Meminta akses yang ditingkatkan sementara dengan Privileged Access Manager

Untuk meningkatkan hak istimewa Anda untuk sementara, Anda dapat meminta pemberian terhadap hak di Privileged Access Manager (PAM) untuk durasi tetap.

Hak berisi peran yang diberikan kepada Anda setelah permintaan pemberian berhasil. Peran ini dihapus oleh Privileged Access Manager saat pemberian berakhir.

Perhatikan hal-hal berikut saat Anda ingin meminta hibah terhadap hak:

  • Anda hanya dapat meminta hibah atas hak yang telah ditambahkan kepada Anda. Untuk ditambahkan ke hak, hubungi akun utama yang mengelola hak.

  • Bergantung pada cara penyiapannya, permintaan hibah mungkin memerlukan persetujuan agar dapat diberikan.

  • Jika permintaan hibah memerlukan persetujuan dan tidak disetujui atau ditolak dalam 24 jam, status hibah akan diubah menjadi Expired. Setelah itu, Anda harus membuat permintaan pemberian baru jika peningkatan hak istimewa masih diperlukan.

  • Permintaan pemberian yang berhasil mungkin memerlukan waktu beberapa menit untuk diterapkan.

Meminta hibah menggunakan konsol Google Cloud

Untuk meminta hibah atas hak, selesaikan petunjuk berikut:

  1. Buka halaman Privileged Access Manager.

    Buka Privileged Access Manager

  2. Pilih organisasi, folder, atau project tempat Anda ingin meminta hibah.

  3. Di tab Hak saya, temukan hak yang akan diminta, lalu klik Minta pemberian di baris yang sama.

  4. Berikan detail berikut:

    • Durasi yang diperlukan untuk pemberian, hingga durasi maksimum yang ditetapkan pada hak.

    • Jika diperlukan, justifikasi untuk pemberian.

    • Opsional: Alamat email yang akan diberi tahu tentang permintaan hibah. Identitas Google yang terkait dengan pemberi persetujuan akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.

  5. Klik Minta pemberian.

  6. Untuk melihat histori hibah Anda termasuk status persetujuan, klik tab Hibah, diikuti dengan tab Hibah saya.

Meminta hibah secara terprogram

Untuk meminta hibah atas hak, Anda harus menyelesaikan langkah-langkah berikut:

  1. Telusuri ID hak yang tersedia yang dapat Anda minta untuk mendapatkan hibah.

  2. Minta hibah.

Setelah itu, Anda dapat memeriksa status hibah untuk melihat apakah hibah tersebut aktif, yang berarti Anda telah menerima peningkatan sementara.

Menelusuri hak yang tersedia

gcloud

Perintah gcloud beta pam entitlements search dengan jenis akses pemanggil grant-requester akan menelusuri hak yang dapat Anda minta untuk diberikan.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilai organization, folder, atau project.
  • RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud beta pam entitlements search \
    --caller-access-type=grant-requester \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam entitlements search `
    --caller-access-type=grant-requester `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam entitlements search ^
    --caller-access-type=grant-requester ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '22024-03-26T11:07:37.009498890Z'
etag: ETAG
maxRequestDuration: 3600s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requesterJustificationConfig:
  notMandatory: {}
state: AVAILABLE
updateTime: '2024-03-26T11:07:40.056780645Z'

REST

Metode searchEntitlements Privileged Access Manager API dengan jenis akses pemanggil GRANT_REQUESTER menelusuri hak yang dapat Anda minta pemberiannya.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. ID folder dan organisasi berupa angka, seperti 123456789012.
  • FILTER: Opsional. Menampilkan hak yang nilai kolomnya cocok dengan ekspresi AIP-160.
  • PAGE_SIZE: Opsional. Jumlah item yang akan ditampilkan dalam respons.
  • PAGE_TOKEN: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.

Metode HTTP dan URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

[
  {
    "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
    "createTime": "2023-11-21T17:28:39.962144708Z",
    "updateTime": "2023-11-21T17:28:43.160309410Z",
    "eligibleUsers": [
      {
        "principals": [
          "user:alex@example.com"
        ]
      }
    ],
    "approvalWorkflow": {
      "manualApprovals": {
        "steps": [
          {
            "approvers": [
              {
                "principals": [
                  "user:bola@example.com"
                ]
              }
            ],
            "approvalsNeeded": 1
          }
        ]
      }
    },
    "privilegedAccess": {
      "gcpIamAccess": {
        "resourceType": "cloudresourcemanager.googleapis.com/Project",
        "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
        "roleBindings": [
          {
            "role": "roles/storage.admin"
          }
        ]
      }
    },
    "maxRequestDuration": "14400s",
    "state": "AVAILABLE",
    "requesterJustificationConfig": {
      "unstructured": {}
    },
    "additionalNotificationTargets": {
      "adminEmailRecipients": [
        "alex@example.com"
      ]
    },
    "etag": "ETAG"
  }
]

Meminta pemberian berdasarkan hak

gcloud

Perintah gcloud beta pam grants create meminta hibah.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ENTITLEMENT_ID: ID hak untuk membuat pemberian.
  • GRANT_DURATION: Durasi pemberian izin yang diminta, dalam detik.
  • JUSTIFICATION: Justifikasi untuk meminta hibah.
  • EMAIL_ADDRESS: Opsional. Alamat email tambahan untuk diberi tahu tentang permintaan hibah. Identitas Google yang terkait dengan pemberi persetujuan akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
  • RESOURCE_TYPE: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilai organization, folder, atau project.
  • RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud beta pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

Created [GRANT_ID].

REST

Metode createGrant Privileged Access Manager API meminta hibah.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. ID folder dan organisasi berupa angka, seperti 123456789012.
  • ENTITLEMENT_ID: ID hak untuk membuat pemberian.
  • REQUEST_ID: Opsional. Harus berupa UUID yang bukan nol. Jika server menerima permintaan dengan ID permintaan, server akan memeriksa apakah permintaan lain dengan ID tersebut telah selesai dalam 60 menit terakhir. Jika demikian, permintaan baru akan diabaikan.
  • GRANT_DURATION: Durasi pemberian izin yang diminta, dalam detik.
  • JUSTIFICATION: Justifikasi untuk meminta hibah.
  • EMAIL_ADDRESS: Opsional. Alamat email tambahan untuk diberi tahu tentang permintaan hibah. Identitas Google yang terkait dengan pemberi persetujuan akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.

Metode HTTP dan URL:

POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

Meminta isi JSON:

{
  "requestedDuration": "GRANT_DURATIONs",
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
    ...
  ]
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
  "createTime": "2024-03-06T03:08:49.330577625Z",
  "updateTime": "2024-03-06T03:08:49.330577625Z",
  "requester": "bola@example.com",
  "requestedDuration": "3600s",
  "justification": {
    "unstructuredJustification": "Emergency service for outage"
  },
  "state": "APPROVAL_AWAITED",
  "timeline": {
    "events": [
      {
        "eventTime": "2024-03-06T03:08:49.462765846Z",
        "requested": {
          "expireTime": "2024-03-07T03:08:49.462765846Z"
        }
      }
    ]
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
      "roleBindings": [
        {
          "role": "roles/storage.admin"
        }
      ]
    }
  },
  "additionalEmailRecipients": [
    "alex@example.com"
  ]
}

Memeriksa status permintaan hibah

gcloud

Perintah gcloud beta pam grants search yang digunakan dengan hubungan pemanggil had-created menelusuri hibah yang telah Anda buat. Untuk memeriksa statusnya, cari kolom state dalam respons.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ENTITLEMENT_ID: ID hak yang dimiliki hibah.
  • RESOURCE_TYPE: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilai organization, folder, atau project.
  • RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud beta pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

Hibah dapat memiliki status berikut:

Status Deskripsi
AKTIFASI Hibah sedang dalam proses aktivasi.
ACTIVATION_FAILED Privileged Access Manager tidak dapat memberikan peran karena error yang tidak dapat dicoba ulang.
AKTIF Pemberian izin aktif dan akun utama memiliki akses ke resource yang diizinkan oleh peran.
APPROVAL_AWAITED Permintaan hibah sedang menunggu keputusan dari pemberi persetujuan.
DITOLAK Permintaan hibah telah ditolak oleh pemberi persetujuan.
BERAKHIR Pemberian telah berakhir dan peran telah dihapus dari akun utama.
BERAKHIR Masa berlaku permintaan hibah telah berakhir, karena persetujuan tidak diberikan dalam 24 jam.
DIBATALKAN Pemberian dicabut, dan akun utama tidak lagi memiliki akses ke resource yang diizinkan oleh peran.
PEMBATALAN Pemberian sedang dalam proses pencabutan.

REST

Metode searchGrants Privileged Access Manager API yang digunakan dengan hubungan pemanggil HAD_CREATED menelusuri pemberian yang telah Anda buat. Untuk memeriksa statusnya, cari kolom state dalam respons.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. ID folder dan organisasi berupa angka, seperti 123456789012.
  • ENTITLEMENT_ID: ID hak yang dimiliki hibah.
  • FILTER: Opsional. Menampilkan hibah yang nilai kolomnya cocok dengan ekspresi AIP-160.
  • PAGE_SIZE: Opsional. Jumlah item yang akan ditampilkan dalam respons.
  • PAGE_TOKEN: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.

Metode HTTP dan URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "grants": [
    {
      "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
          "roleBindings": [
            {
              "role": "roles/storage.admin"
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Status hibah dijelaskan dalam tabel berikut.

Status Deskripsi
AKTIFASI Hibah sedang dalam proses aktivasi.
ACTIVATION_FAILED Privileged Access Manager tidak dapat memberikan peran karena error yang tidak dapat dicoba ulang.
AKTIF Pemberian izin aktif dan akun utama memiliki akses ke resource yang diizinkan oleh peran.
APPROVAL_AWAITED Permintaan hibah sedang menunggu keputusan dari pemberi persetujuan.
DITOLAK Permintaan hibah telah ditolak oleh pemberi persetujuan.
BERAKHIR Pemberian telah berakhir dan peran telah dihapus dari akun utama.
BERAKHIR Masa berlaku permintaan hibah telah berakhir, karena persetujuan tidak diberikan dalam 24 jam.
DIBATALKAN Pemberian dicabut, dan akun utama tidak lagi memiliki akses ke resource yang diizinkan oleh peran.
PEMBATALAN Pemberian sedang dalam proses pencabutan.