Puoi visualizzare lo stato e la cronologia di una concessione o revocare una concessione per altri agenti se è attiva. La cronologia delle concessioni è disponibile per 30 giorni dopo una concessione è terminata.
Prima di iniziare
Assicurati di aver abilitato il Gestore degli accessi con privilegi e configurato le relative autorizzazioni.
Visualizzare le concessioni utilizzando la console Google Cloud
Per visualizzare una sovvenzione:
Vai alla pagina Privileged Access Manager.
Seleziona l'organizzazione, la cartella o il progetto in cui vuoi visualizzare le concessioni.
Fai clic sulla scheda Concessioni, quindi sulla scheda Concessioni per tutti gli utenti. Questa scheda contiene tutti i contributi, i richiedenti e lo stato dei contributi. Le concessioni possono avere i seguenti stati:
Stato Descrizione In fase di attivazione La concessione è in fase di attivazione. Attivazione non riuscita Privileged Access Manager non ha potuto concedere i ruoli a causa di un errore non recuperabile. Attivo La concessione è attiva e l'entità ha accesso alle risorse consentite dai ruoli. In attesa di approvazione La richiesta di sovvenzione è in attesa della decisione di un approvatore. Negato La richiesta di concessione è stata rifiutata da un approvatore. Terminata La concessione è terminata e i ruoli sono stati rimossi dal principale. Scaduto La richiesta di sovvenzione è scaduta perché l'approvazione non è stata concessa entro 24 ore. Revocato La concessione è stata revocata e l'entità non ha più accesso alle risorse consentite dai ruoli. Revoca La concessione è in fase di revoca. Etichette di stato
Oltre a questi stati, le concessioni possono avere i seguenti stati Etichette visualizzate accanto allo stato, che indicano condizioni speciali:
Modificato tramite IAM
Le associazioni di criteri IAM associate a questa concessione sono state possono essere modificate direttamente tramite IAM. Per i dettagli sulle modifiche associazioni, consulta la pagina IAM nella console Google Cloud. Quando una concessione modificata viene revocata o termina, Privileged Access Manager rimuove solo le associazioni che ha creato e che non sono state modificate tramite IAM.
Modifica del titolo o dell'espressione della condizione IAM o rimozione l'accesso del richiedente al ruolo concesso viene considerato modifica. L'aggiunta o la modifica della descrizione della condizione IAM non è considerata una modifica esterna.
Privileged Access Manager controlla la presenza di modifiche esterne alle concessioni ogni 5 minuti. L'applicazione di queste modifiche potrebbe richiedere fino a 5 minuti. Temporaneo le modifiche apportate e ripristinate entro questo periodo di 5 minuti potrebbero non essere rilevate da Privileged Access Manager.
Nella tabella, fai clic su . Altre opzioni nella stessa riga di un diritto che vuoi controllare.
Per visualizzare i dettagli della concessione, inclusa la relativa cronologia, fai clic su Visualizza dettagli. Puoi anche revocare una concessione da questo riquadro.
Per revocare una concessione attiva, fai clic su Revoca concessione.
Puoi anche visualizzare i ruoli concessi temporaneamente nella pagina IAM della console Google Cloud. Nella scheda Visualizza per entità, temporaneamente ai ruoli concessi è impostata la condizione Creato da: PAM.
Visualizza le concessioni in modo programmatico
Per visualizzare i contributi in modo programmatico, puoi cercarli, elencarli e ottenerli.
Cerca sovvenzioni
gcloud
Il comando
gcloud beta pam grants search
cerca una concessione che hai creato, che puoi approvare o rifiutare o che hai già approvato o rifiutato. Questo metodo non richiede
Autorizzazioni di Gestore degli accessi con privilegi da utilizzare.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione. Puoi recuperare l'ID visualizzando i diritti.-
CALLER_RELATIONSHIP_TYPE: utilizza uno dei seguenti valori:had-created: restituisce le concessioni a cui il chiamante è stato creato.had-approved: restituisce le autorizzazioni approvate o rifiutate dall'utente che ha effettuato la chiamata.can-approve: restituisce che il chiamante può restituire approvare o rifiutare.
RESOURCE_TYPE: facoltativo. Il tipo di risorsa a cui appartiene il diritto. Utilizza il valoreorganization,folderoproject.RESOURCE_ID: utilizzato conRESOURCE_TYPE. L'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta pam grants search \ --entitlement=ENTITLEMENT_ID \ --caller-relationship=CALLER_RELATIONSHIP_TYPE \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam grants search ` --entitlement=ENTITLEMENT_ID ` --caller-relationship=CALLER_RELATIONSHIP_TYPE ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam grants search ^ --entitlement=ENTITLEMENT_ID ^ --caller-relationship=CALLER_RELATIONSHIP_TYPE ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Dovresti ricevere una risposta simile alla seguente:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/my-project
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
L'API Privileged Access Manager
searchGrants
per cercare una concessione che hai creato, che può approvare o
rifiutare oppure che l'hanno già approvata o rifiutata. Questo metodo non richiede autorizzazioni specifiche per Gestore degli accessi con privilegi.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
SCOPE: l'organizzazione, la cartella o il progetto in cui si trova il diritto, nel formatoorganizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project. Gli ID cartella e dell'organizzazione sono numerici, ad esempio123456789012.ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione. Puoi recuperare l'ID visualizzando i diritti.RELATIONSHIP_TYPE: i valori validi sono:HAD_CREATED: restituisce le concessioni a cui il chiamante è stato creato.HAD_APPROVED: restituisce le autorizzazioni che l'utente che chiama ha precedentemente approvato o rifiutato.CAN_APPROVE: restituisce che il chiamante può restituire approvare o rifiutare.
FILTER: facoltativo. Restituisce concessioni il cui campo corrispondono a Espressione AIP-160.PAGE_SIZE: facoltativo. Il numero di elementi da restituire in una risposta.PAGE_TOKEN: facoltativo. La pagina da cui iniziare la risposta utilizzando un token di pagina restituito in una risposta precedente.
Metodo HTTP e URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Per inviare la richiesta, espandi una delle seguenti opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"grants": [
{
"name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
"roleBindings": [
{
"role": "roles/storage.admin"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
Elenco concessioni
gcloud
Il comando
gcloud beta pam grants list
elenca le concessioni che appartengono a un diritto specifico.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione. Puoi recuperare l'ID di visualizzare i diritti.RESOURCE_TYPE: facoltativo. Il tipo di risorsa a cui appartiene il diritto. Utilizza il valoreorganization,folderoproject.RESOURCE_ID: utilizzato conRESOURCE_TYPE. L'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta pam grants list \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam grants list ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam grants list ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Dovresti ricevere una risposta simile alla seguente:
createTime: '2024-03-25T23:10:16.952789492Z'
justification:
unstructuredJustification: Adding missing file for service to work properly
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/my-project
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
requestedDuration: 1800s
requester: alex@example.com
state: EXPIRED
timeline:
events:
- eventTime: '2024-03-25T23:10:17.155612987Z'
requested:
expireTime: '2024-03-26T23:10:17.155612987Z'
- eventTime: '2024-03-26T23:10:17.279777370Z'
expired: {}
updateTime: '2024-03-25T23:10:17.273416257Z'
REST
L'API Privileged Access Manager
listGrants
elenca le concessioni che appartengono a uno specifico metodo
e il diritto di accesso.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
SCOPE: l'organizzazione, la cartella o il progetto in cui si trova il diritto, nel formatoorganizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project. Gli ID cartella e dell'organizzazione sono numerici, ad esempio123456789012.ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione. Puoi recuperare l'ID di visualizzare i diritti.FILTER: facoltativo. Restituisce concessioni il cui campo corrispondono a Espressione AIP-160.PAGE_SIZE: facoltativo. Il numero di elementi da restituire in una risposta.PAGE_TOKEN: facoltativo. La pagina da cui iniziare la risposta utilizzando un token di pagina restituito in una risposta precedente.
Metodo HTTP e URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Per inviare la richiesta, espandi una delle seguenti opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"grants": [
{
"name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
"roleBindings": [
{
"role": "roles/storage.admin"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
Ottieni donazioni
gcloud
La
gcloud beta pam grants describe
recupera una concessione specifica.
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
GRANT_ID: l'ID della sovvenzione di cui vuoi conoscere i dettagli.ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione.RESOURCE_TYPE: facoltativo. Il tipo di risorsa a cui appartiene il diritto. Utilizza il valoreorganization,folderoproject.RESOURCE_ID: utilizzato conRESOURCE_TYPE. L'ID del progetto, della cartella o dell'organizzazione Google Cloud per cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
Esegui il seguente comando:
Linux, macOS o Cloud Shell
gcloud beta pam grants describe \ GRANT_ID \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam grants describe ` GRANT_ID ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam grants describe ^ GRANT_ID ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Dovresti ricevere una risposta simile alla seguente:
createTime: '2024-03-25T23:10:16.952789492Z'
justification:
unstructuredJustification: Adding missing file for service to work properly
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/my-project
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
requestedDuration: 1800s
requester: alex@example.com
state: EXPIRED
timeline:
events:
- eventTime: '2024-03-25T23:10:17.155612987Z'
requested:
expireTime: '2024-03-26T23:10:17.155612987Z'
- eventTime: '2024-03-26T23:10:17.279777370Z'
expired: {}
updateTime: '2024-03-25T23:10:17.273416257Z'
REST
Il metodo getGrant
dell'API Privileged Access Manager recupera una concessione specifica.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
SCOPE: l'organizzazione, la cartella o il progetto in cui si trova il diritto, nel formatoorganizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project. Gli ID cartella e dell'organizzazione sono numerici, ad esempio123456789012.ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione.GRANT_ID: l'ID della concessione di cui vuoi i dettagli.
Metodo HTTP e URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
Per inviare la richiesta, espandi una delle seguenti opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
"roleBindings": [
{
"role": "roles/storage.admin"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}