Setelah akun utama berhasil meminta pemberian terhadap hak dan pemberian tersebut aktif, akun utama dengan izin yang benar dapat mencabut pemberian. Hibah yang tidak memiliki status aktif tidak dapat dicabut.
Sebelum memulai
Pastikan Anda telah mengaktifkan Privileged Access Manager dan menyiapkan izin untuknya.
Mencabut pemberian izin menggunakan konsol Google Cloud
Untuk mencabut pemberian tertentu yang dibuat terhadap hak, selesaikan petunjuk berikut:
Buka halaman Privileged Access Manager.
Pilih organisasi, folder, atau project tempat Anda ingin mencabut pemberian.
Klik tab Hibah, diikuti dengan tab Hibah untuk semua pengguna. Ini berisi semua hibah di semua pemohon, status hibah, dan detail hak yang terkait.
Pada tabel, klik
Opsi lainnya di baris yang sama dengan pemberian yang ingin Anda cabut.Untuk mencabut pemberian yang aktif, klik Cabut pemberian.
Untuk mencabut semua pemberian yang aktif yang dilakukan terhadap hak, selesaikan petunjuk berikut:
Buka halaman Privileged Access Manager.
Klik tab Hak, diikuti dengan tab Hak untuk semua pengguna. Di sini, Anda dapat menemukan hak yang tersedia, peran yang diberikan, serta pemohon dan penyetuju yang valid.
Dalam tabel, klik
Opsi lainnya di baris yang sama dengan hak yang ingin Anda cabut pemberiannya.Klik Cabut semua pemberian.
Membatalkan pemberian secara terprogram
gcloud
Perintah
gcloud beta pam grants revoke
mencabut pemberian yang aktif.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
GRANT_ID
: ID hibah yang ingin Anda cabut. Anda dapat mengambil ID dengan melihat hibah.ENTITLEMENT_ID
: ID hak yang menjadi milik pemberian.REVOKE_REASON
: Alasan pemberian telah dicabut.RESOURCE_TYPE
: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilaiorganization
,folder
, atauproject
.RESOURCE_ID
: Digunakan denganRESOURCE_TYPE
. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, sepertimy-project
. Folder dan ID organisasi berupa numerik, seperti123456789012
.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta pam grants revoke \ GRANT_ID \ --entitlement=ENTITLEMENT_ID \ --reason="REVOKE_REASON" \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam grants revoke ` GRANT_ID ` --entitlement=ENTITLEMENT_ID ` --reason="REVOKE_REASON" ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam grants revoke ^ GRANT_ID ^ --entitlement=ENTITLEMENT_ID ^ --reason="REVOKE_REASON" ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
auditTrail: accessGrantTime: '2024-04-05T00:29:16.703069535Z' accessRemoveTime: '2024-04-05T00:29:55.815041079Z' createTime: '2024-04-05T00:27:43.822053968Z' justification: unstructuredJustification: Renaming a file to mitigate issue #312 name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID privilegedAccess: gcpIamAccess: resource: //cloudresourcemanager.googleapis.com/projects/my-project resourceType: cloudresourcemanager.googleapis.com/Project roleBindings: - role: roles/storage.admin requestedDuration: 2700s requester: cruz@example.com state: REVOKED timeline: events: - eventTime: '2024-04-05T00:27:44.014277946Z' requested: expireTime: '2024-04-06T00:27:44.014277946Z' - approved: actor: alex@example.com reason: Access allowed under existing policy eventTime: '2024-04-05T00:29:14.921828714Z' - eventTime: '2024-04-05T00:29:14.921763008Z' scheduled: scheduledActivationTime: '2024-04-05T00:29:14.921763008Z' - activated: {} eventTime: '2024-04-05T00:29:16.703069535Z' - eventTime: '2024-04-05T00:29:55.815041079Z' revoked: actor: alex@example.com reason: Revoking due to new access policy
REST
Metode
revokeGrant
Privileged Access Manager API mencabut pemberian yang aktif.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE
: Organisasi, folder, atau project tempat hak berada, dalam formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
, atauprojects/PROJECT_ID
. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa angka, seperti123456789012
.ENTITLEMENT_ID
: ID hak yang menjadi milik pemberian.GRANT_ID
: ID hibah yang ingin Anda cabut. Anda dapat mengambil ID dengan melihat hibah.REVOKE_REASON
: Alasan pencabutan hibah.
Metode HTTP dan URL:
POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke
Meminta isi JSON:
{ "reason": "REVOKE_REASON" }
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{ "name": "projects/my-project/locations/global/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata", "createTime": "2024-03-06T23:07:48.716396505Z", "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID", "verb": "update", "requestedCancellation": false, "apiVersion": "v1beta" }, "done": false }
Untuk memeriksa progres operasi pencabutan, Anda dapat mengirim permintaan GET
ke endpoint berikut:
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID
Kirim permintaan GET
ke endpoint berikut untuk mencantumkan semua operasi:
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations