Nachdem ein Hauptkonto erfolgreich eine Genehmigung für eine Berechtigung angefordert hat und diese aktiv ist, können Hauptkonten mit den richtigen Berechtigungen die Genehmigung widerrufen. Genehmigungen, die keinen aktiven Status haben, können nicht widerrufen werden.
Hinweise
Privileged Access Manager muss aktiviert und Berechtigungen dafür eingerichtet sein.
Genehmigungen mit der Google Cloud Console widerrufen
So widerrufen Sie eine bestimmte Genehmigung, die für eine Berechtigung gewährt wurde:
Rufen Sie die Seite Privileged Access Manager auf.
Wählen Sie die Organisation, den Ordner oder das Projekt aus, für das Sie Genehmigungen widerrufen möchten.
Klicken Sie auf den Tab Genehmigungen und dann auf den Tab Genehmigungen für alle Nutzer. Dieser enthält alle Genehmigungen für alle Antragsteller, die Genehmigungsstatus und die zugehörigen Berechtigungsdetails.
Klicken Sie in der Tabelle in der Zeile mit der Genehmigung, die Sie widerrufen möchten, auf
Weitere Optionen.Wenn Sie eine aktive Genehmigung widerrufen möchten, klicken Sie auf Genehmigung widerrufen.
So widerrufen Sie alle aktiven Genehmigungen für eine Berechtigung:
Rufen Sie die Seite Privileged Access Manager auf.
Klicken Sie auf den Tab Berechtigungen und dann auf den Tab Berechtigungen für alle Nutzer. Hier finden Sie die verfügbaren Berechtigungen, die damit verbundenen Rollen sowie die zulässigen Antragsteller und Genehmiger.
Klicken Sie in der Tabelle in der Zeile mit der Berechtigung, für die Sie die Genehmigungen widerrufen möchten, auf
Weitere Optionen.Klicken Sie auf Alle Genehmigungen widerrufen.
Genehmigungen programmatisch widerrufen
gcloud
Mit dem Befehl gcloud beta pam grants revoke
wird eine aktive Genehmigung widerrufen.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
GRANT_ID
: Die ID der Genehmigung, die Sie widerrufen möchten. Sie können die ID abrufen, indem Sie Genehmigungen ansehen.ENTITLEMENT_ID
: Die ID der Berechtigung, zu der die Genehmigung gehört.REVOKE_REASON
: Warum die Genehmigung widerrufen wurde.RESOURCE_TYPE
: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wertorganization
,folder
oderproject
.RESOURCE_ID
: Wird mitRESOURCE_TYPE
verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud beta pam grants revoke \ GRANT_ID \ --entitlement=ENTITLEMENT_ID \ --reason="REVOKE_REASON" \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam grants revoke ` GRANT_ID ` --entitlement=ENTITLEMENT_ID ` --reason="REVOKE_REASON" ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam grants revoke ^ GRANT_ID ^ --entitlement=ENTITLEMENT_ID ^ --reason="REVOKE_REASON" ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Sie sollten eine Antwort ähnlich der folgenden erhalten:
auditTrail: accessGrantTime: '2024-04-05T00:29:16.703069535Z' accessRemoveTime: '2024-04-05T00:29:55.815041079Z' createTime: '2024-04-05T00:27:43.822053968Z' justification: unstructuredJustification: Renaming a file to mitigate issue #312 name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID privilegedAccess: gcpIamAccess: resource: //cloudresourcemanager.googleapis.com/projects/my-project resourceType: cloudresourcemanager.googleapis.com/Project roleBindings: - role: roles/storage.admin requestedDuration: 2700s requester: cruz@example.com state: REVOKED timeline: events: - eventTime: '2024-04-05T00:27:44.014277946Z' requested: expireTime: '2024-04-06T00:27:44.014277946Z' - approved: actor: alex@example.com reason: Access allowed under existing policy eventTime: '2024-04-05T00:29:14.921828714Z' - eventTime: '2024-04-05T00:29:14.921763008Z' scheduled: scheduledActivationTime: '2024-04-05T00:29:14.921763008Z' - activated: {} eventTime: '2024-04-05T00:29:16.703069535Z' - eventTime: '2024-04-05T00:29:55.815041079Z' revoked: actor: alex@example.com reason: Revoking due to new access policy
REST
Mit der Methode revokeGrant
der Privileged Access Manager API wird eine aktive Genehmigung widerrufen.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
SCOPE
: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
oderprojects/PROJECT_ID
. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
.ENTITLEMENT_ID
: Die ID der Berechtigung, zu der die Genehmigung gehört.GRANT_ID
: Die ID der Genehmigung, die Sie widerrufen möchten. Sie können die ID abrufen, indem Sie Genehmigungen ansehen.REVOKE_REASON
: Der Grund, warum die Genehmigung widerrufen wurde.
HTTP-Methode und URL:
POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke
JSON-Text anfordern:
{ "reason": "REVOKE_REASON" }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten in etwa folgende JSON-Antwort erhalten:
{ "name": "projects/my-project/locations/global/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata", "createTime": "2024-03-06T23:07:48.716396505Z", "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID", "verb": "update", "requestedCancellation": false, "apiVersion": "v1beta" }, "done": false }
Wenn Sie den Fortschritt eines Widerrufsvorgangs prüfen möchten, können Sie eine GET
-Anfrage an den folgenden Endpunkt senden:
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID
Senden Sie eine GET
-Anfrage an den folgenden Endpunkt, um alle Vorgänge aufzulisten:
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations