주 구성원이 사용 권한에 대해 권한 부여를 요청하여 활성 상태가 되면 올바른 권한을 가진 주 구성원이 권한 부여를 취소할 수 있습니다. 활성 상태가 아닌 권한 부여는 취소할 수 없습니다.
시작하기 전에
Privileged Access Manager를 사용 설정하고 권한을 설정했는지 확인합니다.
Google Cloud 콘솔을 사용하여 권한 부여 취소
사용 권한에 대해 수행된 특정 권한 부여를 취소하려면 다음 안내를 완료하세요.
Privileged Access Manager 페이지로 이동합니다.
권한 부여를 취소하려는 조직, 폴더, 프로젝트를 선택합니다.
권한 부여 탭과 모든 사용자의 권한 부여 탭을 차례로 클릭합니다. 여기에는 모든 요청자의 모든 권한 부여, 권한 부여 상태, 관련 사용 권한 세부정보가 포함됩니다.
표에서 취소하려는 권한 부여와 동일한 행에 있는
옵션 더보기를 클릭합니다.활성 상태의 권한 부여를 취소하려면 권한 부여 취소를 클릭합니다.
사용 권한에 대해 수행된 모든 활성 권한 부여를 취소하려면 다음 안내를 따르세요.
Privileged Access Manager 페이지로 이동합니다.
사용 권한 탭을 클릭한 다음 모든 사용자를 위한 사용 권한 탭을 클릭합니다. 여기에서 사용 가능한 사용 권한, 부여되는 역할, 유효한 요청자와 승인자를 확인할 수 있습니다.
표에서 권한 부여를 취소하려는 사용 권한과 동일한 행에서
옵션 더보기를 클릭합니다.모든 권한 부여 취소를 클릭합니다.
프로그래매틱 방식으로 권한 부여 취소
gcloud
gcloud beta pam grants revoke
명령어는 활성 상태의 권한 부여를 취소합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
GRANT_ID
: 취소하려는 권한 부여의 ID입니다. 권한 부여를 확인하여 ID를 검색할 수 있습니다.ENTITLEMENT_ID
: 권한 부여가 속한 사용 권한의 ID입니다.REVOKE_REASON
: 권한 부여가 취소된 이유입니다.RESOURCE_TYPE
: 선택사항. 사용 권한이 속한 리소스 유형입니다.organization
,folder
또는project
값을 사용합니다.RESOURCE_ID
:RESOURCE_TYPE
에 사용됩니다. 사용 권한을 관리하려는 Google Cloud 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는my-project
와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는123456789012
와 같은 숫자입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud beta pam grants revoke \ GRANT_ID \ --entitlement=ENTITLEMENT_ID \ --reason="REVOKE_REASON" \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows(PowerShell)
gcloud beta pam grants revoke ` GRANT_ID ` --entitlement=ENTITLEMENT_ID ` --reason="REVOKE_REASON" ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows(cmd.exe)
gcloud beta pam grants revoke ^ GRANT_ID ^ --entitlement=ENTITLEMENT_ID ^ --reason="REVOKE_REASON" ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
다음과 비슷한 응답이 표시됩니다.
auditTrail: accessGrantTime: '2024-04-05T00:29:16.703069535Z' accessRemoveTime: '2024-04-05T00:29:55.815041079Z' createTime: '2024-04-05T00:27:43.822053968Z' justification: unstructuredJustification: Renaming a file to mitigate issue #312 name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID privilegedAccess: gcpIamAccess: resource: //cloudresourcemanager.googleapis.com/projects/my-project resourceType: cloudresourcemanager.googleapis.com/Project roleBindings: - role: roles/storage.admin requestedDuration: 2700s requester: cruz@example.com state: REVOKED timeline: events: - eventTime: '2024-04-05T00:27:44.014277946Z' requested: expireTime: '2024-04-06T00:27:44.014277946Z' - approved: actor: alex@example.com reason: Access allowed under existing policy eventTime: '2024-04-05T00:29:14.921828714Z' - eventTime: '2024-04-05T00:29:14.921763008Z' scheduled: scheduledActivationTime: '2024-04-05T00:29:14.921763008Z' - activated: {} eventTime: '2024-04-05T00:29:16.703069535Z' - eventTime: '2024-04-05T00:29:55.815041079Z' revoked: actor: alex@example.com reason: Revoking due to new access policy
REST
Privileged Access Manager API의 revokeGrant
메서드는 활성 상태의 권한 부여를 취소합니다.
요청 데이터를 사용하기 전에 다음을 바꿉니다.
SCOPE
: 사용 권한이 있는 조직, 폴더, 프로젝트로,organizations/ORGANIZATION_ID
,folders/FOLDER_ID
또는projects/PROJECT_ID
형식입니다. 프로젝트 ID는my-project
와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는123456789012
와 같은 숫자입니다.ENTITLEMENT_ID
: 권한 부여가 속한 사용 권한의 ID입니다.GRANT_ID
: 취소하려는 권한 부여의 ID입니다. 권한 부여를 확인하여 ID를 검색할 수 있습니다.REVOKE_REASON
: 권한 부여가 취소된 이유입니다.
HTTP 메서드 및 URL:
POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke
JSON 요청 본문:
{ "reason": "REVOKE_REASON" }
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
다음과 비슷한 JSON 응답이 표시됩니다.
{ "name": "projects/my-project/locations/global/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata", "createTime": "2024-03-06T23:07:48.716396505Z", "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID", "verb": "update", "requestedCancellation": false, "apiVersion": "v1beta" }, "done": false }
취소 작업의 진행 상황을 확인하려면 다음 엔드포인트에 GET
요청을 전송하면 됩니다.
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID
다음 엔드포인트에 GET
요청을 전송하여 모든 작업을 나열합니다.
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations