在开始创建、修改或管理 Privileged Access Manager 权限和授权之前,您的主账号必须具备相应的权限。服务还必须在组织、文件夹或项目级别进行设置。
主账号请求授权和批准或拒绝授权不需要任何 Privileged Access Manager 专属权限。
角色
如需获得使用权限和授权所需的权限,请让管理员向您授予组织、文件夹或项目的以下 IAM 角色:
-
如需创建、更新和删除权限,请使用以下角色:
Privileged Access Manager Admin (
roles/privilegedaccessmanager.admin)。此外,还可以使用 Folder IAM Admin (roles/resourcemanager.folderIamAdmin)、Project IAM Admin (roles/resourcemanager.projectIamAdmin) 或 Security Admin (roles/iam.securityAdmin) -
如需查看权限和授予的权限,请使用以下角色:
Privileged Access Manager Viewer (
roles/privilegedaccessmanager.viewer) -
如需查看审核日志,请使用以下角色:
Logs Viewer (
roles/logs.viewer)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
这些预定义角色包含使用权限和授权所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需处理使用权和授权,您需要具备以下权限:
-
在组织、文件夹或项目范围内启用 Privileged Access Manager:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
-
-
管理使用权和授权:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
查看使用权和授权:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
- 查看审核日志:
logging.logEntries.list
启用 Privileged Access Manager
获得启用 Privileged Access Manager 所需的权限后,请完成以下步骤:
前往 Privileged Access Manager 页面。
选择要为其启用特权访问管理器的组织、文件夹或项目。
点击启用 PAM,为所选资源范围启用该服务。
如果系统要求您向 Privileged Access Manager 服务代理授予 Privileged Access Manager 服务代理角色以管理权限升级,请点击授予角色。
确保 Privileged Access Manager 服务代理未被以下安全控件屏蔽:
拒绝政策:将 Privileged Access Manager 服务代理添加到政策的
exceptionPrincipals字段中。VPC Service Controls:将 Privileged Access Manager 服务代理添加到相应的访问权限级别,或向边界添加入站流量规则以允许服务代理。
点击完成设置。
允许 Privileged Access Manager 电子邮件地址
对于接收 Privileged Access Manager 电子邮件通知的电子邮件账号和群组,请将 pam-noreply@google.com 添加到许可名单中,以免电子邮件遭到屏蔽。