Anda dapat melihat status dan histori hibah, atau mencabut hibah untuk akun utama lainnya jika hibah tersebut aktif. Histori pemberian tersedia selama 30 hari setelah pemberian berakhir.
Sebelum memulai
Pastikan Anda telah mengaktifkan Privileged Access Manager dan menyiapkan izin untuknya.
Melihat pemberian izin menggunakan konsol Google Cloud
Untuk melihat hibah, selesaikan petunjuk berikut:
Buka halaman Privileged Access Manager.
Pilih organisasi, folder, atau project tempat Anda ingin melihat hibah.
Klik tab Hibah, diikuti dengan tab Hibah untuk semua pengguna. Tab ini berisi semua hibah, pemohon untuk hibah tersebut, dan status hibah. Hibah dapat memiliki status berikut:
Status Deskripsi Mengaktifkan Hibah sedang dalam proses aktivasi. Aktivasi gagal Privileged Access Manager tidak dapat memberikan peran karena error yang tidak dapat dicoba ulang. Aktif Pemberian izin aktif dan akun utama memiliki akses ke resource yang diizinkan oleh peran. Menunggu persetujuan Permintaan hibah sedang menunggu keputusan dari pemberi persetujuan. Ditolak Permintaan hibah telah ditolak oleh pemberi persetujuan. Berakhir Pemberian telah berakhir dan peran telah dihapus dari akun utama. Telah Berakhir Masa berlaku permintaan hibah telah berakhir, karena persetujuan tidak diberikan dalam 24 jam. Dicabut Pemberian dicabut, dan akun utama tidak lagi memiliki akses ke resource yang diizinkan oleh peran. Mencabut Pemberian sedang dalam proses pencabutan. Label Status
Selain status ini, hibah dapat memiliki label status berikut yang ditampilkan di samping statusnya, yang menunjukkan kondisi khusus:
Diubah melalui IAM
Binding kebijakan IAM yang terkait dengan pemberian ini telah diubah secara langsung melalui IAM. Untuk mengetahui detail tentang binding yang diubah, lihat halaman IAM di konsol Google Cloud. Saat pemberian yang diubah dicabut atau berakhir, Privileged Access Manager hanya menghapus binding yang telah dibuatnya yang belum diubah melalui IAM.
Mengubah judul atau ekspresi kondisi IAM, atau menghapus akses pemohon ke peran yang diberikan akan diperlakukan sebagai perubahan eksternal. Menambahkan atau mengubah deskripsi kondisi IAM tidak dianggap sebagai modifikasi eksternal.
Privileged Access Manager memeriksa modifikasi eksternal pada pemberian setiap 5 menit. Diperlukan waktu hingga 5 menit agar perubahan ini ditampilkan. Perubahan sementara yang dibuat dan dikembalikan dalam periode 5 menit ini mungkin tidak terdeteksi oleh Privileged Access Manager.
Pada tabel, klik
Opsi lainnya di baris yang sama dengan hak yang ingin Anda periksa.Untuk melihat detail hibah termasuk historinya, klik Lihat detail. Anda juga dapat mencabut pemberian izin dari panel ini.
Untuk mencabut pemberian yang aktif, klik Cabut pemberian.
Anda juga dapat melihat peran yang diberikan untuk sementara di halaman IAM di konsol Google Cloud. Di tab View by principals, peran yang diberikan sementara memiliki kondisi Created by: PAM.
Melihat hibah secara terprogram
Untuk melihat hibah secara terprogram, Anda dapat menelusuri, membuat daftar, dan mendapatkannya.
Menelusuri hibah
gcloud
Perintah
gcloud beta pam grants search
menelusuri hibah yang telah Anda buat, dapat menyetujui atau menolak, atau telah menyetujui atau menolak. Metode ini tidak memerlukan izin Privileged Access Manager
tertentu untuk digunakan.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
ENTITLEMENT_ID
: ID hak yang dimiliki hibah. Anda dapat mengambil ID dengan melihat hak.-
CALLER_RELATIONSHIP_TYPE
: Gunakan salah satu nilai berikut:had-created
: Menampilkan pemberian yang telah dibuat pemanggil.had-approved
: Menampilkan hibah yang telah disetujui atau ditolak oleh pemanggil.can-approve
: Menampilkan pemberian yang dapat disetujui atau ditolak oleh pemanggil.
RESOURCE_TYPE
: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilaiorganization
,folder
, atauproject
.RESOURCE_ID
: Digunakan denganRESOURCE_TYPE
. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, sepertimy-project
. Folder dan ID organisasi berupa numerik, seperti123456789012
.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta pam grants search \ --entitlement=ENTITLEMENT_ID \ --caller-relationship=CALLER_RELATIONSHIP_TYPE \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam grants search ` --entitlement=ENTITLEMENT_ID ` --caller-relationship=CALLER_RELATIONSHIP_TYPE ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam grants search ^ --entitlement=ENTITLEMENT_ID ^ --caller-relationship=CALLER_RELATIONSHIP_TYPE ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
additionalEmailRecipients: - bola@example.com createTime: '2024-03-07T00:34:32.557017289Z' justification: unstructuredJustification: Renaming a file to mitigate issue #312 name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID privilegedAccess: gcpIamAccess: resource: //cloudresourcemanager.googleapis.com/projects/my-project resourceType: cloudresourcemanager.googleapis.com/Project roleBindings: - role: roles/storage.admin requestedDuration: 3600s requester: cruz@example.com state: DENIED timeline: events: - eventTime: '2024-03-07T00:34:32.793769042Z' requested: expireTime: '2024-03-08T00:34:32.793769042Z' - denied: actor: alex@example.com reason: Issue has already been resolved eventTime: '2024-03-07T00:36:08.309116203Z' updateTime: '2024-03-07T00:34:32.926967128Z'
REST
Metode searchGrants
Privileged Access Manager API menelusuri pemberian yang telah Anda buat, dapat menyetujui atau menolak, atau telah menyetujui atau menolak. Metode ini tidak memerlukan izin Privileged Access Manager
tertentu untuk digunakan.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE
: Organisasi, folder, atau project tempat hak berada, dalam formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
, atauprojects/PROJECT_ID
. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa angka, seperti123456789012
.ENTITLEMENT_ID
: ID hak yang dimiliki hibah. Anda dapat mengambil ID dengan melihat hak.RELATIONSHIP_TYPE
: Nilai yang valid adalah:HAD_CREATED
: Menampilkan pemberian yang telah dibuat pemanggil.HAD_APPROVED
: Menampilkan izin yang sebelumnya telah disetujui atau ditolak oleh pemanggil.CAN_APPROVE
: Menampilkan pemberian yang dapat disetujui atau ditolak oleh pemanggil.
FILTER
: Opsional. Menampilkan hibah yang nilai kolomnya cocok dengan ekspresi AIP-160.PAGE_SIZE
: Opsional. Jumlah item yang akan ditampilkan dalam respons.PAGE_TOKEN
: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.
Metode HTTP dan URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{ "grants": [ { "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID", "createTime": "2024-03-06T03:08:49.330577625Z", "updateTime": "2024-03-06T03:08:49.625874598Z", "requester": "alex@example.com", "requestedDuration": "3600s", "justification": { "unstructuredJustification": "Emergency service for outage" }, "state": "APPROVAL_AWAITED", "timeline": { "events": [ { "eventTime": "2024-03-06T03:08:49.462765846Z", "requested": { "expireTime": "2024-03-07T03:08:49.462765846Z" } } ] }, "privilegedAccess": { "gcpIamAccess": { "resourceType": "cloudresourcemanager.googleapis.com/Project", "resource": "//cloudresourcemanager.googleapis.com/projects/my-project", "roleBindings": [ { "role": "roles/storage.admin" } ] } }, "additionalEmailRecipients": [ "bola@google.com" ] } ] }
Mencantumkan hibah
gcloud
Perintah
gcloud beta pam grants list
mencantumkan hibah yang termasuk dalam hak
tertentu.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
ENTITLEMENT_ID
: ID hak yang dimiliki hibah. Anda dapat mengambil ID dengan melihat hak.RESOURCE_TYPE
: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilaiorganization
,folder
, atauproject
.RESOURCE_ID
: Digunakan denganRESOURCE_TYPE
. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, sepertimy-project
. Folder dan ID organisasi berupa numerik, seperti123456789012
.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta pam grants list \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam grants list ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam grants list ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
createTime: '2024-03-25T23:10:16.952789492Z' justification: unstructuredJustification: Adding missing file for service to work properly name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID privilegedAccess: gcpIamAccess: resource: //cloudresourcemanager.googleapis.com/projects/my-project resourceType: cloudresourcemanager.googleapis.com/Project roleBindings: - role: roles/storage.admin requestedDuration: 1800s requester: alex@example.com state: EXPIRED timeline: events: - eventTime: '2024-03-25T23:10:17.155612987Z' requested: expireTime: '2024-03-26T23:10:17.155612987Z' - eventTime: '2024-03-26T23:10:17.279777370Z' expired: {} updateTime: '2024-03-25T23:10:17.273416257Z'
REST
Metode
listGrants
Privileged Access Manager API mencantumkan hibah yang termasuk dalam hak
tertentu.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE
: Organisasi, folder, atau project tempat hak berada, dalam formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
, atauprojects/PROJECT_ID
. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa angka, seperti123456789012
.ENTITLEMENT_ID
: ID hak yang dimiliki hibah. Anda dapat mengambil ID dengan melihat hak.FILTER
: Opsional. Menampilkan hibah yang nilai kolomnya cocok dengan ekspresi AIP-160.PAGE_SIZE
: Opsional. Jumlah item yang akan ditampilkan dalam respons.PAGE_TOKEN
: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.
Metode HTTP dan URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{ "grants": [ { "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID", "createTime": "2024-03-06T03:08:49.330577625Z", "updateTime": "2024-03-06T03:08:49.625874598Z", "requester": "alex@example.com", "requestedDuration": "3600s", "justification": { "unstructuredJustification": "Emergency service for outage" }, "state": "APPROVAL_AWAITED", "timeline": { "events": [ { "eventTime": "2024-03-06T03:08:49.462765846Z", "requested": { "expireTime": "2024-03-07T03:08:49.462765846Z" } } ] }, "privilegedAccess": { "gcpIamAccess": { "resourceType": "cloudresourcemanager.googleapis.com/Project", "resource": "//cloudresourcemanager.googleapis.com/projects/my-project", "roleBindings": [ { "role": "roles/storage.admin" } ] } }, "additionalEmailRecipients": [ "bola@google.com" ] } ] }
Mendapatkan hibah
gcloud
Perintah
gcloud beta pam grants describe
mengambil pemberian tertentu.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
GRANT_ID
: ID hibah yang detailnya Anda inginkan.ENTITLEMENT_ID
: ID hak yang dimiliki hibah.RESOURCE_TYPE
: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilaiorganization
,folder
, atauproject
.RESOURCE_ID
: Digunakan denganRESOURCE_TYPE
. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, sepertimy-project
. Folder dan ID organisasi berupa numerik, seperti123456789012
.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta pam grants describe \ GRANT_ID \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam grants describe ` GRANT_ID ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam grants describe ^ GRANT_ID ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
createTime: '2024-03-25T23:10:16.952789492Z' justification: unstructuredJustification: Adding missing file for service to work properly name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID privilegedAccess: gcpIamAccess: resource: //cloudresourcemanager.googleapis.com/projects/my-project resourceType: cloudresourcemanager.googleapis.com/Project roleBindings: - role: roles/storage.admin requestedDuration: 1800s requester: alex@example.com state: EXPIRED timeline: events: - eventTime: '2024-03-25T23:10:17.155612987Z' requested: expireTime: '2024-03-26T23:10:17.155612987Z' - eventTime: '2024-03-26T23:10:17.279777370Z' expired: {} updateTime: '2024-03-25T23:10:17.273416257Z'
REST
Metode
getGrant
Privileged Access Manager API mengambil hibah tertentu.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE
: Organisasi, folder, atau project tempat hak berada, dalam formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
, atauprojects/PROJECT_ID
. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa angka, seperti123456789012
.ENTITLEMENT_ID
: ID hak yang dimiliki hibah.GRANT_ID
: ID pemberian yang detailnya Anda inginkan.
Metode HTTP dan URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON yang mirip seperti berikut:
{ "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID", "createTime": "2024-03-06T03:08:49.330577625Z", "updateTime": "2024-03-06T03:08:49.625874598Z", "requester": "alex@example.com", "requestedDuration": "3600s", "justification": { "unstructuredJustification": "Emergency service for outage" }, "state": "APPROVAL_AWAITED", "timeline": { "events": [ { "eventTime": "2024-03-06T03:08:49.462765846Z", "requested": { "expireTime": "2024-03-07T03:08:49.462765846Z" } } ] }, "privilegedAccess": { "gcpIamAccess": { "resourceType": "cloudresourcemanager.googleapis.com/Project", "resource": "//cloudresourcemanager.googleapis.com/projects/my-project", "roleBindings": [ { "role": "roles/storage.admin" } ] } }, "additionalEmailRecipients": [ "bola@google.com" ] }