Vorübergehenden erweiterten Zugriff mit Privileged Access Manager anfordern

Wenn Sie Ihre Berechtigungen vorübergehend erhöhen möchten, können Sie in Privileged Access Manager (PAM) eine Berechtigung für eine bestimmte Dauer anfordern.

Eine Berechtigung enthält Rollen, die Ihnen nach erfolgreicher Genehmigung Ihres Antrags gewährt werden. Diese Rollen werden vom Privileged Access Manager entfernt, wenn die Gewährung abläuft.

Beachten Sie Folgendes, wenn Sie eine Gewährung für eine Berechtigung beantragen möchten:

Sie können Gewährungen nur für Berechtigungen beantragen, zu denen Sie hinzugefügt wurden. Wenn Sie einer Berechtigung hinzugefügt werden möchten, wenden Sie sich an das Hauptkonto, das die Berechtigung verwaltet.
Je nach Konfiguration ist für die Gewährungsanfrage möglicherweise eine Genehmigung erforderlich.
Wenn für einen Gewährungsantrag eine Genehmigung erforderlich ist und er nicht innerhalb von 24 Stunden genehmigt oder abgelehnt wird, ändert sich der Status der Gewährung in Expired. Danach müssen Sie einen neuen Gewährungsantrag stellen, wenn die Berechtigungserhöhung weiterhin erforderlich ist.
Es kann einige Minuten dauern, bis erfolgreiche Gewährungsanfragen wirksam werden.

Gewährung über die Google Cloud Console beantragen

So beantragen Sie eine Erteilung einer Berechtigung:

Rufen Sie die Seite Privileged Access Manager auf.

Zu Privileged Access Manager
Wählen Sie die Organisation, den Ordner oder das Projekt aus, für das Sie eine Gewährung beantragen möchten.
Suchen Sie auf dem Tab Meine Berechtigungen nach der Berechtigung, für die Sie eine Genehmigung anfordern möchten, und klicken Sie dann in derselben Zeile auf Gewährung anfordern.
Geben Sie die folgenden Informationen ein:
- Die für die Gewährung erforderliche Dauer, bis zur maximalen Dauer, die für die Berechtigung festgelegt ist.
- Gegebenenfalls eine Begründung für die Gewährung.
- Optional: Welche E-Mail-Adressen über den Gewährungsantrag benachrichtigt werden sollen. Google-Identitäten, die mit Genehmigern verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
Klicken Sie auf Gewährung anfordern.
Wenn Sie Ihren Gewährungsverlauf einschließlich Genehmigungsstatus aufrufen möchten, klicken Sie auf den Tab Gewährungen und dann auf den Tab Meine Gewährungen.

Gewährung programmgesteuert anfordern

So beantragen Sie eine Erteilung einer Berechtigung:

Suchen Sie nach verfügbaren Berechtigungs-IDs, für die Sie Gewährungen anfordern können.
Fordern Sie die Gewährung an.

Anschließend können Sie den Status Ihrer Gewährung prüfen, um festzustellen, ob sie aktiv ist, d. h., ob Sie die vorübergehende Erhöhung erhalten haben.

Nach verfügbaren Berechtigungen suchen

gcloud

Mit dem Befehl gcloud beta pam entitlements search und dem Aufruferzugriffstyp grant-requester wird nach Berechtigungen gesucht, für die Sie eine Gewährung anfordern können.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam entitlements search \
    --caller-access-type=grant-requester \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam entitlements search `
    --caller-access-type=grant-requester `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam entitlements search ^
    --caller-access-type=grant-requester ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '22024-03-26T11:07:37.009498890Z'
etag: ETAG
maxRequestDuration: 3600s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requesterJustificationConfig:
  notMandatory: {}
state: AVAILABLE
updateTime: '2024-03-26T11:07:40.056780645Z'

REST

Mit der searchEntitlements-Methode der Privileged Access Manager API mit dem GRANT_REQUESTER-Aufruferzugriffstyp wird nach Berechtigungen gesucht, für die Sie eine Gewährung anfordern können.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

SCOPE: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
FILTER: Optional. Gibt Berechtigungen zurück, deren Feldwerte mit einem AIP-160-Ausdruck übereinstimmen.
PAGE_SIZE: Optional. Die Anzahl der Elemente, die in einer Antwort zurückgegeben werden sollen.
PAGE_TOKEN: Optional. Die Seite, mit der die Antwort beginnen soll, unter Verwendung eines Seitentokens, das in einer früheren Antwort zurückgegeben wurde.

HTTP-Methode und URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

[
  {
    "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
    "createTime": "2023-11-21T17:28:39.962144708Z",
    "updateTime": "2023-11-21T17:28:43.160309410Z",
    "eligibleUsers": [
      {
        "principals": [
          "user:alex@example.com"
        ]
      }
    ],
    "approvalWorkflow": {
      "manualApprovals": {
        "steps": [
          {
            "approvers": [
              {
                "principals": [
                  "user:bola@example.com"
                ]
              }
            ],
            "approvalsNeeded": 1
          }
        ]
      }
    },
    "privilegedAccess": {
      "gcpIamAccess": {
        "resourceType": "cloudresourcemanager.googleapis.com/Project",
        "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
        "roleBindings": [
          {
            "role": "roles/storage.admin"
          }
        ]
      }
    },
    "maxRequestDuration": "14400s",
    "state": "AVAILABLE",
    "requesterJustificationConfig": {
      "unstructured": {}
    },
    "additionalNotificationTargets": {
      "adminEmailRecipients": [
        "alex@example.com"
      ]
    },
    "etag": "ETAG"
  }
]

Erteilung einer Gewährung beantragen

gcloud

Mit dem Befehl gcloud beta pam grants create wird eine Gewährung angefordert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ENTITLEMENT_ID: Die Berechtigungs-ID, anhand der die Gewährung erstellt werden soll.
GRANT_DURATION: Die angeforderte Länge der Gewährung in Sekunden.
JUSTIFICATION: Die Begründung für die Beantragung der Gewährung.
EMAIL_ADDRESS: Optional. Zusätzliche E-Mail-Adressen, die über den Gewährungsantrag benachrichtigt werden sollen. Google-Identitäten, die mit Genehmigern verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch eine andere Gruppe von E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.
RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Created [GRANT_ID].

REST

Mit der Methode createGrant der Privileged Access Manager API wird eine Gewährung angefordert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

SCOPE: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
ENTITLEMENT_ID: Die Berechtigungs-ID, anhand der die Gewährung erstellt werden soll.
REQUEST_ID: Optional. Muss eine UUID mit einem Wert ungleich 0 sein. Wenn der Server eine Anfrage mit einer Anfrage-ID empfängt, wird geprüft, ob innerhalb der letzten 60 Minuten bereits eine andere Anfrage mit dieser ID abgeschlossen wurde. In diesem Fall wird die neue Anfrage ignoriert.
GRANT_DURATION: Die angeforderte Länge der Gewährung in Sekunden.
JUSTIFICATION: Die Begründung für die Beantragung der Gewährung.
EMAIL_ADDRESS: Optional. Zusätzliche E-Mail-Adressen, die über den Gewährungsantrag benachrichtigt werden sollen. Google-Identitäten, die mit Genehmigern verknüpft sind, werden automatisch benachrichtigt. Möglicherweise möchten Sie jedoch andere E-Mail-Adressen benachrichtigen, insbesondere wenn Sie die Mitarbeiteridentitätsföderation verwenden.

HTTP-Methode und URL:

POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

JSON-Text anfordern:

{
  "requestedDuration": "GRANT_DURATIONs",
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
    ...
  ]
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
  "createTime": "2024-03-06T03:08:49.330577625Z",
  "updateTime": "2024-03-06T03:08:49.330577625Z",
  "requester": "bola@example.com",
  "requestedDuration": "3600s",
  "justification": {
    "unstructuredJustification": "Emergency service for outage"
  },
  "state": "APPROVAL_AWAITED",
  "timeline": {
    "events": [
      {
        "eventTime": "2024-03-06T03:08:49.462765846Z",
        "requested": {
          "expireTime": "2024-03-07T03:08:49.462765846Z"
        }
      }
    ]
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
      "roleBindings": [
        {
          "role": "roles/storage.admin"
        }
      ]
    }
  },
  "additionalEmailRecipients": [
    "alex@example.com"
  ]
}

Status des Gewährungsantrags prüfen

gcloud

Der Befehl gcloud beta pam grants search, der mit der Aufruferbeziehung had-created verwendet wird, sucht nach von Ihnen erstellten Gewährungen. Suchen Sie in der Antwort nach dem Feld state, um den Status zu prüfen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört.
RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

Gewährungen können folgende Status haben:

Status	Beschreibung
Wird aktiviert	Die Gewährung wird gerade aktiviert.
ACTIVATION_FAILED	Der Privileged Access Manager konnte die Rollen aufgrund eines nicht wiederholbaren Fehlers nicht gewähren.
AKTIV	Die Berechtigung ist aktiv und das Hauptkonto hat Zugriff auf die durch die Rollen zulässigen Ressourcen.
APPROVAL_AWAITED	Für den Gewährungsantrag steht noch eine Entscheidung des Genehmigers aus.
DENIED	Der Antrag auf Bewilligung wurde von einem Genehmiger abgelehnt.
ENDED	Die Berechtigung ist abgelaufen und die Rollen wurden vom Hauptkonto entfernt.
ABGELAUFEN	Der Antrag auf Zuschuss ist abgelaufen, da er nicht innerhalb von 24 Stunden genehmigt wurde.
REVOKED	Die Gewährung wird widerrufen und das Hauptkonto hat keinen Zugriff mehr auf die durch die Rollen zulässigen Ressourcen.
REVOKING	Die Gewährung wird gerade widerrufen.

REST

Mit der searchGrants-Methode der Privileged Access Manager API, die mit der HAD_CREATED-Aufrufbeziehung verwendet wird, werden von Ihnen erstellte Gewährungen gesucht. Suchen Sie in der Antwort nach dem Feld state, um den Status zu prüfen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

SCOPE: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört.
FILTER: Optional. Es werden Zuschüsse zurückgegeben, deren Feldwerte mit einem AIP-160-Ausdruck übereinstimmen.
PAGE_SIZE: Optional. Die Anzahl der Elemente, die in einer Antwort zurückgegeben werden sollen.
PAGE_TOKEN: Optional. Die Seite, mit der die Antwort beginnen soll, unter Verwendung eines Seitentokens, das in einer früheren Antwort zurückgegeben wurde.

HTTP-Methode und URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

PowerShell (Windows)

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "grants": [
    {
      "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
          "roleBindings": [
            {
              "role": "roles/storage.admin"
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Die Gewährungsstatus sind in der folgenden Tabelle aufgeführt.

Status	Beschreibung
ACTIVATING	Die Gewährung wird gerade aktiviert.
ACTIVATION_FAILED	Der Privileged Access Manager konnte die Rollen aufgrund eines nicht wiederholbaren Fehlers nicht gewähren.
AKTIV	Die Berechtigung ist aktiv und das Hauptkonto hat Zugriff auf die durch die Rollen zulässigen Ressourcen.
APPROVAL_AWAITED	Für den Gewährungsantrag steht noch eine Entscheidung des Genehmigers aus.
DENIED	Der Antrag auf Gewährung wurde von einem Genehmiger abgelehnt.
ENDED	Die Gewährung ist abgelaufen und die Rollen wurden vom Hauptkonto entfernt.
ABGELAUFEN	Der Antrag auf Gewährung ist abgelaufen, da er nicht innerhalb von 24 Stunden genehmigt wurde.
REVOKED	Die Gewährung wird widerrufen und das Hauptkonto hat keinen Zugriff mehr auf die durch die Rollen zulässigen Ressourcen.
REVOKING	Die Gewährung wird gerade widerrufen.