Berechtigungen in Privileged Access Manager widerrufen

Nachdem ein Hauptkonto erfolgreich eine Genehmigung für eine Berechtigung angefordert hat und diese aktiv ist, können Hauptkonten mit den richtigen Berechtigungen die Genehmigung widerrufen. Genehmigungen, die keinen aktiven Status haben, können nicht widerrufen werden.

Hinweise

Privileged Access Manager muss aktiviert und Berechtigungen dafür eingerichtet sein.

Genehmigungen mit der Google Cloud Console widerrufen

So widerrufen Sie eine bestimmte Genehmigung, die für eine Berechtigung gewährt wurde:

  1. Rufen Sie die Seite Privileged Access Manager auf.

    Zu Privileged Access Manager

  2. Wählen Sie die Organisation, den Ordner oder das Projekt aus, für das Sie Genehmigungen widerrufen möchten.

  3. Klicken Sie auf den Tab Genehmigungen und dann auf den Tab Genehmigungen für alle Nutzer. Dieser enthält alle Genehmigungen für alle Antragsteller, die Genehmigungsstatus und die zugehörigen Berechtigungsdetails.

  4. Klicken Sie in der Tabelle in der Zeile mit der Genehmigung, die Sie widerrufen möchten, auf Weitere Optionen.

  5. Wenn Sie eine aktive Genehmigung widerrufen möchten, klicken Sie auf Genehmigung widerrufen.

So widerrufen Sie alle aktiven Genehmigungen für eine Berechtigung:

  1. Rufen Sie die Seite Privileged Access Manager auf.

    Zu Privileged Access Manager

  2. Klicken Sie auf den Tab Berechtigungen und dann auf den Tab Berechtigungen für alle Nutzer. Hier finden Sie die verfügbaren Berechtigungen, die damit verbundenen Rollen sowie die zulässigen Antragsteller und Genehmiger.

  3. Klicken Sie in der Tabelle in der Zeile mit der Berechtigung, für die Sie die Genehmigungen widerrufen möchten, auf Weitere Optionen.

  4. Klicken Sie auf Alle Genehmigungen widerrufen.

Genehmigungen programmatisch widerrufen

gcloud

Mit dem Befehl gcloud beta pam grants revoke wird eine aktive Genehmigung widerrufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • GRANT_ID: Die ID der Genehmigung, die Sie widerrufen möchten. Sie können die ID abrufen, indem Sie Genehmigungen ansehen.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Genehmigung gehört.
  • REVOKE_REASON: Warum die Genehmigung widerrufen wurde.
  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam grants revoke \
     GRANT_ID \
    --entitlement=ENTITLEMENT_ID \
    --reason="REVOKE_REASON" \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants revoke `
     GRANT_ID `
    --entitlement=ENTITLEMENT_ID `
    --reason="REVOKE_REASON" `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants revoke ^
     GRANT_ID ^
    --entitlement=ENTITLEMENT_ID ^
    --reason="REVOKE_REASON" ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

auditTrail:
  accessGrantTime: '2024-04-05T00:29:16.703069535Z'
  accessRemoveTime: '2024-04-05T00:29:55.815041079Z'
createTime: '2024-04-05T00:27:43.822053968Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 2700s
requester: cruz@example.com
state: REVOKED
timeline:
  events:
  - eventTime: '2024-04-05T00:27:44.014277946Z'
    requested:
      expireTime: '2024-04-06T00:27:44.014277946Z'
  - approved:
      actor: alex@example.com
      reason: Access allowed under existing policy
    eventTime: '2024-04-05T00:29:14.921828714Z'
  - eventTime: '2024-04-05T00:29:14.921763008Z'
    scheduled:
      scheduledActivationTime: '2024-04-05T00:29:14.921763008Z'
  - activated: {}
    eventTime: '2024-04-05T00:29:16.703069535Z'
  - eventTime: '2024-04-05T00:29:55.815041079Z'
    revoked:
      actor: alex@example.com
      reason: Revoking due to new access policy

REST

Mit der Methode revokeGrant der Privileged Access Manager API wird eine aktive Genehmigung widerrufen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Genehmigung gehört.
  • GRANT_ID: Die ID der Genehmigung, die Sie widerrufen möchten. Sie können die ID abrufen, indem Sie Genehmigungen ansehen.
  • REVOKE_REASON: Der Grund, warum die Genehmigung widerrufen wurde.

HTTP-Methode und URL:

POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke

JSON-Text anfordern:

{
  "reason": "REVOKE_REASON"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/my-project/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-06T23:07:48.716396505Z",
    "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Wenn Sie den Fortschritt eines Widerrufsvorgangs prüfen möchten, können Sie eine GET-Anfrage an den folgenden Endpunkt senden:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Senden Sie eine GET-Anfrage an den folgenden Endpunkt, um alle Vorgänge aufzulisten:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations