Mencabut pemberian di Privileged Access Manager

Setelah akun utama berhasil meminta pemberian terhadap hak dan pemberian tersebut aktif, akun utama dengan izin yang benar dapat mencabut pemberian. Hibah yang tidak memiliki status aktif tidak dapat dicabut.

Sebelum memulai

Pastikan Anda telah mengaktifkan Privileged Access Manager dan menyiapkan izin untuknya.

Mencabut pemberian izin menggunakan konsol Google Cloud

Untuk mencabut pemberian tertentu yang dibuat terhadap hak, selesaikan petunjuk berikut:

  1. Buka halaman Privileged Access Manager.

    Buka Privileged Access Manager

  2. Pilih organisasi, folder, atau project tempat Anda ingin mencabut pemberian.

  3. Klik tab Hibah, diikuti dengan tab Hibah untuk semua pengguna. Ini berisi semua hibah di semua pemohon, status hibah, dan detail hak yang terkait.

  4. Pada tabel, klik Opsi lainnya di baris yang sama dengan pemberian yang ingin Anda cabut.

  5. Untuk mencabut pemberian yang aktif, klik Cabut pemberian.

Untuk mencabut semua pemberian yang aktif yang dilakukan terhadap hak, selesaikan petunjuk berikut:

  1. Buka halaman Privileged Access Manager.

    Buka Privileged Access Manager

  2. Klik tab Hak, diikuti dengan tab Hak untuk semua pengguna. Di sini, Anda dapat menemukan hak yang tersedia, peran yang diberikan, serta pemohon dan penyetuju yang valid.

  3. Dalam tabel, klik Opsi lainnya di baris yang sama dengan hak yang ingin Anda cabut pemberiannya.

  4. Klik Cabut semua pemberian.

Membatalkan pemberian secara terprogram

gcloud

Perintah gcloud beta pam grants revoke mencabut pemberian yang aktif.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • GRANT_ID: ID hibah yang ingin Anda cabut. Anda dapat mengambil ID dengan melihat hibah.
  • ENTITLEMENT_ID: ID hak yang menjadi milik pemberian.
  • REVOKE_REASON: Alasan pemberian telah dicabut.
  • RESOURCE_TYPE: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilai organization, folder, atau project.
  • RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud beta pam grants revoke \
     GRANT_ID \
    --entitlement=ENTITLEMENT_ID \
    --reason="REVOKE_REASON" \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants revoke `
     GRANT_ID `
    --entitlement=ENTITLEMENT_ID `
    --reason="REVOKE_REASON" `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants revoke ^
     GRANT_ID ^
    --entitlement=ENTITLEMENT_ID ^
    --reason="REVOKE_REASON" ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

auditTrail:
  accessGrantTime: '2024-04-05T00:29:16.703069535Z'
  accessRemoveTime: '2024-04-05T00:29:55.815041079Z'
createTime: '2024-04-05T00:27:43.822053968Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 2700s
requester: cruz@example.com
state: REVOKED
timeline:
  events:
  - eventTime: '2024-04-05T00:27:44.014277946Z'
    requested:
      expireTime: '2024-04-06T00:27:44.014277946Z'
  - approved:
      actor: alex@example.com
      reason: Access allowed under existing policy
    eventTime: '2024-04-05T00:29:14.921828714Z'
  - eventTime: '2024-04-05T00:29:14.921763008Z'
    scheduled:
      scheduledActivationTime: '2024-04-05T00:29:14.921763008Z'
  - activated: {}
    eventTime: '2024-04-05T00:29:16.703069535Z'
  - eventTime: '2024-04-05T00:29:55.815041079Z'
    revoked:
      actor: alex@example.com
      reason: Revoking due to new access policy

REST

Metode revokeGrant Privileged Access Manager API mencabut pemberian yang aktif.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. ID folder dan organisasi berupa angka, seperti 123456789012.
  • ENTITLEMENT_ID: ID hak yang menjadi milik pemberian.
  • GRANT_ID: ID hibah yang ingin Anda cabut. Anda dapat mengambil ID dengan melihat hibah.
  • REVOKE_REASON: Alasan pencabutan hibah.

Metode HTTP dan URL:

POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke

Meminta isi JSON:

{
  "reason": "REVOKE_REASON"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "name": "projects/my-project/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-06T23:07:48.716396505Z",
    "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Untuk memeriksa progres operasi pencabutan, Anda dapat mengirim permintaan GET ke endpoint berikut:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Kirim permintaan GET ke endpoint berikut untuk mencantumkan semua operasi:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations