Setelah membuat hak, Anda dapat melihat, memperbarui, atau menghapusnya.
Sebelum memulai
Pastikan Anda telah mengaktifkan Privileged Access Manager dan menyiapkan izin untuknya.
Melihat, memperbarui, dan menghapus hak menggunakan konsol Google Cloud
Buka halaman Privileged Access Manager.
Pilih organisasi, folder, atau project tempat Anda ingin mengelola hak hak.
Di tab Hak, klik tab Hak untuk semua pengguna. Di sini Anda dapat menemukan hak yang tersedia, peran yang diberikan, dan peminta serta pemberi persetujuan yang valid.
Pada tabel, klik
Opsi lainnya di baris yang sama dengan hak yang ingin Anda periksa.Untuk melihat detail hak, klik Lihat detail hak.
Untuk melihat hibah yang terkait dengan hak, klik Lihat hibah terkait.
Untuk mencabut semua pemberian yang aktif untuk hak, klik Cabut semua pemberian.
Untuk menghapus hak, klik Hapus hak. Anda tidak dapat menghapus hak dengan hibah yang aktif. Anda harus mencabut pemberian izin terlebih dahulu.
Untuk memperbarui hak, klik
Edit hak di baris yang sama dengan hak yang ingin Anda perbarui.Perhatikan hal-hal berikut saat memperbarui hak:
Konfigurasi hak yang diperbarui hanya berlaku untuk hibah yang diminta setelah update dilakukan. Namun, perubahan pemberi persetujuan juga berlaku untuk permintaan grant yang sudah ada dan belum disetujui atau ditolak.
Saat memperbarui hak, Anda tidak dapat mengubah apakah persetujuan diperlukan atau tidak. Jika Anda perlu mengubah status persetujuan, buat hak baru.
Perubahan pada pemohon dan pemberi persetujuan hak mungkin memerlukan waktu beberapa menit untuk diterapkan.
Melihat hak secara terprogram
Untuk melihat hak secara terprogram, Anda dapat menelusuri, membuat daftar, mendapatkan, dan mengekspornya.
Mencantumkan hak
gcloud
Perintah
gcloud beta pam entitlements list
mencantumkan hak yang termasuk dalam cakupan
tertentu.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
RESOURCE_TYPE
: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilaiorganization
,folder
, atauproject
.RESOURCE_ID
: Digunakan denganRESOURCE_TYPE
. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, sepertimy-project
. Folder dan ID organisasi berupa numerik, seperti123456789012
.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta pam entitlements list \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam entitlements list ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam entitlements list ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
additionalNotificationTargets: adminEmailRecipients: - alex@example.com createTime: '2024-03-26T11:07:37.009498890Z' eligibleUsers: - principals: - user:bola@example.com etag: 00000000000000000000000000000000000000000000000000000000000= maxRequestDuration: 3600s name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID privilegedAccess: gcpIamAccess: resource: //cloudresourcemanager.googleapis.com/projects/my-project resourceType: cloudresourcemanager.googleapis.com/Project roleBindings: - role: roles/storage.admin requesterJustificationConfig: unstructured: {} state: AVAILABLE updateTime: '2024-03-26T11:07:40.056780645Z'
REST
Metode
listEntitlements
Privileged Access Manager API mencantumkan hak yang termasuk dalam cakupan
tertentu.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE
: Organisasi, folder, atau project tempat hak berada, dalam formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
, atauprojects/PROJECT_ID
. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa angka, seperti123456789012
.FILTER
: Opsional. Menampilkan hak yang nilai kolomnya cocok dengan ekspresi AIP-160.PAGE_SIZE
: Opsional. Jumlah item yang akan ditampilkan dalam respons.PAGE_TOKEN
: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.
Metode HTTP dan URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
[ { "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID", "createTime": "2023-11-21T17:28:39.962144708Z", "updateTime": "2023-11-21T17:28:43.160309410Z", "eligibleUsers": [ { "principals": [ "user:alex@example.com" ] } ], "approvalWorkflow": { "manualApprovals": { "steps": [ { "approvers": [ { "principals": [ "user:bola@example.com" ] } ], "approvalsNeeded": 1 } ] } }, "privilegedAccess": { "gcpIamAccess": { "resourceType": "cloudresourcemanager.googleapis.com/Project", "resource": "//cloudresourcemanager.googleapis.com/projects/my-project", "roleBindings": [ { "role": "roles/storage.admin" } ] } }, "maxRequestDuration": "14400s", "state": "AVAILABLE", "requesterJustificationConfig": { "unstructured": {} }, "additionalNotificationTargets": { "adminEmailRecipients": [ "alex@example.com" ] }, "etag": "00000000000000000000000000000000000000000000000000000000000=" } ]
Mendapatkan hak
gcloud
Perintah
gcloud beta pam entitlements describe
mengambil hak tertentu.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
ENTITLEMENT_ID
: ID hak yang detailnya ingin Anda ketahui.RESOURCE_TYPE
: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilaiorganization
,folder
, atauproject
.RESOURCE_ID
: Digunakan denganRESOURCE_TYPE
. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, sepertimy-project
. Folder dan ID organisasi berupa numerik, seperti123456789012
.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta pam entitlements describe \ ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam entitlements describe ` ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam entitlements describe ^ ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
additionalNotificationTargets: adminEmailRecipients: - alex@example.com createTime: '2024-03-26T11:07:37.009498890Z' eligibleUsers: - principals: - user:bola@example.com etag: 00000000000000000000000000000000000000000000000000000000000= maxRequestDuration: 3600s name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID privilegedAccess: gcpIamAccess: resource: //cloudresourcemanager.googleapis.com/projects/my-project resourceType: cloudresourcemanager.googleapis.com/Project roleBindings: - role: roles/storage.admin requesterJustificationConfig: unstructured: {} state: AVAILABLE updateTime: '2024-03-26T11:07:40.056780645Z'
REST
Metode
getEntitlement
Privileged Access Manager API mengambil hak tertentu.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE
: Organisasi, folder, atau project tempat mendapatkan hak, dalam formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
, atauprojects/PROJECT_ID
. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa angka, seperti123456789012
.ENTITLEMENT_ID
: ID hak yang detailnya Anda inginkan.
Metode HTTP dan URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{ "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID", "createTime": "2023-11-21T17:28:39.962144708Z", "updateTime": "2023-11-21T17:28:43.160309410Z", "eligibleUsers": [ { "principals": [ "user:alex@example.com" ] } ], "approvalWorkflow": { "manualApprovals": { "steps": [ { "approvers": [ { "principals": [ "user:bola@example.com" ] } ], "approvalsNeeded": 1 } ] } }, "privilegedAccess": { "gcpIamAccess": { "resourceType": "cloudresourcemanager.googleapis.com/Project", "resource": "//cloudresourcemanager.googleapis.com/projects/my-project", "roleBindings": [ { "role": "roles/storage.admin" } ] } }, "maxRequestDuration": "14400s", "state": "AVAILABLE", "requesterJustificationConfig": { "unstructured": {} }, "additionalNotificationTargets": { "adminEmailRecipients": [ "alex@example.com" ] }, "etag": "00000000000000000000000000000000000000000000000000000000000=" }
Mengekspor hak menggunakan gcloud CLI
Perintah
gcloud beta pam entitlements export
mengekspor hak tertentu ke file
YAML.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
ENTITLEMENT_ID
: ID hak untuk diekspor.FILENAME
: Nama file untuk mengekspor konten hak.RESOURCE_TYPE
: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilaiorganization
,folder
, atauproject
.RESOURCE_ID
: Digunakan denganRESOURCE_TYPE
. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, sepertimy-project
. Folder dan ID organisasi berupa numerik, seperti123456789012
.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta pam entitlements export \ ENTITLEMENT_ID \ --destination=FILENAME.yaml \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam entitlements export ` ENTITLEMENT_ID ` --destination=FILENAME.yaml ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam entitlements export ^ ENTITLEMENT_ID ^ --destination=FILENAME.yaml ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
Exported [projects/my-project/locations/global/entitlements/ENTITLEMENT_ID] to 'FILENAME.yaml'.
Memperbarui hak secara terprogram
Perhatikan hal-hal berikut saat memperbarui hak:
Konfigurasi hak yang diperbarui hanya berlaku untuk hibah yang diminta setelah update dilakukan. Namun, perubahan pemberi persetujuan juga berlaku untuk permintaan grant yang sudah ada dan belum disetujui atau ditolak.
Saat memperbarui hak, Anda tidak dapat mengubah apakah persetujuan diperlukan atau tidak. Jika Anda perlu mengubah status persetujuan, buat hak baru.
Perubahan pada pemohon dan pemberi persetujuan hak mungkin memerlukan waktu beberapa menit untuk diterapkan.
gcloud
Perintah
gcloud beta pam entitlements update
memperbarui hak tertentu.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
ENTITLEMENT_ID
: ID hak yang akan diperbarui.RESOURCE_TYPE
: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilaiorganization
,folder
, atauproject
.RESOURCE_ID
: Digunakan denganRESOURCE_TYPE
. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, sepertimy-project
. Folder dan ID organisasi berupa numerik, seperti123456789012
.FILENAME
: File yang berisi konfigurasi hak yang diubah. Untuk membuat file ini, dapatkan atau ekspor hak yang ada, simpan respons dalam file YAML, lalu ubah untuk digunakan sebagai isi permintaan pembaruan Anda. Anda harus menyertakan ETAG dalam isi untuk memperbarui versi terbaru hak. Untuk kolom yang tersedia yang dapat Anda ubah atau tambahkan, lihat Membuat hak secara terprogram.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta pam entitlements update \ ENTITLEMENT_ID \ --entitlement-file=FILENAME.yaml \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam entitlements update ` ENTITLEMENT_ID ` --entitlement-file=FILENAME.yaml ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam entitlements update ^ ENTITLEMENT_ID ^ --entitlement-file=FILENAME.yaml ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
Request issued for: [ENTITLEMENT_ID] Waiting for operation [projects/my-project/locations/global/operations/OPERATION_ID] to complete...done. Updated entitlement [ENTITLEMENT_ID]. approvalWorkflow: manualApprovals: requireApproverJustification: true steps: - approvalsNeeded: 1 approvers: - principals: - user:alex@example.com createTime: '2024-04-09T02:39:37.011866832Z' eligibleUsers: - principals: - user:bola@example.com etag: 00000000000000000000000000000000000000000000000000000000000= maxRequestDuration: 7200s name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID privilegedAccess: gcpIamAccess: resource: //cloudresourcemanager.googleapis.com/projects/my-project resourceType: cloudresourcemanager.googleapis.com/Project roleBindings: - role: roles/storage.admin requesterJustificationConfig: unstructured: {} state: AVAILABLE updateTime: '2024-04-09T02:39:40.066770306Z'
REST
Metode
updateEntitlement
Privileged Access Manager API memperbarui hak tertentu.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE
: Organisasi, folder, atau project tempat hak berada, dalam formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
, atauprojects/PROJECT_ID
. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa angka, seperti123456789012
.ENTITLEMENT_ID
: ID hak yang akan diperbarui.-
UPDATED_FIELDS
: Daftar kolom yang dipisahkan koma yang diperbarui dalam hak. Contoh:?updateMask=privilegedAccess,maxRequestDuration
Untuk semua kolom yang dapat diperbarui, tetapkan mask pembaruan ke
*
. REQUEST_ID
: Opsional. Harus berupa UUID yang bukan nol. Jika server menerima permintaan dengan ID permintaan, server akan memeriksa apakah permintaan lain dengan ID tersebut telah selesai dalam 60 menit terakhir. Jika demikian, permintaan baru akan diabaikan.request.json
: File yang berisi konfigurasi hak yang diubah. Untuk membuat file ini, dapatkan atau ekspor hak yang ada, simpan respons dalam file bernamarequest.json
, lalu ubah untuk digunakan sebagai isi permintaan pembaruan Anda. Anda harus menyertakan ETAG dalam isi untuk mengupdate hak versi terbaru. Untuk kolom yang tersedia yang dapat Anda ubah atau tambah, lihat Membuat hak secara terprogram.
Metode HTTP dan URL:
PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?updateMask=UPDATED_FIELDS&requestId=REQUEST_ID
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{ "name": "projects/my-project/locations/global/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata", "createTime": "2024-03-25T01:55:02.544562950Z", "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID", "verb": "update", "requestedCancellation": false, "apiVersion": "v1beta" }, "done": false }
Untuk memeriksa progres operasi update, Anda dapat mengirim permintaan GET
ke endpoint berikut:
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID
Kirim permintaan GET
ke endpoint berikut untuk mencantumkan semua operasi:
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations
Menghapus hak secara terprogram
gcloud
Perintah
gcloud beta pam entitlements delete
akan menghapus hak tertentu.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
ENTITLEMENT_ID
: ID hak yang akan dihapus.RESOURCE_TYPE
: Opsional. Jenis resource yang menjadi milik hak. Gunakan nilaiorganization
,folder
, atauproject
.RESOURCE_ID
: Digunakan denganRESOURCE_TYPE
. ID project, folder, atau organisasi Google Cloud yang haknya ingin Anda kelola. Project ID adalah string alfanumerik, sepertimy-project
. Folder dan ID organisasi berupa numerik, seperti123456789012
.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud beta pam entitlements delete \ ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud beta pam entitlements delete ` ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud beta pam entitlements delete ^ ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
Delete request issued for: [ENTITLEMENT_ID] Waiting for operation [projects/my-project/locations/global/operations/OPERATION_ID] to complete...done. Deleted entitlement [ENTITLEMENT_ID].
REST
Metode
deleteEntitlement
Privileged Access Manager API menghapus hak tertentu.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE
: Organisasi, folder, atau project tempat hak akan dihapus, dalam formatorganizations/ORGANIZATION_ID
,folders/FOLDER_ID
, atauprojects/PROJECT_ID
. Project ID adalah string alfanumerik, sepertimy-project
. ID folder dan organisasi berupa angka, seperti123456789012
.ENTITLEMENT_ID
: ID hak yang akan dihapus.REQUEST_ID
: Opsional. Harus berupa UUID yang bukan nol. Jika server menerima permintaan dengan ID permintaan, server akan memeriksa apakah permintaan lain dengan ID tersebut telah selesai dalam 60 menit terakhir. Jika demikian, permintaan baru akan diabaikan.
Metode HTTP dan URL:
DELETE https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?requestId=REQUEST_ID
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{ "name": "projects/my-project/locations/global/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata", "createTime": "2024-03-06T02:28:28.020293460Z", "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID", "verb": "delete", "requestedCancellation": false, "apiVersion": "v1beta" }, "done": false }
Untuk memeriksa progres operasi penghapusan, Anda dapat mengirim permintaan GET
ke endpoint berikut:
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID
Kirim permintaan GET
ke endpoint berikut untuk mencantumkan semua
operasi:
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations