Berechtigungen in Privileged Access Manager ansehen

Sie können den Status und den Verlauf einer Berechtigung einsehen oder eine Berechtigung für andere Hauptbevollmächtigte widerrufen, wenn sie aktiv ist. Der Zuschussverlauf ist 30 Tage nach Ablauf eines Zuschusses verfügbar.

Hinweise

Privileged Access Manager muss aktiviert und Berechtigungen dafür eingerichtet sein.

Berechtigungen mit der Google Cloud Console ansehen

So rufen Sie eine Berechtigung auf:

  1. Rufen Sie die Seite Privileged Access Manager auf.

    Zu Privileged Access Manager

  2. Wählen Sie die Organisation, den Ordner oder das Projekt aus, für das Sie die Zuweisungen aufrufen möchten.

  3. Klicken Sie auf den Tab Genehmigungen und dann auf den Tab Genehmigungen für alle Nutzer. Dieser Tab enthält alle Zuweisungen, die Antragsteller für diese Zuweisungen und den Status der Zuweisung. Gewährungen können folgende Status haben:

    Status Beschreibung
    Wird aktiviert Die Gewährung wird gerade aktiviert.
    Aktivierung fehlgeschlagen Der Privileged Access Manager konnte die Rollen aufgrund eines nicht wiederholbaren Fehlers nicht gewähren.
    Aktiv Die Gewährung ist aktiv und das Hauptkonto hat Zugriff auf die durch die Rollen zulässigen Ressourcen.
    Genehmigung ausstehend Für den Gewährungsantrag steht noch eine Entscheidung des Genehmigers aus.
    Abgelehnt Der Antrag auf Gewährung wurde von einem Genehmiger abgelehnt.
    Beendet Die Gewährung ist abgelaufen und die Rollen wurden vom Hauptkonto entfernt.
    Abgelaufen Der Antrag auf Gewährung ist abgelaufen, da er nicht innerhalb von 24 Stunden genehmigt wurde.
    Gesperrt Die Gewährung wird widerrufen und das Hauptkonto hat keinen Zugriff mehr auf die durch die Rollen zulässigen Ressourcen.
    Widerruf Die Gewährung wird gerade widerrufen.

    Statuslabels

    Zusätzlich zu diesen Status können Zuschüsse neben dem Status die folgenden Statuslabels haben, die auf besondere Bedingungen hinweisen:

    Über IAM geändert

    Die mit dieser Berechtigung verknüpften IAM-Richtlinienbindungen wurden direkt über IAM geändert. Weitere Informationen zu geänderten Bindungen finden Sie auf der IAM-Seite in der Google Cloud Console. Wenn eine geänderte Berechtigung widerrufen oder abläuft, entfernt Privileged Access Manager nur die von ihm erstellten Bindungen, die nicht über IAM geändert wurden.

    Das Ändern des Titels oder Ausdrucks der IAM-Bedingung oder das Entfernen des Zugriffs des Antragstellers auf die gewährte Rolle wird als externe Änderung behandelt. Das Hinzufügen oder Ändern der IAM-Bedingungsbeschreibung gilt nicht als externe Änderung.

    Privileged Access Manager prüft alle 5 Minuten auf externe Änderungen an Berechtigungen. Es kann bis zu 5 Minuten dauern, bis diese Änderungen zu sehen sind. Vorübergehende Änderungen, die innerhalb dieses 5-Minuten-Zeitraums vorgenommen und rückgängig gemacht werden, werden vom Privileged Access Manager möglicherweise nicht erkannt.

  4. Klicken Sie in der Tabelle in der Zeile mit der Berechtigung, die Sie prüfen möchten, auf Weitere Optionen.

    • Klicken Sie auf Details ansehen, um die Details zur Förderung einschließlich des Verlaufs aufzurufen. In diesem Bereich können Sie auch eine Berechtigung widerrufen.

    • Wenn Sie eine aktive Genehmigung widerrufen möchten, klicken Sie auf Genehmigung widerrufen.

Sie können vorübergehend gewährte Rollen auch auf der IAM-Seite in der Google Cloud Console aufrufen. Auf dem Tab Nach Hauptkonten ansehen haben vorübergehend gewährte Rollen die Bedingung Erstellt von: PAM.

Gewährungen programmatisch ansehen

Sie können Zuschüsse programmatisch aufrufen, indem Sie nach ihnen suchen, sie auflisten und abrufen.

Suchzuweisungen

gcloud

Mit dem Befehl gcloud beta pam grants search wird nach einer von Ihnen erstellten Gewährung gesucht, die Sie genehmigen oder ablehnen können oder die Sie bereits genehmigt oder abgelehnt haben. Für diese Methode sind keine speziellen Privileged Access Manager-Berechtigungen erforderlich.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie Berechtigungen ansehen.
  • CALLER_RELATIONSHIP_TYPE: Verwenden Sie einen der folgenden Werte: .

    • had-created: Gibt Gewährungen zurück, die der Aufrufer erstellt hat.
    • had-approved: Gibt Gewährungen zurück, die der Aufrufer genehmigt oder abgelehnt hat.
    • can-approve: Gibt Gewährungen zurück, die der Aufrufer genehmigen oder ablehnen kann.
  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=CALLER_RELATIONSHIP_TYPE \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=CALLER_RELATIONSHIP_TYPE `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=CALLER_RELATIONSHIP_TYPE ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

REST

Mit der Methode searchGrants der Privileged Access Manager API wird nach einer von Ihnen erstellten Gewährung gesucht, die Sie genehmigen oder ablehnen können oder die bereits genehmigt oder abgelehnt wurde. Für diese Methode sind keine speziellen Privileged Access Manager-Berechtigungen erforderlich.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie Berechtigungen ansehen.
  • RELATIONSHIP_TYPE: Gültige Werte sind:
    • HAD_CREATED: Gibt Gewährungen zurück, die der Aufrufer erstellt hat.
    • HAD_APPROVED: Gibt Gewährungen zurück, die der Aufrufer zuvor genehmigt oder abgelehnt hat.
    • CAN_APPROVE: Gibt Gewährungen zurück, die der Aufrufer genehmigen oder ablehnen kann.
  • FILTER: Optional. Es werden Gewährungen zurückgegeben, deren Feldwerte mit einem AIP-160-Ausdruck übereinstimmen.
  • PAGE_SIZE: Optional. Die Anzahl der Elemente, die in einer Antwort zurückgegeben werden sollen.
  • PAGE_TOKEN: Optional. Die Seite, mit der die Antwort beginnen soll, unter Verwendung eines Seitentokens, das in einer früheren Antwort zurückgegeben wurde.

HTTP-Methode und URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "grants": [
    {
      "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
          "roleBindings": [
            {
              "role": "roles/storage.admin"
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Zuweisungen auflisten

gcloud

Mit dem Befehl gcloud beta pam grants list werden Berechtigungen aufgelistet, die zu einer bestimmten Berechtigung gehören.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie Berechtigungen ansehen.
  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam grants list \
    --entitlement=ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants list `
    --entitlement=ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants list ^
    --entitlement=ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

createTime: '2024-03-25T23:10:16.952789492Z'
justification:
  unstructuredJustification: Adding missing file for service to work properly
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 1800s
requester: alex@example.com
state: EXPIRED
timeline:
  events:
  - eventTime: '2024-03-25T23:10:17.155612987Z'
    requested:
      expireTime: '2024-03-26T23:10:17.155612987Z'
  - eventTime: '2024-03-26T23:10:17.279777370Z'
    expired: {}
updateTime: '2024-03-25T23:10:17.273416257Z'

REST

Die Methode listGrants der Privileged Access Manager API listet Berechtigungen auf, die zu einer bestimmten Berechtigung gehören.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie Berechtigungen ansehen.
  • FILTER: Optional. Es werden Zuweisungen zurückgegeben, deren Feldwerte mit einem AIP-160-Ausdruck übereinstimmen.
  • PAGE_SIZE: Optional. Die Anzahl der Elemente, die in einer Antwort zurückgegeben werden sollen.
  • PAGE_TOKEN: Optional. Die Seite, mit der die Antwort beginnen soll, unter Verwendung eines Seitentokens, das in einer früheren Antwort zurückgegeben wurde.

HTTP-Methode und URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "grants": [
    {
      "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
          "roleBindings": [
            {
              "role": "roles/storage.admin"
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Zuschüsse erhalten

gcloud

Mit dem Befehl gcloud beta pam grants describe wird eine bestimmte Berechtigung abgerufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • GRANT_ID: Die ID der Zuweisung, für die Sie die Details abrufen möchten.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört.
  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam grants describe \
    GRANT_ID \
    --entitlement=ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants describe `
    GRANT_ID `
    --entitlement=ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants describe ^
    GRANT_ID ^
    --entitlement=ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

createTime: '2024-03-25T23:10:16.952789492Z'
justification:
  unstructuredJustification: Adding missing file for service to work properly
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 1800s
requester: alex@example.com
state: EXPIRED
timeline:
  events:
  - eventTime: '2024-03-25T23:10:17.155612987Z'
    requested:
      expireTime: '2024-03-26T23:10:17.155612987Z'
  - eventTime: '2024-03-26T23:10:17.279777370Z'
    expired: {}
updateTime: '2024-03-25T23:10:17.273416257Z'

REST

Mit der Methode getGrant der Privileged Access Manager API wird eine bestimmte Gewährung abgerufen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört.
  • GRANT_ID: Die ID der Bewilligung, für die Sie die Details abrufen möchten.

HTTP-Methode und URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
  "createTime": "2024-03-06T03:08:49.330577625Z",
  "updateTime": "2024-03-06T03:08:49.625874598Z",
  "requester": "alex@example.com",
  "requestedDuration": "3600s",
  "justification": {
    "unstructuredJustification": "Emergency service for outage"
  },
  "state": "APPROVAL_AWAITED",
  "timeline": {
    "events": [
      {
        "eventTime": "2024-03-06T03:08:49.462765846Z",
        "requested": {
          "expireTime": "2024-03-07T03:08:49.462765846Z"
        }
      }
    ]
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
      "roleBindings": [
        {
          "role": "roles/storage.admin"
        }
      ]
    }
  },
  "additionalEmailRecipients": [
    "bola@google.com"
  ]
}