Mencabut pemberian di Privileged Access Manager

Setelah kepala sekolah berhasil meminta pemberian hak akses terhadap hak dan hak tersebut aktif, kepala sekolah dengan izin privilegedaccessmanager.grants.revoke dapat mencabut pemberian hak akses. Pemberian yang tidak memiliki status aktif tidak dapat dibatalkan.

Sebelum memulai

Pastikan Anda telah mengaktifkan Privileged Access Manager dan menyiapkan izin untuknya.

Mencabut pemberian menggunakan konsol Google Cloud

Untuk mencabut pemberian tertentu yang dibuat terhadap hak, selesaikan petunjuk berikut:

  1. Buka halaman Privileged Access Manager.

    Buka Privileged Access Manager

  2. Pilih organisasi, folder, atau project tempat Anda ingin mencabut pemberian.

  3. Klik tab Pemberian akses, lalu klik tab Pemberian akses untuk semua pengguna. Tabel ini berisi semua pemberian di semua pemohon, status pemberian, dan detail hak terkait.

  4. Di tabel, klik Opsi lainnya di baris yang sama dengan pemberian akses yang ingin Anda batalkan.

  5. Untuk mencabut pemberian aktif, klik Cabut pemberian.

Untuk mencabut semua pemberian aktif yang dilakukan terhadap hak, selesaikan petunjuk berikut:

  1. Buka halaman Privileged Access Manager.

    Buka Privileged Access Manager

  2. Klik tab Hak, lalu tab Hak untuk semua pengguna. Di sini, Anda dapat menemukan hak yang tersedia, peran yang diberikan, serta pemohon dan pemberi persetujuan yang valid.

  3. Di tabel, klik Opsi lainnya di baris yang sama dengan hak yang ingin Anda batalkan pemberiannya.

  4. Klik Cabut semua pemberian.

Mencabut pemberian secara terprogram

gcloud

Perintah gcloud pam grants revoke mencabut pemberian aktif.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • GRANT_ID: ID pemberian yang ingin Anda batalkan. Anda dapat mengambil ID dengan melihat pemberian izin.
  • ENTITLEMENT_ID: ID hak yang dimiliki hibah.
  • REVOKE_REASON: Alasan pencabutan pemberian izin.
  • RESOURCE_TYPE: Opsional. Jenis resource yang haknya termasuk di dalamnya. Gunakan nilai organization, folder, atau project.
  • RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID Google Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud pam grants revoke \
     GRANT_ID \
    --entitlement=ENTITLEMENT_ID \
    --reason="REVOKE_REASON" \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud pam grants revoke `
     GRANT_ID `
    --entitlement=ENTITLEMENT_ID `
    --reason="REVOKE_REASON" `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud pam grants revoke ^
     GRANT_ID ^
    --entitlement=ENTITLEMENT_ID ^
    --reason="REVOKE_REASON" ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

auditTrail:
  accessGrantTime: '2024-04-05T00:29:16.703069535Z'
  accessRemoveTime: '2024-04-05T00:29:55.815041079Z'
createTime: '2024-04-05T00:27:43.822053968Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 2700s
requester: cruz@example.com
state: REVOKED
timeline:
  events:
  - eventTime: '2024-04-05T00:27:44.014277946Z'
    requested:
      expireTime: '2024-04-06T00:27:44.014277946Z'
  - approved:
      actor: alex@example.com
      reason: Access allowed under existing policy
    eventTime: '2024-04-05T00:29:14.921828714Z'
  - eventTime: '2024-04-05T00:29:14.921763008Z'
    scheduled:
      scheduledActivationTime: '2024-04-05T00:29:14.921763008Z'
  - activated: {}
    eventTime: '2024-04-05T00:29:16.703069535Z'
  - eventTime: '2024-04-05T00:29:55.815041079Z'
    revoked:
      actor: alex@example.com
      reason: Revoking due to new access policy

REST

Metode revokeGrant Privileged Access Manager API mencabut pemberian akses yang aktif.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • ENTITLEMENT_ID: ID hak yang dimiliki hibah.
  • GRANT_ID: ID pemberian yang ingin Anda batalkan. Anda dapat mengambil ID dengan melihat pemberian izin.
  • REVOKE_REASON: Alasan pencabutan pemberian.

Metode HTTP dan URL: 

POST https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke

Meminta isi JSON: 

{
  "reason": "REVOKE_REASON"
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "name": "projects/my-project/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1.OperationMetadata",
    "createTime": "2024-03-06T23:07:48.716396505Z",
    "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Untuk memeriksa progres operasi pencabutan, Anda dapat mengirim permintaan GET ke endpoint berikut: 

https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations/OPERATION_ID

Kirim permintaan GET ke endpoint berikut untuk mencantumkan semua operasi:

https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations