Melihat pemberian akses di Privileged Access Manager

Anda dapat melihat status dan histori hibah, atau mencabut hibah untuk akun utama lainnya jika hibah tersebut aktif. Histori pemberian tersedia selama 30 hari setelah pemberian berakhir.

Sebelum memulai

Pastikan Anda telah mengaktifkan Privileged Access Manager dan menyiapkan izin untuknya.

Melihat pemberian izin menggunakan konsol Google Cloud

Untuk melihat hibah, selesaikan petunjuk berikut:

  1. Buka halaman Privileged Access Manager.

    Buka Privileged Access Manager

  2. Pilih organisasi, folder, atau project tempat Anda ingin melihat hibah.

  3. Klik tab Hibah, diikuti dengan tab Hibah untuk semua pengguna. Tab ini berisi semua hibah, pemohon untuk hibah tersebut, dan status hibah. Hibah dapat memiliki status berikut:

    Status Deskripsi
    Mengaktifkan Hibah sedang dalam proses aktivasi.
    Aktivasi gagal Privileged Access Manager tidak dapat memberikan peran karena error yang tidak dapat dicoba ulang.
    Aktif Pemberian izin aktif dan akun utama memiliki akses ke resource yang diizinkan oleh peran.
    Menunggu persetujuan Permintaan hibah sedang menunggu keputusan dari pemberi persetujuan.
    Ditolak Permintaan hibah telah ditolak oleh pemberi persetujuan.
    Berakhir Pemberian telah berakhir dan peran telah dihapus dari akun utama.
    Telah Berakhir Masa berlaku permintaan hibah telah berakhir, karena persetujuan tidak diberikan dalam 24 jam.
    Dicabut Pemberian dicabut, dan akun utama tidak lagi memiliki akses ke resource yang diizinkan oleh peran.
    Mencabut Pemberian sedang dalam proses pencabutan.

    Label Status

    Selain status ini, hibah dapat memiliki label status berikut yang ditampilkan di samping statusnya, yang menunjukkan kondisi khusus:

    Diubah melalui IAM

    Binding kebijakan IAM yang terkait dengan pemberian ini telah diubah secara langsung melalui IAM. Untuk mengetahui detail tentang binding yang diubah, lihat halaman IAM di konsol Google Cloud. Saat pemberian yang diubah dicabut atau berakhir, Privileged Access Manager hanya menghapus binding yang telah dibuatnya yang belum diubah melalui IAM.

    Mengubah judul atau ekspresi kondisi IAM, atau menghapus akses pemohon ke peran yang diberikan akan diperlakukan sebagai perubahan eksternal. Menambahkan atau mengubah deskripsi kondisi IAM tidak dianggap sebagai modifikasi eksternal.

    Privileged Access Manager memeriksa modifikasi eksternal pada pemberian setiap 5 menit. Diperlukan waktu hingga 5 menit agar perubahan ini ditampilkan. Perubahan sementara yang dibuat dan dikembalikan dalam periode 5 menit ini mungkin tidak terdeteksi oleh Privileged Access Manager.

  4. Pada tabel, klik Opsi lainnya di baris yang sama dengan hak yang ingin Anda periksa.

    • Untuk melihat detail hibah termasuk historinya, klik Lihat detail. Anda juga dapat mencabut pemberian izin dari panel ini.

    • Untuk mencabut pemberian yang aktif, klik Cabut pemberian.

Anda juga dapat melihat peran yang diberikan untuk sementara di halaman IAM di konsol Google Cloud. Di tab View by principals, peran yang diberikan sementara memiliki kondisi Created by: PAM.

Melihat hibah secara terprogram

Untuk melihat hibah secara terprogram, Anda dapat menelusuri, membuat daftar, dan mendapatkannya.

Menelusuri hibah

gcloud

Perintah gcloud beta pam grants search menelusuri hibah yang telah Anda buat, dapat menyetujui atau menolak, atau telah menyetujui atau menolak. Metode ini tidak memerlukan izin Privileged Access Manager tertentu untuk digunakan.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ENTITLEMENT_ID: ID hak yang dimiliki hibah. Anda dapat mengambil ID dengan melihat hak.
  • CALLER_RELATIONSHIP_TYPE: Gunakan salah satu nilai berikut:

    • had-created: Menampilkan pemberian yang telah dibuat pemanggil.
    • had-approved: Menampilkan hibah yang telah disetujui atau ditolak oleh pemanggil.
    • can-approve: Menampilkan pemberian yang dapat disetujui atau ditolak oleh pemanggil.
  • RESOURCE_TYPE: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilai organization, folder, atau project.
  • RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud beta pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=CALLER_RELATIONSHIP_TYPE \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=CALLER_RELATIONSHIP_TYPE `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=CALLER_RELATIONSHIP_TYPE ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

REST

Metode searchGrants Privileged Access Manager API menelusuri pemberian yang telah Anda buat, dapat menyetujui atau menolak, atau telah menyetujui atau menolak. Metode ini tidak memerlukan izin Privileged Access Manager tertentu untuk digunakan.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. ID folder dan organisasi berupa angka, seperti 123456789012.
  • ENTITLEMENT_ID: ID hak yang dimiliki hibah. Anda dapat mengambil ID dengan melihat hak.
  • RELATIONSHIP_TYPE: Nilai yang valid adalah:
    • HAD_CREATED: Menampilkan pemberian yang telah dibuat pemanggil.
    • HAD_APPROVED: Menampilkan izin yang sebelumnya telah disetujui atau ditolak oleh pemanggil.
    • CAN_APPROVE: Menampilkan pemberian yang dapat disetujui atau ditolak oleh pemanggil.
  • FILTER: Opsional. Menampilkan hibah yang nilai kolomnya cocok dengan ekspresi AIP-160.
  • PAGE_SIZE: Opsional. Jumlah item yang akan ditampilkan dalam respons.
  • PAGE_TOKEN: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.

Metode HTTP dan URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "grants": [
    {
      "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
          "roleBindings": [
            {
              "role": "roles/storage.admin"
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Mencantumkan hibah

gcloud

Perintah gcloud beta pam grants list mencantumkan hibah yang termasuk dalam hak tertentu.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ENTITLEMENT_ID: ID hak yang dimiliki hibah. Anda dapat mengambil ID dengan melihat hak.
  • RESOURCE_TYPE: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilai organization, folder, atau project.
  • RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud beta pam grants list \
    --entitlement=ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants list `
    --entitlement=ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants list ^
    --entitlement=ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

createTime: '2024-03-25T23:10:16.952789492Z'
justification:
  unstructuredJustification: Adding missing file for service to work properly
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 1800s
requester: alex@example.com
state: EXPIRED
timeline:
  events:
  - eventTime: '2024-03-25T23:10:17.155612987Z'
    requested:
      expireTime: '2024-03-26T23:10:17.155612987Z'
  - eventTime: '2024-03-26T23:10:17.279777370Z'
    expired: {}
updateTime: '2024-03-25T23:10:17.273416257Z'

REST

Metode listGrants Privileged Access Manager API mencantumkan hibah yang termasuk dalam hak tertentu.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. ID folder dan organisasi berupa angka, seperti 123456789012.
  • ENTITLEMENT_ID: ID hak yang dimiliki hibah. Anda dapat mengambil ID dengan melihat hak.
  • FILTER: Opsional. Menampilkan hibah yang nilai kolomnya cocok dengan ekspresi AIP-160.
  • PAGE_SIZE: Opsional. Jumlah item yang akan ditampilkan dalam respons.
  • PAGE_TOKEN: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.

Metode HTTP dan URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "grants": [
    {
      "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
          "roleBindings": [
            {
              "role": "roles/storage.admin"
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Mendapatkan hibah

gcloud

Perintah gcloud beta pam grants describe mengambil pemberian tertentu.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • GRANT_ID: ID hibah yang detailnya Anda inginkan.
  • ENTITLEMENT_ID: ID hak yang dimiliki hibah.
  • RESOURCE_TYPE: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilai organization, folder, atau project.
  • RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud beta pam grants describe \
    GRANT_ID \
    --entitlement=ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants describe `
    GRANT_ID `
    --entitlement=ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants describe ^
    GRANT_ID ^
    --entitlement=ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

createTime: '2024-03-25T23:10:16.952789492Z'
justification:
  unstructuredJustification: Adding missing file for service to work properly
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 1800s
requester: alex@example.com
state: EXPIRED
timeline:
  events:
  - eventTime: '2024-03-25T23:10:17.155612987Z'
    requested:
      expireTime: '2024-03-26T23:10:17.155612987Z'
  - eventTime: '2024-03-26T23:10:17.279777370Z'
    expired: {}
updateTime: '2024-03-25T23:10:17.273416257Z'

REST

Metode getGrant Privileged Access Manager API mengambil hibah tertentu.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. ID folder dan organisasi berupa angka, seperti 123456789012.
  • ENTITLEMENT_ID: ID hak yang dimiliki hibah.
  • GRANT_ID: ID pemberian yang detailnya Anda inginkan.

Metode HTTP dan URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Anda akan melihat respons JSON yang mirip seperti berikut:

{
  "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
  "createTime": "2024-03-06T03:08:49.330577625Z",
  "updateTime": "2024-03-06T03:08:49.625874598Z",
  "requester": "alex@example.com",
  "requestedDuration": "3600s",
  "justification": {
    "unstructuredJustification": "Emergency service for outage"
  },
  "state": "APPROVAL_AWAITED",
  "timeline": {
    "events": [
      {
        "eventTime": "2024-03-06T03:08:49.462765846Z",
        "requested": {
          "expireTime": "2024-03-07T03:08:49.462765846Z"
        }
      }
    ]
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
      "roleBindings": [
        {
          "role": "roles/storage.admin"
        }
      ]
    }
  },
  "additionalEmailRecipients": [
    "bola@google.com"
  ]
}