Sie können den Status und den Verlauf einer Berechtigung einsehen oder eine Berechtigung für andere Hauptbevollmächtigte widerrufen, wenn sie aktiv ist. Der Zuschussverlauf ist 30 Tage nach Ablauf eines Zuschusses verfügbar.
Hinweise
Privileged Access Manager muss aktiviert und Berechtigungen dafür eingerichtet sein.
Berechtigungen mit der Google Cloud Console ansehen
So rufen Sie eine Berechtigung auf:
Rufen Sie die Seite Privileged Access Manager auf.
Wählen Sie die Organisation, den Ordner oder das Projekt aus, für das Sie die Zuweisungen aufrufen möchten.
Klicken Sie auf den Tab Genehmigungen und dann auf den Tab Genehmigungen für alle Nutzer. Dieser Tab enthält alle Zuweisungen, die Antragsteller für diese Zuweisungen und den Status der Zuweisung. Gewährungen können folgende Status haben:
Status Beschreibung Wird aktiviert Die Gewährung wird gerade aktiviert. Aktivierung fehlgeschlagen Der Privileged Access Manager konnte die Rollen aufgrund eines nicht wiederholbaren Fehlers nicht gewähren. Aktiv Die Gewährung ist aktiv und das Hauptkonto hat Zugriff auf die durch die Rollen zulässigen Ressourcen. Genehmigung ausstehend Für den Gewährungsantrag steht noch eine Entscheidung des Genehmigers aus. Abgelehnt Der Antrag auf Gewährung wurde von einem Genehmiger abgelehnt. Beendet Die Gewährung ist abgelaufen und die Rollen wurden vom Hauptkonto entfernt. Abgelaufen Der Antrag auf Gewährung ist abgelaufen, da er nicht innerhalb von 24 Stunden genehmigt wurde. Gesperrt Die Gewährung wird widerrufen und das Hauptkonto hat keinen Zugriff mehr auf die durch die Rollen zulässigen Ressourcen. Widerruf Die Gewährung wird gerade widerrufen. Statuslabels
Zusätzlich zu diesen Status können Zuschüsse neben dem Status die folgenden Statuslabels haben, die auf besondere Bedingungen hinweisen:
Über IAM geändert
Die mit dieser Berechtigung verknüpften IAM-Richtlinienbindungen wurden direkt über IAM geändert. Weitere Informationen zu geänderten Bindungen finden Sie auf der IAM-Seite in der Google Cloud Console. Wenn eine geänderte Berechtigung widerrufen oder abläuft, entfernt Privileged Access Manager nur die von ihm erstellten Bindungen, die nicht über IAM geändert wurden.
Das Ändern des Titels oder Ausdrucks der IAM-Bedingung oder das Entfernen des Zugriffs des Antragstellers auf die gewährte Rolle wird als externe Änderung behandelt. Das Hinzufügen oder Ändern der IAM-Bedingungsbeschreibung gilt nicht als externe Änderung.
Privileged Access Manager prüft alle 5 Minuten auf externe Änderungen an Berechtigungen. Es kann bis zu 5 Minuten dauern, bis diese Änderungen zu sehen sind. Vorübergehende Änderungen, die innerhalb dieses 5-Minuten-Zeitraums vorgenommen und rückgängig gemacht werden, werden vom Privileged Access Manager möglicherweise nicht erkannt.
Klicken Sie in der Tabelle in der Zeile mit der Berechtigung, die Sie prüfen möchten, auf
Weitere Optionen.Klicken Sie auf Details ansehen, um die Details zur Förderung einschließlich des Verlaufs aufzurufen. In diesem Bereich können Sie auch eine Berechtigung widerrufen.
Wenn Sie eine aktive Genehmigung widerrufen möchten, klicken Sie auf Genehmigung widerrufen.
Sie können vorübergehend gewährte Rollen auch auf der IAM-Seite in der Google Cloud Console aufrufen. Auf dem Tab Nach Hauptkonten ansehen haben vorübergehend gewährte Rollen die Bedingung Erstellt von: PAM.
Gewährungen programmatisch ansehen
Sie können Zuschüsse programmatisch aufrufen, indem Sie nach ihnen suchen, sie auflisten und abrufen.
Suchzuweisungen
gcloud
Mit dem Befehl gcloud beta pam grants search
wird nach einer von Ihnen erstellten Gewährung gesucht, die Sie genehmigen oder ablehnen können oder die Sie bereits genehmigt oder abgelehnt haben. Für diese Methode sind keine speziellen Privileged Access Manager-Berechtigungen erforderlich.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
ENTITLEMENT_ID
: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie Berechtigungen ansehen.-
CALLER_RELATIONSHIP_TYPE
: Verwenden Sie einen der folgenden Werte: .had-created
: Gibt Gewährungen zurück, die der Aufrufer erstellt hat.had-approved
: Gibt Gewährungen zurück, die der Aufrufer genehmigt oder abgelehnt hat.can-approve
: Gibt Gewährungen zurück, die der Aufrufer genehmigen oder ablehnen kann.
RESOURCE_TYPE
: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wertorganization
,folder
oderproject
.RESOURCE_ID
: Wird mitRESOURCE_TYPE
verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud beta pam grants search \ --entitlement=ENTITLEMENT_ID \ --caller-relationship=CALLER_RELATIONSHIP_TYPE \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam grants search ` --entitlement=ENTITLEMENT_ID ` --caller-relationship=CALLER_RELATIONSHIP_TYPE ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam grants search ^ --entitlement=ENTITLEMENT_ID ^ --caller-relationship=CALLER_RELATIONSHIP_TYPE ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Sie sollten eine Antwort ähnlich der folgenden erhalten:
additionalEmailRecipients: - bola@example.com createTime: '2024-03-07T00:34:32.557017289Z' justification: unstructuredJustification: Renaming a file to mitigate issue #312 name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID privilegedAccess: gcpIamAccess: resource: //cloudresourcemanager.googleapis.com/projects/my-project resourceType: cloudresourcemanager.googleapis.com/Project roleBindings: - role: roles/storage.admin requestedDuration: 3600s requester: cruz@example.com state: DENIED timeline: events: - eventTime: '2024-03-07T00:34:32.793769042Z' requested: expireTime: '2024-03-08T00:34:32.793769042Z' - denied: actor: alex@example.com reason: Issue has already been resolved eventTime: '2024-03-07T00:36:08.309116203Z' updateTime: '2024-03-07T00:34:32.926967128Z'
REST
Mit der Methode searchGrants
der Privileged Access Manager API wird nach einer von Ihnen erstellten Gewährung gesucht, die Sie genehmigen oder ablehnen können oder die bereits genehmigt oder abgelehnt wurde. Für diese Methode sind keine speziellen Privileged Access Manager-Berechtigungen erforderlich.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
SCOPE
: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
oderprojects/PROJECT_ID
. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
.ENTITLEMENT_ID
: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie Berechtigungen ansehen.RELATIONSHIP_TYPE
: Gültige Werte sind:HAD_CREATED
: Gibt Gewährungen zurück, die der Aufrufer erstellt hat.HAD_APPROVED
: Gibt Gewährungen zurück, die der Aufrufer zuvor genehmigt oder abgelehnt hat.CAN_APPROVE
: Gibt Gewährungen zurück, die der Aufrufer genehmigen oder ablehnen kann.
FILTER
: Optional. Es werden Gewährungen zurückgegeben, deren Feldwerte mit einem AIP-160-Ausdruck übereinstimmen.PAGE_SIZE
: Optional. Die Anzahl der Elemente, die in einer Antwort zurückgegeben werden sollen.PAGE_TOKEN
: Optional. Die Seite, mit der die Antwort beginnen soll, unter Verwendung eines Seitentokens, das in einer früheren Antwort zurückgegeben wurde.
HTTP-Methode und URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten in etwa folgende JSON-Antwort erhalten:
{ "grants": [ { "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID", "createTime": "2024-03-06T03:08:49.330577625Z", "updateTime": "2024-03-06T03:08:49.625874598Z", "requester": "alex@example.com", "requestedDuration": "3600s", "justification": { "unstructuredJustification": "Emergency service for outage" }, "state": "APPROVAL_AWAITED", "timeline": { "events": [ { "eventTime": "2024-03-06T03:08:49.462765846Z", "requested": { "expireTime": "2024-03-07T03:08:49.462765846Z" } } ] }, "privilegedAccess": { "gcpIamAccess": { "resourceType": "cloudresourcemanager.googleapis.com/Project", "resource": "//cloudresourcemanager.googleapis.com/projects/my-project", "roleBindings": [ { "role": "roles/storage.admin" } ] } }, "additionalEmailRecipients": [ "bola@google.com" ] } ] }
Zuweisungen auflisten
gcloud
Mit dem Befehl gcloud beta pam grants list
werden Berechtigungen aufgelistet, die zu einer bestimmten Berechtigung gehören.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
ENTITLEMENT_ID
: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie Berechtigungen ansehen.RESOURCE_TYPE
: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wertorganization
,folder
oderproject
.RESOURCE_ID
: Wird mitRESOURCE_TYPE
verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud beta pam grants list \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam grants list ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam grants list ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Sie sollten eine Antwort ähnlich der folgenden erhalten:
createTime: '2024-03-25T23:10:16.952789492Z' justification: unstructuredJustification: Adding missing file for service to work properly name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID privilegedAccess: gcpIamAccess: resource: //cloudresourcemanager.googleapis.com/projects/my-project resourceType: cloudresourcemanager.googleapis.com/Project roleBindings: - role: roles/storage.admin requestedDuration: 1800s requester: alex@example.com state: EXPIRED timeline: events: - eventTime: '2024-03-25T23:10:17.155612987Z' requested: expireTime: '2024-03-26T23:10:17.155612987Z' - eventTime: '2024-03-26T23:10:17.279777370Z' expired: {} updateTime: '2024-03-25T23:10:17.273416257Z'
REST
Die Methode listGrants
der Privileged Access Manager API listet Berechtigungen auf, die zu einer bestimmten Berechtigung gehören.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
SCOPE
: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
oderprojects/PROJECT_ID
. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
.ENTITLEMENT_ID
: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie Berechtigungen ansehen.FILTER
: Optional. Es werden Zuweisungen zurückgegeben, deren Feldwerte mit einem AIP-160-Ausdruck übereinstimmen.PAGE_SIZE
: Optional. Die Anzahl der Elemente, die in einer Antwort zurückgegeben werden sollen.PAGE_TOKEN
: Optional. Die Seite, mit der die Antwort beginnen soll, unter Verwendung eines Seitentokens, das in einer früheren Antwort zurückgegeben wurde.
HTTP-Methode und URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten in etwa folgende JSON-Antwort erhalten:
{ "grants": [ { "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID", "createTime": "2024-03-06T03:08:49.330577625Z", "updateTime": "2024-03-06T03:08:49.625874598Z", "requester": "alex@example.com", "requestedDuration": "3600s", "justification": { "unstructuredJustification": "Emergency service for outage" }, "state": "APPROVAL_AWAITED", "timeline": { "events": [ { "eventTime": "2024-03-06T03:08:49.462765846Z", "requested": { "expireTime": "2024-03-07T03:08:49.462765846Z" } } ] }, "privilegedAccess": { "gcpIamAccess": { "resourceType": "cloudresourcemanager.googleapis.com/Project", "resource": "//cloudresourcemanager.googleapis.com/projects/my-project", "roleBindings": [ { "role": "roles/storage.admin" } ] } }, "additionalEmailRecipients": [ "bola@google.com" ] } ] }
Zuschüsse erhalten
gcloud
Mit dem Befehl gcloud beta pam grants describe
wird eine bestimmte Berechtigung abgerufen.
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
GRANT_ID
: Die ID der Zuweisung, für die Sie die Details abrufen möchten.ENTITLEMENT_ID
: Die ID der Berechtigung, zu der die Gewährung gehört.RESOURCE_TYPE
: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wertorganization
,folder
oderproject
.RESOURCE_ID
: Wird mitRESOURCE_TYPE
verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud beta pam grants describe \ GRANT_ID \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam grants describe ` GRANT_ID ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam grants describe ^ GRANT_ID ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Sie sollten eine Antwort ähnlich der folgenden erhalten:
createTime: '2024-03-25T23:10:16.952789492Z' justification: unstructuredJustification: Adding missing file for service to work properly name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID privilegedAccess: gcpIamAccess: resource: //cloudresourcemanager.googleapis.com/projects/my-project resourceType: cloudresourcemanager.googleapis.com/Project roleBindings: - role: roles/storage.admin requestedDuration: 1800s requester: alex@example.com state: EXPIRED timeline: events: - eventTime: '2024-03-25T23:10:17.155612987Z' requested: expireTime: '2024-03-26T23:10:17.155612987Z' - eventTime: '2024-03-26T23:10:17.279777370Z' expired: {} updateTime: '2024-03-25T23:10:17.273416257Z'
REST
Mit der Methode getGrant
der Privileged Access Manager API wird eine bestimmte Gewährung abgerufen.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
SCOPE
: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
oderprojects/PROJECT_ID
. Projekt-IDs sind alphanumerische Strings, wiemy-project
. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012
.ENTITLEMENT_ID
: Die ID der Berechtigung, zu der die Gewährung gehört.GRANT_ID
: Die ID der Bewilligung, für die Sie die Details abrufen möchten.
HTTP-Methode und URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten in etwa folgende JSON-Antwort erhalten:
{ "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID", "createTime": "2024-03-06T03:08:49.330577625Z", "updateTime": "2024-03-06T03:08:49.625874598Z", "requester": "alex@example.com", "requestedDuration": "3600s", "justification": { "unstructuredJustification": "Emergency service for outage" }, "state": "APPROVAL_AWAITED", "timeline": { "events": [ { "eventTime": "2024-03-06T03:08:49.462765846Z", "requested": { "expireTime": "2024-03-07T03:08:49.462765846Z" } } ] }, "privilegedAccess": { "gcpIamAccess": { "resourceType": "cloudresourcemanager.googleapis.com/Project", "resource": "//cloudresourcemanager.googleapis.com/projects/my-project", "roleBindings": [ { "role": "roles/storage.admin" } ] } }, "additionalEmailRecipients": [ "bola@google.com" ] }