Sebelum Anda dapat mulai membuat, mengubah, atau mengelola hak dan pemberian Privileged Access Manager, akun utama Anda harus memiliki izin yang sesuai. Layanan juga harus disiapkan di tingkat organisasi, folder, atau project.
Akun utama yang meminta pemberian dan menyetujui atau menolak pemberian tidak memerlukan izin khusus Privileged Access Manager.
Peran
Untuk mendapatkan izin yang diperlukan guna menggunakan hak dan hibah, minta administrator untuk memberi Anda peran IAM berikut di organisasi, folder, atau project:
-
Untuk membuat, memperbarui, dan menghapus hak:
Privileged Access Manager Admin (
roles/privilegedaccessmanager.admin). Selain itu, Folder IAM Admin (roles/resourcemanager.folderIamAdmin), Project IAM Admin (roles/resourcemanager.projectIamAdmin), atau Security Admin (roles/iam.securityAdmin) -
Untuk melihat hak dan pemberian:
Privileged Access Manager Viewer (
roles/privilegedaccessmanager.viewer) -
Untuk melihat log audit:
Logs Viewer (
roles/logs.viewer)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk menggunakan hak dan hibah. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk menggunakan hak dan hibah:
-
Untuk mengaktifkan Privileged Access Manager di cakupan organisasi, folder, atau project:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
-
-
Untuk mengelola hak dan hibah:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Untuk melihat hak dan hibah:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Untuk melihat log audit:
logging.logEntries.list
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Mengaktifkan Privileged Access Manager
Setelah Anda memiliki izin yang diperlukan untuk mengaktifkan Privileged Access Manager, selesaikan langkah-langkah berikut:
Buka halaman Privileged Access Manager.
Pilih organisasi, folder, atau project tempat Anda ingin mengaktifkan Privileged Access Manager.
Klik Aktifkan PAM untuk mengaktifkan layanan untuk cakupan resource yang dipilih.
Saat diminta untuk memberikan peran Privileged Access Manager Service Agent ke Privileged Access Manager service agent untuk mengelola eskalasi hak istimewa, klik Grant role.
Pastikan agen layanan Privileged Access Manager tidak diblokir oleh kontrol keamanan berikut:
Kebijakan penolakan: Tambahkan agen layanan Privileged Access Manager ke kolom
exceptionPrincipalskebijakan Anda.Kontrol Layanan VPC: Tambahkan agen layanan Privileged Access Manager ke tingkat akses yang sesuai, atau tambahkan aturan ingress ke perimeter untuk mengizinkan agen layanan.
Klik Complete setup.
Mengizinkan alamat email Privileged Access Manager
Untuk akun dan grup email yang menerima notifikasi email Privileged Access Manager, tambahkan pam-noreply@google.com ke daftar yang diizinkan agar email tidak diblokir.