Untuk meningkatkan hak istimewa Anda untuk sementara, Anda dapat meminta pemberian terhadap hak di Privileged Access Manager (PAM) untuk durasi tetap.
Hak berisi peran yang diberikan kepada Anda setelah permintaan pemberian berhasil. Peran ini dihapus oleh Privileged Access Manager saat pemberian berakhir.
Perhatikan hal-hal berikut saat Anda ingin meminta hibah terhadap hak:
Anda hanya dapat meminta hibah atas hak yang telah ditambahkan kepada Anda. Untuk ditambahkan ke hak, hubungi akun utama yang mengelola hak.
Bergantung pada cara penyiapannya, permintaan hibah mungkin memerlukan persetujuan agar dapat diberikan.
Jika permintaan hibah memerlukan persetujuan dan tidak disetujui atau ditolak dalam 24 jam, status hibah akan diubah menjadi
Expired
. Setelah itu, Anda harus membuat permintaan pemberian baru jika peningkatan hak istimewa masih diperlukan.Permintaan pemberian yang berhasil mungkin memerlukan waktu beberapa menit untuk diterapkan.
Meminta hibah menggunakan konsol Google Cloud
Untuk meminta hibah atas hak, selesaikan petunjuk berikut:
Buka halaman Privileged Access Manager.
Pilih organisasi, folder, atau project tempat Anda ingin meminta hibah.
Di tab Hak saya, temukan hak yang akan diminta, lalu klik Minta pemberian di baris yang sama.
Berikan detail berikut:
Durasi yang diperlukan untuk pemberian, hingga durasi maksimum yang ditetapkan pada hak.
Jika diperlukan, justifikasi untuk pemberian.
Opsional: Alamat email yang akan diberi tahu tentang permintaan hibah. Identitas Google yang terkait dengan pemberi persetujuan akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
Klik Minta pemberian.
Untuk melihat histori hibah Anda termasuk status persetujuan, klik tab Hibah, diikuti dengan tab Hibah saya.
Meminta hibah secara terprogram
Untuk meminta hibah atas hak, Anda harus menyelesaikan langkah-langkah berikut:
Telusuri ID hak yang tersedia yang dapat Anda minta untuk mendapatkan hibah.
Minta hibah.
Setelah itu, Anda dapat memeriksa status hibah untuk melihat apakah hibah tersebut aktif, yang berarti Anda telah menerima peningkatan sementara.
Menelusuri hak yang tersedia
gcloud
Perintah
gcloud beta pam entitlements search
dengan jenis akses pemanggil
grant-requester
akan menelusuri hak yang dapat Anda minta untuk diberikan.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
RESOURCE_TYPE
: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilaiorganization
,folder
, atauproject
.RESOURCE_ID
: Digunakan denganRESOURCE_TYPE
. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, sepertimy-project
. Folder dan ID organisasi berupa numerik, seperti123456789012
.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta pam entitlements search \ --caller-access-type=grant-requester \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam entitlements search ` --caller-access-type=grant-requester ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam entitlements search ^ --caller-access-type=grant-requester ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
additionalNotificationTargets: {} approvalWorkflow: manualApprovals: requireApproverJustification: true steps: - approvalsNeeded: 1 approvers: - principals: - user:alex@example.com createTime: '22024-03-26T11:07:37.009498890Z' etag: ETAG maxRequestDuration: 3600s name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID privilegedAccess: gcpIamAccess: resource: //cloudresourcemanager.googleapis.com/projects/my-project resourceType: cloudresourcemanager.googleapis.com/Project roleBindings: - role: roles/storage.admin requesterJustificationConfig: notMandatory: {} state: AVAILABLE updateTime: '2024-03-26T11:07:40.056780645Z'
REST
Metode
searchEntitlements
Privileged Access Manager API dengan jenis akses pemanggil
GRANT_REQUESTER
menelusuri hak yang dapat Anda minta pemberiannya.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE
: Organisasi, folder, atau project tempat hak berada, dalam formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
, atauprojects/PROJECT_ID
. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa angka, seperti123456789012
.FILTER
: Opsional. Menampilkan hak yang nilai kolomnya cocok dengan ekspresi AIP-160.PAGE_SIZE
: Opsional. Jumlah item yang akan ditampilkan dalam respons.PAGE_TOKEN
: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.
Metode HTTP dan URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
[ { "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID", "createTime": "2023-11-21T17:28:39.962144708Z", "updateTime": "2023-11-21T17:28:43.160309410Z", "eligibleUsers": [ { "principals": [ "user:alex@example.com" ] } ], "approvalWorkflow": { "manualApprovals": { "steps": [ { "approvers": [ { "principals": [ "user:bola@example.com" ] } ], "approvalsNeeded": 1 } ] } }, "privilegedAccess": { "gcpIamAccess": { "resourceType": "cloudresourcemanager.googleapis.com/Project", "resource": "//cloudresourcemanager.googleapis.com/projects/my-project", "roleBindings": [ { "role": "roles/storage.admin" } ] } }, "maxRequestDuration": "14400s", "state": "AVAILABLE", "requesterJustificationConfig": { "unstructured": {} }, "additionalNotificationTargets": { "adminEmailRecipients": [ "alex@example.com" ] }, "etag": "ETAG" } ]
Meminta pemberian berdasarkan hak
gcloud
Perintah
gcloud beta pam grants create
meminta hibah.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
ENTITLEMENT_ID
: ID hak untuk membuat pemberian.GRANT_DURATION
: Durasi pemberian izin yang diminta, dalam detik.JUSTIFICATION
: Justifikasi untuk meminta hibah.EMAIL_ADDRESS
: Opsional. Alamat email tambahan untuk diberi tahu tentang permintaan hibah. Identitas Google yang terkait dengan pemberi persetujuan akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.RESOURCE_TYPE
: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilaiorganization
,folder
, atauproject
.RESOURCE_ID
: Digunakan denganRESOURCE_TYPE
. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, sepertimy-project
. Folder dan ID organisasi berupa numerik, seperti123456789012
.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta pam grants create \ --entitlement=ENTITLEMENT_ID \ --requested-duration="GRANT_DURATIONs" \ --justification="JUSTIFICATION" \ --location=global \ [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam grants create ` --entitlement=ENTITLEMENT_ID ` --requested-duration="GRANT_DURATIONs" ` --justification="JUSTIFICATION" ` --location=global ` [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam grants create ^ --entitlement=ENTITLEMENT_ID ^ --requested-duration="GRANT_DURATIONs" ^ --justification="JUSTIFICATION" ^ --location=global ^ [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
Created [GRANT_ID].
REST
Metode
createGrant
Privileged Access Manager API meminta hibah.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE
: Organisasi, folder, atau project tempat hak berada, dalam formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
, atauprojects/PROJECT_ID
. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa angka, seperti123456789012
.ENTITLEMENT_ID
: ID hak untuk membuat pemberian.REQUEST_ID
: Opsional. Harus berupa UUID yang bukan nol. Jika server menerima permintaan dengan ID permintaan, server akan memeriksa apakah permintaan lain dengan ID tersebut telah selesai dalam 60 menit terakhir. Jika demikian, permintaan baru akan diabaikan.GRANT_DURATION
: Durasi pemberian izin yang diminta, dalam detik.JUSTIFICATION
: Justifikasi untuk meminta hibah.EMAIL_ADDRESS
: Opsional. Alamat email tambahan untuk diberi tahu tentang permintaan hibah. Identitas Google yang terkait dengan pemberi persetujuan akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
Metode HTTP dan URL:
POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID
Meminta isi JSON:
{ "requestedDuration": "GRANT_DURATIONs", "justification": { "unstructuredJustification": "JUSTIFICATION" }, "additionalEmailRecipients": [ "EMAIL_ADDRESS_1", "EMAIL_ADDRESS_2", ... ] }
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{ "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID", "createTime": "2024-03-06T03:08:49.330577625Z", "updateTime": "2024-03-06T03:08:49.330577625Z", "requester": "bola@example.com", "requestedDuration": "3600s", "justification": { "unstructuredJustification": "Emergency service for outage" }, "state": "APPROVAL_AWAITED", "timeline": { "events": [ { "eventTime": "2024-03-06T03:08:49.462765846Z", "requested": { "expireTime": "2024-03-07T03:08:49.462765846Z" } } ] }, "privilegedAccess": { "gcpIamAccess": { "resourceType": "cloudresourcemanager.googleapis.com/Project", "resource": "//cloudresourcemanager.googleapis.com/projects/my-project", "roleBindings": [ { "role": "roles/storage.admin" } ] } }, "additionalEmailRecipients": [ "alex@example.com" ] }
Memeriksa status permintaan hibah
gcloud
Perintah
gcloud beta pam grants search
yang digunakan dengan hubungan pemanggil
had-created
menelusuri hibah yang telah Anda buat. Untuk memeriksa statusnya,
cari kolom state
dalam respons.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
ENTITLEMENT_ID
: ID hak yang dimiliki hibah.RESOURCE_TYPE
: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilaiorganization
,folder
, atauproject
.RESOURCE_ID
: Digunakan denganRESOURCE_TYPE
. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, sepertimy-project
. Folder dan ID organisasi berupa numerik, seperti123456789012
.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta pam grants search \ --entitlement=ENTITLEMENT_ID \ --caller-relationship=had-created \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam grants search ` --entitlement=ENTITLEMENT_ID ` --caller-relationship=had-created ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam grants search ^ --entitlement=ENTITLEMENT_ID ^ --caller-relationship=had-created ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
additionalEmailRecipients: - bola@example.com createTime: '2024-03-07T00:34:32.557017289Z' justification: unstructuredJustification: Renaming a file to mitigate issue #312 name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID privilegedAccess: gcpIamAccess: resource: //cloudresourcemanager.googleapis.com/projects/my-project resourceType: cloudresourcemanager.googleapis.com/Project roleBindings: - role: roles/storage.admin requestedDuration: 3600s requester: cruz@example.com state: DENIED timeline: events: - eventTime: '2024-03-07T00:34:32.793769042Z' requested: expireTime: '2024-03-08T00:34:32.793769042Z' - denied: actor: alex@example.com reason: Issue has already been resolved eventTime: '2024-03-07T00:36:08.309116203Z' updateTime: '2024-03-07T00:34:32.926967128Z'
Hibah dapat memiliki status berikut:
Status | Deskripsi |
---|---|
AKTIFASI | Hibah sedang dalam proses aktivasi. |
ACTIVATION_FAILED | Privileged Access Manager tidak dapat memberikan peran karena error yang tidak dapat dicoba ulang. |
AKTIF | Pemberian izin aktif dan akun utama memiliki akses ke resource yang diizinkan oleh peran. |
APPROVAL_AWAITED | Permintaan hibah sedang menunggu keputusan dari pemberi persetujuan. |
DITOLAK | Permintaan hibah telah ditolak oleh pemberi persetujuan. |
BERAKHIR | Pemberian telah berakhir dan peran telah dihapus dari akun utama. |
BERAKHIR | Masa berlaku permintaan hibah telah berakhir, karena persetujuan tidak diberikan dalam 24 jam. |
DIBATALKAN | Pemberian dicabut, dan akun utama tidak lagi memiliki akses ke resource yang diizinkan oleh peran. |
PEMBATALAN | Pemberian sedang dalam proses pencabutan. |
REST
Metode searchGrants
Privileged Access Manager API
yang digunakan dengan hubungan pemanggil
HAD_CREATED
menelusuri pemberian yang telah Anda buat. Untuk memeriksa statusnya,
cari kolom state
dalam respons.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE
: Organisasi, folder, atau project tempat hak berada, dalam formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
, atauprojects/PROJECT_ID
. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa angka, seperti123456789012
.ENTITLEMENT_ID
: ID hak yang dimiliki hibah.FILTER
: Opsional. Menampilkan hibah yang nilai kolomnya cocok dengan ekspresi AIP-160.PAGE_SIZE
: Opsional. Jumlah item yang akan ditampilkan dalam respons.PAGE_TOKEN
: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.
Metode HTTP dan URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{ "grants": [ { "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID", "createTime": "2024-03-06T03:08:49.330577625Z", "updateTime": "2024-03-06T03:08:49.625874598Z", "requester": "alex@example.com", "requestedDuration": "3600s", "justification": { "unstructuredJustification": "Emergency service for outage" }, "state": "APPROVAL_AWAITED", "timeline": { "events": [ { "eventTime": "2024-03-06T03:08:49.462765846Z", "requested": { "expireTime": "2024-03-07T03:08:49.462765846Z" } } ] }, "privilegedAccess": { "gcpIamAccess": { "resourceType": "cloudresourcemanager.googleapis.com/Project", "resource": "//cloudresourcemanager.googleapis.com/projects/my-project", "roleBindings": [ { "role": "roles/storage.admin" } ] } }, "additionalEmailRecipients": [ "bola@google.com" ] } ] }
Status hibah dijelaskan dalam tabel berikut.
Status | Deskripsi |
---|---|
AKTIFASI | Hibah sedang dalam proses aktivasi. |
ACTIVATION_FAILED | Privileged Access Manager tidak dapat memberikan peran karena error yang tidak dapat dicoba ulang. |
AKTIF | Pemberian izin aktif dan akun utama memiliki akses ke resource yang diizinkan oleh peran. |
APPROVAL_AWAITED | Permintaan hibah sedang menunggu keputusan dari pemberi persetujuan. |
DITOLAK | Permintaan hibah telah ditolak oleh pemberi persetujuan. |
BERAKHIR | Pemberian telah berakhir dan peran telah dihapus dari akun utama. |
BERAKHIR | Masa berlaku permintaan hibah telah berakhir, karena persetujuan tidak diberikan dalam 24 jam. |
DIBATALKAN | Pemberian dicabut, dan akun utama tidak lagi memiliki akses ke resource yang diizinkan oleh peran. |
PEMBATALAN | Pemberian sedang dalam proses pencabutan. |