Richiedere l'accesso elevato temporaneo con il Gestore degli accessi con privilegi

Per aumentare temporaneamente i tuoi privilegi, puoi richiedere una concessione per un entitlement in Privileged Access Manager (PAM) per un durata massima.

Un diritto contiene i ruoli concessi una volta approvata la richiesta di concessione. Questi ruoli vengono rimossi da Privileged Access Manager al termine della concessione.

Tieni presente quanto segue quando vuoi richiedere una concessione per un diritto:

  • Puoi richiedere sovvenzioni solo per i diritti a cui hai effettuato l'accesso. Per farti aggiungere a un diritto, contatta l'amministratore del diritto.

  • A seconda della configurazione, la concessione di una richiesta di sovvenzione potrebbe richiedere l'approvazione.

  • Se una richiesta di concessione richiede l'approvazione e non viene approvata o rifiutata entro 24 ore, lo stato della concessione viene modificato in Expired. Dopodiché, devi effettuare una nuova richiesta di assegnazione se è ancora necessaria l'elevazione dei privilegi.

  • Potrebbero essere necessari alcuni minuti prima che le richieste di concessione andate a buon fine vengano applicate.

Richiedi una concessione utilizzando la console Google Cloud

Per richiedere una concessione in base a un diritto, segui le istruzioni riportate di seguito:

  1. Vai alla pagina Privileged Access Manager.

    Vai a Gestore degli accessi con privilegi

  2. Seleziona l'organizzazione, la cartella o il progetto per cui vuoi richiedere una concessione.

  3. Nella scheda I miei diritti, individua il diritto per cui vuoi richiedere l'assegnazione e fai clic su Richiedi assegnazione nella stessa riga.

  4. Fornisci i seguenti dettagli:

    • La durata richiesta per la concessione, fino alla durata massima impostata nella e il diritto di accesso.

    • Se necessario, una motivazione per la concessione.

    • (Facoltativo) Gli indirizzi email a cui inviare le notifiche relative alla richiesta di concessione. Google le identità associate agli approvatori ricevono una notifica automatica. Tuttavia, potresti voler inviare una notifica a un altro insieme di indirizzi email, soprattutto se utilizzi Federazione delle identità per la forza lavoro.

  5. Fai clic su Richiedi concessione.

  6. Per visualizzare la cronologia delle concessioni, inclusi gli stati di approvazione, fai clic sul pulsante Concessioni seguito dalla scheda Le mie concessioni.

Richiedere una sovvenzione in modo programmatico

Per richiedere una concessione per un diritto, devi completare quanto segue passaggi:

  1. Cerca gli ID diritti disponibili per i quali puoi richiedere concessioni.

  2. Richiedi la concessione.

In seguito, puoi controllare lo stato della concessione per verificare se è attiva, ovvero se hai ricevuto l'elevazione temporanea.

Cerca diritti disponibili

gcloud

La gcloud beta pam entitlements search comando con il metodo di accesso del chiamante grant-requester cerca i diritti per i quali puoi richiedere una concessione.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • RESOURCE_TYPE: facoltativo. Il tipo di risorsa a cui appartiene il diritto. Utilizza il valore organization, folder o project.
  • RESOURCE_ID: utilizzata con RESOURCE_TYPE. L'ID di Google Cloud il progetto, la cartella o l'organizzazione in cui vuoi gestire i diritti . Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.

Esegui la persone che seguo :

Linux, macOS o Cloud Shell

gcloud beta pam entitlements search \
    --caller-access-type=grant-requester \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam entitlements search `
    --caller-access-type=grant-requester `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam entitlements search ^
    --caller-access-type=grant-requester ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Dovresti ricevere una risposta simile alla seguente:

additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '22024-03-26T11:07:37.009498890Z'
etag: ETAG
maxRequestDuration: 3600s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requesterJustificationConfig:
  notMandatory: {}
state: AVAILABLE
updateTime: '2024-03-26T11:07:40.056780645Z'

REST

Il metodo searchEntitlements dell'API Privileged Access Manager con il tipo di accesso chiamante GRANT_REQUESTER cerca i diritti per i quali puoi richiedere una concessione.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • SCOPE: l'organizzazione, la cartella o il progetto in cui si trova il diritto, nel formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e dell'organizzazione sono numerici, ad esempio 123456789012.
  • FILTER: facoltativo. Restituisce i diritti i cui valori dei campi corrispondono a un' espressione AIP-160.
  • PAGE_SIZE: facoltativo. Il numero di elementi da in una risposta.
  • PAGE_TOKEN: facoltativo. Da quale pagina iniziare la risposta, utilizzando un token di pagina restituito in una risposta precedente.

Metodo HTTP e URL: 

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

[
  {
    "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
    "createTime": "2023-11-21T17:28:39.962144708Z",
    "updateTime": "2023-11-21T17:28:43.160309410Z",
    "eligibleUsers": [
      {
        "principals": [
          "user:alex@example.com"
        ]
      }
    ],
    "approvalWorkflow": {
      "manualApprovals": {
        "steps": [
          {
            "approvers": [
              {
                "principals": [
                  "user:bola@example.com"
                ]
              }
            ],
            "approvalsNeeded": 1
          }
        ]
      }
    },
    "privilegedAccess": {
      "gcpIamAccess": {
        "resourceType": "cloudresourcemanager.googleapis.com/Project",
        "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
        "roleBindings": [
          {
            "role": "roles/storage.admin"
          }
        ]
      }
    },
    "maxRequestDuration": "14400s",
    "state": "AVAILABLE",
    "requesterJustificationConfig": {
      "unstructured": {}
    },
    "additionalNotificationTargets": {
      "adminEmailRecipients": [
        "alex@example.com"
      ]
    },
    "etag": "ETAG"
  }
]

Richiedere una concessione per un diritto

gcloud

Il comando gcloud beta pam grants create richiede una concessione.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • ENTITLEMENT_ID: l'ID diritto in base al quale creare la concessione.
  • GRANT_DURATION: la durata richiesta della concessione in secondi.
  • JUSTIFICATION: la motivazione della richiesta del contributo.
  • EMAIL_ADDRESS: facoltativo. Indirizzo email aggiuntivo per la notifica della richiesta di concessione. Identità Google associate con gli approvatori ricevono automaticamente una notifica. Tuttavia, ti consigliamo di avvisare un insieme diverso di indirizzi email, soprattutto se utilizzi Federazione delle identità per la forza lavoro.
  • RESOURCE_TYPE: facoltativo. Il tipo di risorsa a cui appartiene il diritto. Utilizza il valore organization, folder o project.
  • RESOURCE_ID: utilizzata con RESOURCE_TYPE. L'ID di Google Cloud il progetto, la cartella o l'organizzazione in cui vuoi gestire i diritti . Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.

Esegui la persone che seguo :

Linux, macOS o Cloud Shell

gcloud beta pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

Dovresti ricevere una risposta simile alla seguente:

Created [GRANT_ID].

REST

Il metodo createGrant dell'API Privileged Access Manager richiede una concessione.

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • SCOPE: l'organizzazione, la cartella o il progetto che il diritto è nel formato organizations/ORGANIZATION_ID, folders/FOLDER_ID, oppure projects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, come my-project. Cartelle e Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • ENTITLEMENT_ID: l'ID diritto in base al quale creare la concessione.
  • REQUEST_ID: facoltativo. Deve essere un UUID diverso da zero. Se il server riceve una richiesta con un ID richiesta, controlla se un'altra richiesta con lo stesso ID è già stata completata negli ultimi 60 minuti. In questo caso, la nuova richiesta viene ignorata.
  • GRANT_DURATION: la lunghezza richiesta concedere in pochi secondi.
  • JUSTIFICATION: la motivazione della richiesta del contributo.
  • EMAIL_ADDRESS: facoltativo. Indirizzo email aggiuntivo per la notifica della richiesta di concessione. Le identità Google associate ai revisori vengono notificate automaticamente. Tuttavia, ti consigliamo di inviare una notifica a un insieme diverso di indirizzi email, in particolare se utilizzi la federazione delle identità per la forza lavoro.

Metodo HTTP e URL: 

POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

Corpo JSON della richiesta: 

{
  "requestedDuration": "GRANT_DURATIONs",
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
    ...
  ]
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
  "createTime": "2024-03-06T03:08:49.330577625Z",
  "updateTime": "2024-03-06T03:08:49.330577625Z",
  "requester": "bola@example.com",
  "requestedDuration": "3600s",
  "justification": {
    "unstructuredJustification": "Emergency service for outage"
  },
  "state": "APPROVAL_AWAITED",
  "timeline": {
    "events": [
      {
        "eventTime": "2024-03-06T03:08:49.462765846Z",
        "requested": {
          "expireTime": "2024-03-07T03:08:49.462765846Z"
        }
      }
    ]
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
      "roleBindings": [
        {
          "role": "roles/storage.admin"
        }
      ]
    }
  },
  "additionalEmailRecipients": [
    "alex@example.com"
  ]
}

Controllare lo stato della richiesta di concessione

gcloud

La gcloud beta pam grants search comando usato con il chiamante had-created ricerche delle relazioni che hai creato. Per verificarne lo stato: cerca il campo state nella risposta.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione.
  • RESOURCE_TYPE: facoltativo. Il tipo di risorsa a cui appartiene il diritto. Utilizza il valore organization, folder o project.
  • RESOURCE_ID: utilizzata con RESOURCE_TYPE. L'ID di Google Cloud il progetto, la cartella o l'organizzazione in cui vuoi gestire i diritti . Gli ID progetto sono stringhe alfanumeriche, ad esempio my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.

Esegui la persone che seguo :

Linux, macOS o Cloud Shell

gcloud beta pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Dovresti ricevere una risposta simile alla seguente:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

Le concessioni possono avere i seguenti stati:

Stato Descrizione
ATTIVATA La concessione è in fase di attivazione.
ACTIVATION_FAILED Privileged Access Manager non ha potuto concedere i ruoli a causa di un errore non recuperabile.
ATTIVA La concessione è attiva e l'entità ha accesso all'account di risorse consentite dai ruoli.
APPROVAL_AWAITED La richiesta di sovvenzione è in attesa della decisione di un approvatore.
RIFIUTATO La richiesta di concessione è stata rifiutata da un approvatore.
TERMINATI La concessione è terminata e i ruoli sono stati rimossi dal principale.
SCADUTA La richiesta di concessione è scaduta perché non è stata concessa l'approvazione entro 24 ore su 24.
REVOCATO La concessione viene revocata e l'entità non ha più accesso alle risorse consentite dai ruoli.
REVOCA IN CORSO... La concessione è in fase di revoca.

REST

L'API Privileged Access Manager searchGrants metodo usato con il chiamante HAD_CREATED ricerche delle relazioni che hai creato. Per verificarne lo stato: cerca il campo state nella risposta.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • SCOPE: l'organizzazione, la cartella o il progetto in cui si trova il diritto, nel formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, come my-project. Cartelle e Gli ID organizzazione sono numerici, ad esempio 123456789012.
  • ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione.
  • FILTER: facoltativo. Restituisce i contributi i cui valori dei campi corrispondenti a un'espressione AIP-160.
  • PAGE_SIZE: facoltativo. Il numero di elementi da in una risposta.
  • PAGE_TOKEN: facoltativo. Da quale pagina iniziare la risposta, utilizzando un token di pagina restituito in una risposta precedente.

Metodo HTTP e URL: 

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "grants": [
    {
      "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
          "roleBindings": [
            {
              "role": "roles/storage.admin"
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Gli stati dei contributi sono descritti in dettaglio nella seguente tabella.

Stato Descrizione
ATTIVATA La concessione è in fase di attivazione.
ACTIVATION_FAILED Privileged Access Manager non ha potuto concedere i ruoli a causa di un errore non recuperabile.
ATTIVA La concessione è attiva e l'entità ha accesso all'account di risorse consentite dai ruoli.
APPROVAL_AWAITED La richiesta di sovvenzione è in attesa della decisione di un approvatore.
RIFIUTATO La richiesta di concessione è stata rifiutata da un approvatore.
TERMINATI La concessione è terminata e i ruoli sono stati rimossi dal principale.
SCADUTA La richiesta di concessione è scaduta perché non è stata concessa l'approvazione entro 24 ore su 24.
REVOCATO La concessione viene revocata e l'entità non ha più accesso alle risorse consentite dai ruoli.
REVOCA IN CORSO... La concessione è in fase di revoca.