Privileged Access Manager の利用資格と権限付与の作成、変更、管理を開始するには、プリンシパルに適切な権限が必要です。サービスは、組織、フォルダ、プロジェクトのレベルで設定する必要があります。
権限付与をリクエストし、権限付与を承認または拒否するプリンシパルには、Privileged Access Manager 固有の権限は必要ありません。
ロール
利用資格と権限付与を操作するために必要な権限を取得するには、組織、フォルダ、またはプロジェクトに対する次の IAM ロールを付与するよう管理者に依頼します。
-
利用資格を作成、更新、削除する: Privileged Access Manager 管理者(
roles/privilegedaccessmanager.admin)。さらに、フォルダ IAM 管理者(roles/resourcemanager.folderIamAdmin)、プロジェクト IAM 管理者(roles/resourcemanager.projectIamAdmin)、セキュリティ管理者(roles/iam.securityAdmin)のいずれか。 -
利用資格と権限付与を表示する: Privileged Access Manager 閲覧者(
roles/privilegedaccessmanager.viewer) -
監査ログを表示する: ログビューア(
roles/logs.viewer)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
これらの事前定義ロールには、利用資格と権限付与の操作に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
利用資格と権限付与を操作するには、次の権限が必要です。
-
組織、フォルダ、プロジェクトのスコープで Privileged Access Manager を有効にする:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
-
-
利用資格と権限付与を管理する:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
利用資格と権限付与を表示する:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
- 監査ログを表示する:
logging.logEntries.list
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
Privileged Access Manager を有効にする
Privileged Access Manager を有効にするために必要な権限を取得したら、次の操作を行います。
[Privileged Access Manager] ページに移動します。
Privileged Access Manager を有効にする組織、フォルダ、またはプロジェクトを選択します。
[PAM を有効にする] をクリックして、選択したリソース スコープでサービスを有効にします。
特権昇格を管理するために Privileged Access Manager サービス エージェントに Privileged Access Manager サービス エージェントのロールを付与するように求められたら、[ロールを付与] をクリックします。
Privileged Access Manager サービス エージェントが次のセキュリティ制御によってブロックされていないことを確認します。
拒否ポリシー: ポリシーの
exceptionPrincipalsフィールドに Privileged Access Manager サービス エージェントを追加します。VPC Service Controls: Privileged Access Manager サービス エージェントを適切なアクセスレベルに追加するか、サービス エージェントを許可する上り(内向き)ルールを境界に追加します。
[設定を完了] をクリックします。
Privileged Access Manager のメールアドレスを許可する
Privileged Access Manager のメール通知を受信するメール アカウントとグループの場合は、メールがブロックされないように許可リストに pam-noreply@google.com を追加します。