Privileged Access Manager에서 권한 부여 보기

권한 부여 상태와 기록을 보거나 활성화된 경우 다른 주 구성원의 권한 부여를 취소할 수 있습니다. 권한 부여 기록은 권한 부여가 종료된 후 30일 동안 제공됩니다.

시작하기 전에

Privileged Access Manager를 사용 설정하고 권한을 설정했는지 확인합니다.

Google Cloud 콘솔을 사용하여 권한 부여 보기

권한 부여를 보려면 다음 안내를 완료합니다.

  1. Privileged Access Manager 페이지로 이동합니다.

    Privileged Access Manager로 이동

  2. 권한 부여를 보려는 조직, 폴더 또는 프로젝트를 선택합니다.

  3. 권한 부여 탭과 모든 사용자의 권한 부여 탭을 차례로 클릭합니다. 이 탭에는 모든 권한 부여, 권한 부여 요청자, 권한 부여 상태가 포함되어 있습니다. 권한 부여 상태는 다음과 같습니다.

    상태 설명
    활성화 중 권한 부여가 활성화되는 중입니다.
    활성화 실패 Privileged Access Manager가 재시도할 수 없는 오류로 인해 역할을 부여할 수 없습니다.
    활성 권한 부여가 활성화되었고 주 구성원에 해당 역할에 허용되는 리소스에 대한 액세스 권한이 있습니다.
    승인 대기 중 권한 부여 요청이 승인자의 결정을 기다리는 중입니다.
    거부됨 승인자가 권한 부여 요청을 거부했습니다.
    종료 권한 부여가 종료되었고 역할이 주 구성원에서 삭제되었습니다.
    만료됨 24시간 내에 승인이 부여되지 않아서 권한 부여 요청이 만료되었습니다.
    취소됨 권한 부여가 취소되었고 역할에 허용되는 리소스에 대한 액세스 권한이 더 이상 주 구성원에게 없습니다.
    취소 중 권한 부여를 취소하는 중입니다.

    상태 라벨

    이러한 상태 외에도 해당 상태 옆에 특수 조건을 나타내는 다음과 같은 상태 라벨이 권한 부여에 표시될 수 있습니다.

    IAM을 통해 수정됨

    이 권한 부여와 연결된 IAM 정책 바인딩이 IAM을 통해 직접 수정되었습니다. 수정된 바인딩에 대한 자세한 내용은 Google Cloud 콘솔에서 IAM 페이지를 참조하세요. 수정된 권한 부여가 취소되었거나 종료되면 Privileged Access Manager에서 생성된 바인딩 중에서 IAM을 통해 수정되지 않은 바인딩만 삭제합니다.

    IAM 조건 제목이나 표현식을 수정하거나 권한 부여된 역할에 대한 요청자의 액세스 권한을 삭제하는 작업은 외부 수정으로 취급됩니다. IAM 조건 설명을 추가하거나 수정하는 작업은 외부 수정으로 간주되지 않습니다.

    Privileged Access Manager는 5분마다 권한 부여에 대한 외부 수정을 확인합니다. 변경사항이 반영되는 데 최대 5분이 걸릴 수 있습니다. 이러한 5분 기간 내에 수행되고 되돌려진 일시적인 변경사항은 Privileged Access Manager에서 감지되지 않을 수 있습니다.

  4. 테이블의 조사하려는 사용 권한과 동일한 행에서 추가 옵션을 클릭합니다.

    • 기록을 포함하여 권한 부여 세부정보를 보려면 세부정보 보기를 클릭합니다. 이 패널에서 권한 부여를 취소할 수도 있습니다.

    • 활성화된 권한 부여를 취소하려면 권한 부여 취소를 클릭합니다.

또한 Google Cloud 콘솔의 IAM 페이지에서 일시적으로 권한 부여된 역할을 볼 수 있습니다. 주 구성원별로 보기 탭에서 일시적으로 권한 부여된 역할에는 생성자: PAM 조건이 포함됩니다.

프로그래매틱 방식으로 권한 부여 보기

프로그래매틱 방식으로 권한 부여를 보려면 권한 부여를 검색하고 나열하고 가져오면 됩니다.

권한 부여 검색

gcloud

gcloud beta pam grants search 명령어는 사용자가 만들었거나 승인 또는 거부할 수 있거나 이미 승인 또는 거부한 권한 부여를 검색합니다. 이 메서드를 사용할 수 있는 특정 Privileged Access Manager 권한은 필요하지 않습니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • ENTITLEMENT_ID: 권한 부여가 속한 사용 권한의 ID입니다. 사용 권한을 보고 ID를 검색할 수 있습니다.
  • CALLER_RELATIONSHIP_TYPE: 다음 중 한 가지 값을 사용합니다.

    • had-created: 호출자가 만든 권한 부여를 반환합니다.
    • had-approved: 호출자가 승인 또는 거부한 권한 부여를 반환합니다.
    • can-approve: 호출자가 승인 또는 거부할 수 있는 권한 부여를 반환합니다.
  • RESOURCE_TYPE: 선택사항. 사용 권한이 속한 리소스 유형입니다. organization, folder 또는 project 값을 사용합니다.
  • RESOURCE_ID: RESOURCE_TYPE에 사용됩니다. 사용 권한을 관리하려는 Google Cloud 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=CALLER_RELATIONSHIP_TYPE \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows(PowerShell)

gcloud beta pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=CALLER_RELATIONSHIP_TYPE `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows(cmd.exe)

gcloud beta pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=CALLER_RELATIONSHIP_TYPE ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

다음과 비슷한 응답이 표시됩니다.

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

REST

Privileged Access Manager API의 searchGrants 메서드는 사용자가 만들었거나 승인 또는 거부할 수 있거나 이미 승인 또는 거부한 권한 부여를 검색합니다. 이 메서드를 사용할 수 있는 특정 Privileged Access Manager 권한은 필요하지 않습니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • SCOPE: 사용 권한이 있는 조직, 폴더, 프로젝트로, organizations/ORGANIZATION_ID, folders/FOLDER_ID 또는 projects/PROJECT_ID 형식입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
  • ENTITLEMENT_ID: 권한 부여가 속한 사용 권한의 ID입니다. 사용 권한을 보고 ID를 검색할 수 있습니다.
  • RELATIONSHIP_TYPE: 유효한 값은 다음과 같습니다.
    • HAD_CREATED: 호출자가 만든 권한 부여를 반환합니다.
    • HAD_APPROVED: 호출자가 이전에 승인 또는 거부한 사용 권한을 반환합니다.
    • CAN_APPROVE: 호출자가 승인 또는 거부할 수 있는 권한 부여를 반환합니다.
  • FILTER: 선택사항. 필드 값이 AIP-160 표현식과 일치하는 권한 부여를 반환합니다.
  • PAGE_SIZE: 선택사항. 응답에 반환할 항목 수입니다.
  • PAGE_TOKEN: 선택사항. 이전 응답에서 반환된 페이지 토큰을 사용하여 응답을 시작하는 페이지입니다.

HTTP 메서드 및 URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "grants": [
    {
      "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
          "roleBindings": [
            {
              "role": "roles/storage.admin"
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

권한 부여 나열

gcloud

gcloud beta pam grants list 명령어는 특정 사용 권한에 속하는 권한 부여를 나열합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • ENTITLEMENT_ID: 권한 부여가 속한 사용 권한의 ID입니다. 사용 권한을 보고 ID를 검색할 수 있습니다.
  • RESOURCE_TYPE: 선택사항. 사용 권한이 속한 리소스 유형입니다. organization, folder 또는 project 값을 사용합니다.
  • RESOURCE_ID: RESOURCE_TYPE에 사용됩니다. 사용 권한을 관리하려는 Google Cloud 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta pam grants list \
    --entitlement=ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows(PowerShell)

gcloud beta pam grants list `
    --entitlement=ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows(cmd.exe)

gcloud beta pam grants list ^
    --entitlement=ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

다음과 비슷한 응답이 표시됩니다.

createTime: '2024-03-25T23:10:16.952789492Z'
justification:
  unstructuredJustification: Adding missing file for service to work properly
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 1800s
requester: alex@example.com
state: EXPIRED
timeline:
  events:
  - eventTime: '2024-03-25T23:10:17.155612987Z'
    requested:
      expireTime: '2024-03-26T23:10:17.155612987Z'
  - eventTime: '2024-03-26T23:10:17.279777370Z'
    expired: {}
updateTime: '2024-03-25T23:10:17.273416257Z'

REST

Privileged Access Manager API listGrants 메서드는 특정 사용 권한에 속하는 권한 부여를 나열합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • SCOPE: 사용 권한이 있는 조직, 폴더, 프로젝트로, organizations/ORGANIZATION_ID, folders/FOLDER_ID 또는 projects/PROJECT_ID 형식입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
  • ENTITLEMENT_ID: 권한 부여가 속한 사용 권한의 ID입니다. 사용 권한을 보고 ID를 검색할 수 있습니다.
  • FILTER: 선택사항. 필드 값이 AIP-160 표현식과 일치하는 권한 부여를 반환합니다.
  • PAGE_SIZE: 선택사항. 응답에 반환할 항목 수입니다.
  • PAGE_TOKEN: 선택사항. 이전 응답에서 반환된 페이지 토큰을 사용하여 응답을 시작하는 페이지입니다.

HTTP 메서드 및 URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "grants": [
    {
      "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
          "roleBindings": [
            {
              "role": "roles/storage.admin"
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

권한 부여 가져오기

gcloud

gcloud beta pam grants describe 명령어는 특정 권한 부여를 검색합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • GRANT_ID: 세부정보를 가져오려는 권한 부여의 ID입니다.
  • ENTITLEMENT_ID: 권한 부여가 속한 사용 권한의 ID입니다.
  • RESOURCE_TYPE: 선택사항. 사용 권한이 속한 리소스 유형입니다. organization, folder 또는 project 값을 사용합니다.
  • RESOURCE_ID: RESOURCE_TYPE에 사용됩니다. 사용 권한을 관리하려는 Google Cloud 프로젝트, 폴더 또는 조직의 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud beta pam grants describe \
    GRANT_ID \
    --entitlement=ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows(PowerShell)

gcloud beta pam grants describe `
    GRANT_ID `
    --entitlement=ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows(cmd.exe)

gcloud beta pam grants describe ^
    GRANT_ID ^
    --entitlement=ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

다음과 비슷한 응답이 표시됩니다.

createTime: '2024-03-25T23:10:16.952789492Z'
justification:
  unstructuredJustification: Adding missing file for service to work properly
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 1800s
requester: alex@example.com
state: EXPIRED
timeline:
  events:
  - eventTime: '2024-03-25T23:10:17.155612987Z'
    requested:
      expireTime: '2024-03-26T23:10:17.155612987Z'
  - eventTime: '2024-03-26T23:10:17.279777370Z'
    expired: {}
updateTime: '2024-03-25T23:10:17.273416257Z'

REST

Privileged Access Manager API의 getGrant 메서드는 특정 권한 부여를 검색합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • SCOPE: 사용 권한이 있는 조직, 폴더, 프로젝트로, organizations/ORGANIZATION_ID, folders/FOLDER_ID 또는 projects/PROJECT_ID 형식입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
  • ENTITLEMENT_ID: 권한 부여가 속한 사용 권한의 ID입니다.
  • GRANT_ID: 세부정보를 가져오려는 권한 부여의 ID입니다.

HTTP 메서드 및 URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
  "createTime": "2024-03-06T03:08:49.330577625Z",
  "updateTime": "2024-03-06T03:08:49.625874598Z",
  "requester": "alex@example.com",
  "requestedDuration": "3600s",
  "justification": {
    "unstructuredJustification": "Emergency service for outage"
  },
  "state": "APPROVAL_AWAITED",
  "timeline": {
    "events": [
      {
        "eventTime": "2024-03-06T03:08:49.462765846Z",
        "requested": {
          "expireTime": "2024-03-07T03:08:49.462765846Z"
        }
      }
    ]
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
      "roleBindings": [
        {
          "role": "roles/storage.admin"
        }
      ]
    }
  },
  "additionalEmailRecipients": [
    "bola@google.com"
  ]
}