Antes de começar a criar, modificar ou gerenciar os direitos e concessões do Privileged Access Manager, os principais usuários precisam ter as permissões adequadas. O serviço também precisa ser configurado no nível da organização, da pasta ou do projeto.
Os principais que solicitam concessões e que as aprovam ou negam não precisam de nenhuma permissão específica do Privileged Access Manager.
Antes de começar
Verifique se você tem as permissões necessárias do Identity and Access Management (IAM) para configurar e gerenciar as permissões do Privileged Access Manager.
Para receber as permissões necessárias para trabalhar com direitos e permissões, peça ao administrador para conceder a você os seguintes papéis do IAM na organização, na pasta ou no projeto:
-
Para criar, atualizar e excluir direitos de uma organização:
Administrador do Privileged Access Manager (
roles/privilegedaccessmanager.admin) e Administrador de segurança (roles/iam.securityAdmin) -
Para criar, atualizar e excluir direitos de uma pasta:
Administrador do Privileged Access Manager e Administrador do IAM da pasta (
roles/resourcemanager.folderAdmin) -
Para criar, atualizar e excluir direitos de um projeto:
Administrador do Privileged Access Manager e Administrador do IAM do projeto (
roles/resourcemanager.projectIamAdmin) -
Para conferir direitos e permissões:
Leitor do Privileged Access Manager (
roles/privilegedaccessmanager.viewer) -
Para conferir os registros de auditoria:
Visualizador de registros (
roles/logs.viewer)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para trabalhar com direitos e permissões. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para trabalhar com direitos e concessões:
-
Para ativar o Privileged Access Manager no nível da organização:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
serviceusage.services.enable
-
-
Para gerenciar direitos e permissões de uma organização:
-
resourcemanager.organizations.get -
resourcemanager.organizations.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para conferir direitos e permissões de uma organização:
-
resourcemanager.organizations.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ativar o Privileged Access Manager no nível da pasta:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
serviceusage.services.enable
-
-
Para gerenciar direitos e permissões de uma pasta:
-
resourcemanager.folders.get -
resourcemanager.folders.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para conferir direitos e permissões de uma pasta:
-
resourcemanager.folders.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ativar o Privileged Access Manager no nível do projeto:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy -
serviceusage.services.enable
-
-
Para gerenciar direitos e permissões de um projeto:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para conferir direitos e permissões de um projeto:
-
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ver registros de auditoria:
logging.logEntries.list
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Ativar o Gerenciador de acesso privilegiado
Para ativar o Privileged Access Manager, conceda o papel de Agente de serviço do Privileged Access Manager ao agente de serviço do Privileged Access Manager da sua organização, pasta ou projeto.
Para conceder esse papel ao agente de serviço, faça o seguinte:
Acesse a página Privileged Access Manager.
Selecione a organização, a pasta ou o projeto em que você quer ativar o Privileged Access Manager.
Clique em Configurar o PAM para iniciar o processo de configuração.
Para conceder acesso à função de Agente de serviço do Privileged Access Manager ao Agente de serviço do Privileged Access Manager para gerenciar a elevação de privilégios, clique em Conceder função.
Verifique se o agente de serviço do Privileged Access Manager foi adicionado aos seguintes controles de segurança:
Políticas de negação: adicione o agente de serviço do Privileged Access Manager ao campo
exceptionPrincipalsdas políticas.VPC Service Controls: adicione o agente de serviço do Privileged Access Manager aos níveis de acesso apropriados ou adicione uma regra de entrada ao perímetro para permitir o agente de serviço.
Clique em Concluir configuração.
Permitir o endereço de e-mail do Privileged Access Manager
Para contas de e-mail e grupos que recebem notificações por e-mail do Privileged Access Manager, adicione pam-noreply@google.com às listas de permissões para que o e-mail não seja bloqueado.