Dopo che un'entità ha richiesto una concessione
per un diritto e questo è attivo, le entità con l'autorizzazione
privilegedaccessmanager.grants.revoke possono revocare la concessione. Le concessioni che non hanno uno stato attivo non possono essere revocate.
Prima di iniziare
Assicurati di aver attivato Privileged Access Manager e configurato le relative autorizzazioni.
Revocare le concessioni utilizzando la console Google Cloud
Per revocare una concessione specifica effettuata in base a un diritto, completa le seguenti istruzioni:
Vai alla pagina Gestore degli accessi con privilegi.
Seleziona l'organizzazione, la cartella o il progetto in cui vuoi revocare le concessioni.
Fai clic sulla scheda Concessioni, quindi sulla scheda Concessioni per tutti gli utenti. Contiene tutte le concessioni per tutti i richiedenti, i relativi stati e i dettagli dei diritti associati.
Nella tabella, fai clic su Altre opzioni nella stessa riga della concessione che vuoi revocare.
Per revocare una concessione attiva, fai clic su Revoca concessione.
Per revocare tutte le concessioni attive effettuate rispetto a un diritto, completa le seguenti istruzioni:
Vai alla pagina Gestore degli accessi con privilegi.
Fai clic sulla scheda Diritti, quindi sulla scheda Diritti per tutti gli utenti. Qui puoi trovare i diritti disponibili, i ruoli che concedono e i richiedenti e gli approvatori validi.
Nella tabella, fai clic su Altre opzioni nella stessa riga di un diritto per cui vuoi revocare le concessioni.
Fai clic su Revoca tutte le concessioni.
Revocare le concessioni in modo programmatico
gcloud
Il comando
gcloud pam grants revoke
revoca una concessione attiva.
Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:
GRANT_ID: L'ID della concessione che vuoi revocare. Puoi recuperare l'ID visualizzando le concessioni.ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione.REVOKE_REASON: il motivo per cui la concessione è stata revocata.RESOURCE_TYPE: (Facoltativo). Il tipo di risorsa a cui appartiene il diritto. Utilizza il valoreorganization,folderoproject.RESOURCE_ID: Utilizzato conRESOURCE_TYPE. L'ID del progetto, della cartella o dell'organizzazione Google Cloudper cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud pam grants revoke \ GRANT_ID \ --entitlement=ENTITLEMENT_ID \ --reason="REVOKE_REASON" \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud pam grants revoke ` GRANT_ID ` --entitlement=ENTITLEMENT_ID ` --reason="REVOKE_REASON" ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud pam grants revoke ^ GRANT_ID ^ --entitlement=ENTITLEMENT_ID ^ --reason="REVOKE_REASON" ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Dovresti ricevere una risposta simile alla seguente:
auditTrail:
accessGrantTime: '2024-04-05T00:29:16.703069535Z'
accessRemoveTime: '2024-04-05T00:29:55.815041079Z'
createTime: '2024-04-05T00:27:43.822053968Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/my-project
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
requestedDuration: 2700s
requester: cruz@example.com
state: REVOKED
timeline:
events:
- eventTime: '2024-04-05T00:27:44.014277946Z'
requested:
expireTime: '2024-04-06T00:27:44.014277946Z'
- approved:
actor: alex@example.com
reason: Access allowed under existing policy
eventTime: '2024-04-05T00:29:14.921828714Z'
- eventTime: '2024-04-05T00:29:14.921763008Z'
scheduled:
scheduledActivationTime: '2024-04-05T00:29:14.921763008Z'
- activated: {}
eventTime: '2024-04-05T00:29:16.703069535Z'
- eventTime: '2024-04-05T00:29:55.815041079Z'
revoked:
actor: alex@example.com
reason: Revoking due to new access policy
REST
Il metodo
revokeGrant
dell'API Privileged Access Manager revoca una concessione attiva.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
SCOPE: l'organizzazione, la cartella o il progetto in cui si trova il diritto, nel formatoorganizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione.GRANT_ID: L'ID della concessione che vuoi revocare. Puoi recuperare l'ID visualizzando le concessioni.REVOKE_REASON: il motivo per cui la concessione è stata revocata.
Metodo HTTP e URL:
POST https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke
Corpo JSON della richiesta:
{
"reason": "REVOKE_REASON"
}
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"name": "projects/my-project/locations/global/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1.OperationMetadata",
"createTime": "2024-03-06T23:07:48.716396505Z",
"target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"verb": "update",
"requestedCancellation": false,
"apiVersion": "v1"
},
"done": false
}
Per verificare lo stato di avanzamento di un'operazione di revoca, puoi inviare una
richiesta GET al seguente endpoint:
https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations/OPERATION_ID
Invia una richiesta GET al seguente endpoint per elencare tutte le operazioni:
https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations