及刪除專案的權利，請指派下列角色： Privileged Access Manager 管理員和專案 IAM 管理員 (roles/resourcemanager.projectIamAdmin)
如要查看權利和授權： Privileged Access Manager 檢視者 (roles/privilegedaccessmanager.viewer)
如要查看稽核記錄，請按照下列步驟操作：「記錄檢視器」 (roles/logs.viewer)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

這些預先定義的角色具備處理授權和授予項目所需的權限。如要查看確切的必要權限，請展開「必要權限」部分：

所需權限

如要使用授權和授予功能，必須具備下列權限：

如要在機構層級啟用 Privileged Access Manager，請按照下列步驟操作：
- privilegedaccessmanager.locations.checkOnboardingStatus
- resourcemanager.organizations.get
- resourcemanager.organizations.getIamPolicy
- resourcemanager.organizations.setIamPolicy
- serviceusage.services.enable
如要管理機構的授權和補助，請按照下列步驟操作：
- resourcemanager.organizations.get
- resourcemanager.organizations.setIamPolicy
- privilegedaccessmanager.entitlements.create
- privilegedaccessmanager.entitlements.delete
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.entitlements.setIamPolicy
- privilegedaccessmanager.grants.get
- privilegedaccessmanager.grants.list
- privilegedaccessmanager.grants.revoke
- privilegedaccessmanager.operations.delete
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
如要查看機構的權利和授權：
- resourcemanager.organizations.get
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.grants.get
- privilegedaccessmanager.grants.list
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
如要在資料夾層級啟用 Privileged Access Manager，請按照下列步驟操作：
- privilegedaccessmanager.locations.checkOnboardingStatus
- resourcemanager.folders.get
- resourcemanager.folders.getIamPolicy
- resourcemanager.folders.setIamPolicy
- serviceusage.services.enable
如要管理資料夾的權利和授權：
- resourcemanager.folders.get
- resourcemanager.folders.setIamPolicy
- privilegedaccessmanager.entitlements.create
- privilegedaccessmanager.entitlements.delete
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.entitlements.setIamPolicy
- privilegedaccessmanager.grants.get
- privilegedaccessmanager.grants.list
- privilegedaccessmanager.grants.revoke
- privilegedaccessmanager.operations.delete
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
如要查看資料夾的權利和授權：
- resourcemanager.folders.get
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.grants.get
- privilegedaccessmanager.grants.list
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
如要在專案層級啟用 Privileged Access Manager，請按照下列步驟操作：
- privilegedaccessmanager.locations.checkOnboardingStatus
- resourcemanager.projects.get
- resourcemanager.projects.getIamPolicy
- resourcemanager.projects.setIamPolicy
- serviceusage.services.enable
如要管理專案的權利和授權：
- resourcemanager.projects.get
- resourcemanager.projects.getIamPolicy
- privilegedaccessmanager.entitlements.create
- privilegedaccessmanager.entitlements.delete
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.entitlements.setIamPolicy
- privilegedaccessmanager.grants.get
- privilegedaccessmanager.grants.list
- privilegedaccessmanager.grants.revoke
- privilegedaccessmanager.operations.delete
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
如要查看專案的授權和授予項目：
- resourcemanager.projects.get
- privilegedaccessmanager.entitlements.get
- privilegedaccessmanager.entitlements.list
- privilegedaccessmanager.grants.get
- privilegedaccessmanager.grants.list
- privilegedaccessmanager.operations.get
- privilegedaccessmanager.operations.list
如要查看稽核記錄，請按照下列步驟操作： logging.logEntries.list

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

啟用 Privileged Access Manager

如要啟用 Privileged Access Manager，您必須將Privileged Access Manager 服務代理角色授予機構、資料夾或專案的 Privileged Access Manager 服務代理。

如要將這個角色授予服務代理，請按照下列步驟操作：

前往「Privileged Access Manager」頁面。

前往 Privileged Access Manager
選取要啟用 Privileged Access Manager 的機構、資料夾或專案。
按一下「設定 PAM」即可開始設定程序。
如要授予 Privileged Access Manager 服務代理角色給 Privileged Access Manager 服務代理，讓對方管理權限提升作業，請按一下「授予角色」。

注意： 將角色授予機構或資料夾的服務代理程式時，系統會將角色授予資源階層中位於該機構或資料夾下的所有資料夾和專案。
確認已將 Privileged Access Manager 服務代理新增至下列安全控制項：
- 拒絕政策：將 Privileged Access Manager 服務代理程式新增至政策的 exceptionPrincipals 欄位。
- VPC Service Controls：將 Privileged Access Manager 服務代理程式新增至適當的存取層級，或在服務範圍中新增輸入規則，允許服務代理程式存取。
按一下「完成設定」。

允許 Privileged Access Manager 電子郵件地址

如果電子郵件帳戶和群組會收到 Privileged Access Manager 電子郵件通知，請將 pam-noreply@google.com 加入允許清單，確保電子郵件不會遭到封鎖。

後續步驟

建立授權