Berechtigungen in Privileged Access Manager aufrufen, aktualisieren und löschen

Nachdem Sie eine Berechtigung erstellt haben, können Sie sie aufrufen, aktualisieren oder löschen.

Hinweise

Privileged Access Manager muss aktiviert und Berechtigungen dafür eingerichtet sein.

Berechtigungen mit der Google Cloud Console ansehen, aktualisieren und löschen

Rufen Sie die Seite Privileged Access Manager auf.

Zu Privileged Access Manager
Wählen Sie die Organisation, den Ordner oder das Projekt aus, in dem Sie Berechtigungen verwalten möchten.
Klicken Sie auf dem Tab Berechtigungen auf den Tab Berechtigungen für alle Nutzer. Hier finden Sie die verfügbaren Berechtigungen, die Rollen, die sie gewähren, und die zulässigen Antragsteller und Genehmiger.
Klicken Sie in der Tabelle in der Zeile mit der Berechtigung, die Sie prüfen möchten, auf Weitere Optionen.
- Klicken Sie auf Berechtigungsdetails ansehen, um die Berechtigungsdetails aufzurufen.
- Klicken Sie auf Verknüpfte Erteilungen anzeigen, um sich die mit der Berechtigung verknüpften Erteilungen anzusehen.
- Wenn Sie alle aktiven Erteilungen für die Berechtigung widerrufen möchten, klicken Sie auf Alle Erteilungen widerrufen.
- Wenn Sie die Berechtigung löschen möchten, klicken Sie auf Berechtigung löschen. Berechtigungen mit aktiven Erteilungen können nicht gelöscht werden. Sie müssen die Erteilungen zuerst widerrufen.
Wenn Sie eine Berechtigung aktualisieren möchten, klicken Sie in derselben Zeile wie die Berechtigung, die Sie aktualisieren möchten, auf Berechtigung bearbeiten.

Beachten Sie beim Aktualisieren einer Berechtigung Folgendes:
- Die aktualisierte Berechtigungskonfiguration gilt nur für Erteilungen, die nach der Aktualisierung angefordert werden. Änderungen der Genehmiger wirken sich jedoch auch auf bestehende Anträge auf Erteilungen aus, die noch nicht genehmigt oder abgelehnt wurden.
- Beim Aktualisieren einer Berechtigung können Sie nicht ändern, ob eine Genehmigung erforderlich ist. Wenn Sie den Genehmigungsstatus ändern möchten, erstellen Sie stattdessen eine neue Berechtigung.
- Es kann einige Minuten dauern, bis Änderungen an den Antragstellern und Genehmigern einer Berechtigung übernommen werden.

Berechtigungen programmgesteuert ansehen

Wenn Sie Berechtigungen programmgesteuert aufrufen möchten, können Sie sie suchen, auflisten, abrufen und exportieren.

Berechtigungen auflisten

gcloud

Mit dem Befehl gcloud beta pam entitlements list werden Berechtigungen aufgelistet, die zu einem bestimmten Umfang gehören.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam entitlements list \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam entitlements list `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam entitlements list ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

additionalNotificationTargets:
  adminEmailRecipients:
  - alex@example.com
createTime: '2024-03-26T11:07:37.009498890Z'
eligibleUsers:
- principals:
  - user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 3600s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requesterJustificationConfig:
  unstructured: {}
state: AVAILABLE
updateTime: '2024-03-26T11:07:40.056780645Z'

REST

Die Methode listEntitlements der Privileged Access Manager API listet Berechtigungen auf, die zu einem bestimmten Umfang gehören.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

SCOPE: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
FILTER: Optional. Gibt Berechtigungen zurück, deren Feldwerte mit einem AIP-160-Ausdruck übereinstimmen.
PAGE_SIZE: Optional. Die Anzahl der Elemente, die in einer Antwort zurückgegeben werden sollen.
PAGE_TOKEN: Optional. Die Seite, mit der die Antwort beginnen soll, unter Verwendung eines Seitentokens, das in einer früheren Antwort zurückgegeben wurde.

HTTP-Methode und URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

[
  {
    "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
    "createTime": "2023-11-21T17:28:39.962144708Z",
    "updateTime": "2023-11-21T17:28:43.160309410Z",
    "eligibleUsers": [
      {
        "principals": [
          "user:alex@example.com"
        ]
      }
    ],
    "approvalWorkflow": {
      "manualApprovals": {
        "steps": [
          {
            "approvers": [
              {
                "principals": [
                  "user:bola@example.com"
                ]
              }
            ],
            "approvalsNeeded": 1
          }
        ]
      }
    },
    "privilegedAccess": {
      "gcpIamAccess": {
        "resourceType": "cloudresourcemanager.googleapis.com/Project",
        "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
        "roleBindings": [
          {
            "role": "roles/storage.admin"
          }
        ]
      }
    },
    "maxRequestDuration": "14400s",
    "state": "AVAILABLE",
    "requesterJustificationConfig": {
      "unstructured": {}
    },
    "additionalNotificationTargets": {
      "adminEmailRecipients": [
        "alex@example.com"
      ]
    },
    "etag": "00000000000000000000000000000000000000000000000000000000000="
  }
]

Berechtigungen abrufen

gcloud

Mit dem Befehl gcloud beta pam entitlements describe wird eine bestimmte Berechtigung abgerufen.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ENTITLEMENT_ID: Die ID der Berechtigung, für die Sie die Details abrufen möchten.
RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam entitlements describe \
    ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam entitlements describe `
    ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam entitlements describe ^
    ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

additionalNotificationTargets:
  adminEmailRecipients:
  - alex@example.com
createTime: '2024-03-26T11:07:37.009498890Z'
eligibleUsers:
- principals:
  - user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 3600s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requesterJustificationConfig:
  unstructured: {}
state: AVAILABLE
updateTime: '2024-03-26T11:07:40.056780645Z'

REST

Die Methode getEntitlement der Privileged Access Manager API ruft eine bestimmte Berechtigung ab.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

SCOPE: Die Organisation, der Ordner oder das Projekt, von dem die Berechtigung abgeleitet werden soll, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
ENTITLEMENT_ID: Die ID der Berechtigung, für die Sie die Details abrufen möchten.

HTTP-Methode und URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID"

PowerShell (Windows)

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
  "createTime": "2023-11-21T17:28:39.962144708Z",
  "updateTime": "2023-11-21T17:28:43.160309410Z",
  "eligibleUsers": [
    {
      "principals": [
        "user:alex@example.com"
      ]
    }
  ],
  "approvalWorkflow": {
    "manualApprovals": {
      "steps": [
        {
          "approvers": [
            {
              "principals": [
                "user:bola@example.com"
              ]
            }
          ],
          "approvalsNeeded": 1
        }
      ]
    }
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
      "roleBindings": [
        {
          "role": "roles/storage.admin"
        }
      ]
    }
  },
  "maxRequestDuration": "14400s",
  "state": "AVAILABLE",
  "requesterJustificationConfig": {
    "unstructured": {}
  },
  "additionalNotificationTargets": {
    "adminEmailRecipients": [
      "alex@example.com"
    ]
  },
  "etag": "00000000000000000000000000000000000000000000000000000000000="
}

Berechtigungen mit der gcloud CLI exportieren

Mit dem Befehl gcloud beta pam entitlements export wird eine bestimmte Berechtigung in eine YAML-Datei exportiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ENTITLEMENT_ID: Die ID der Exportberechtigung.
FILENAME: Der Dateiname, in den die Inhalte der Berechtigung exportiert werden sollen.
RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam entitlements export \
    ENTITLEMENT_ID \
    --destination=FILENAME.yaml \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam entitlements export `
    ENTITLEMENT_ID `
    --destination=FILENAME.yaml `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam entitlements export ^
    ENTITLEMENT_ID ^
    --destination=FILENAME.yaml ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Exported [projects/my-project/locations/global/entitlements/ENTITLEMENT_ID] to 'FILENAME.yaml'.

Berechtigungen programmatisch aktualisieren

Beachten Sie beim Aktualisieren einer Berechtigung Folgendes:

Die aktualisierte Berechtigungskonfiguration gilt nur für Erteilungen, die nach der Aktualisierung angefordert werden. Änderungen der Genehmiger wirken sich jedoch auch auf bestehende Anträge auf Erteilungen aus, die noch nicht genehmigt oder abgelehnt wurden.
Beim Aktualisieren einer Berechtigung können Sie nicht ändern, ob eine Genehmigung erforderlich ist. Wenn Sie den Genehmigungsstatus ändern möchten, erstellen Sie stattdessen eine neue Berechtigung.
Es kann einige Minuten dauern, bis Änderungen an den Antragstellern und Genehmigern einer Berechtigung übernommen werden.

gcloud

Mit dem Befehl gcloud beta pam entitlements update wird eine bestimmte Berechtigung aktualisiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ENTITLEMENT_ID: Die ID der Berechtigung, die aktualisiert werden soll.
RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
FILENAME: Eine Datei mit der geänderten Konfiguration der Berechtigung. Um diese Datei zu erstellen, rufen oder exportieren Sie die vorhandene Berechtigung ab, speichern Sie die Antwort in einer YAML-Datei und ändern Sie sie dann so, dass sie als Text der Aktualisierungsanfrage verwendet werden kann. Sie müssen den ETAG im Text angeben, um die neueste Version der Berechtigung zu aktualisieren. Informationen zu den verfügbaren Feldern, die Sie ändern oder hinzufügen können, finden Sie unter Berechtigungen programmatisch erstellen.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam entitlements update \
    ENTITLEMENT_ID \
    --entitlement-file=FILENAME.yaml \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam entitlements update `
    ENTITLEMENT_ID `
    --entitlement-file=FILENAME.yaml `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam entitlements update ^
    ENTITLEMENT_ID ^
    --entitlement-file=FILENAME.yaml ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Request issued for: [ENTITLEMENT_ID]
Waiting for operation [projects/my-project/locations/global/operations/OPERATION_ID] to complete...done.
Updated entitlement [ENTITLEMENT_ID].
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
  - user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requesterJustificationConfig:
  unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'

REST

Mit der Methode updateEntitlement der Privileged Access Manager API wird eine bestimmte Berechtigung aktualisiert.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

SCOPE: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
ENTITLEMENT_ID: Die ID der Berechtigung, die aktualisiert werden soll.
UPDATED_FIELDS: Eine durch Kommas getrennte Liste der Felder, die in der Berechtigung aktualisiert werden. Beispiel:
```
?updateMask=privilegedAccess,maxRequestDuration
```
Legen Sie für alle aktualisierbaren Felder die Aktualisierungsmaske auf * fest.
REQUEST_ID: Optional. Muss eine UUID mit einem Wert ungleich 0 sein. Wenn der Server eine Anfrage mit einer Anfrage-ID empfängt, wird geprüft, ob innerhalb der letzten 60 Minuten bereits eine andere Anfrage mit dieser ID abgeschlossen wurde. In diesem Fall wird die neue Anfrage ignoriert.
request.json: Eine Datei mit der geänderten Konfiguration der Berechtigung. Um diese Datei zu erstellen, rufen oder exportieren Sie die vorhandene Berechtigung ab, speichern Sie die Antwort in der Datei request.json und ändern Sie sie dann so, dass sie als Text der Aktualisierungsanfrage verwendet werden kann. Sie müssen den ETAG im Text angeben, um die neueste Version der Berechtigung zu aktualisieren. Informationen zu verfügbaren Feldern, die Sie ändern oder hinzufügen können, finden Sie unter Berechtigungen programmatisch erstellen.

HTTP-Methode und URL:

PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?updateMask=UPDATED_FIELDS&requestId=REQUEST_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?updateMask=UPDATED_FIELDS&requestId=REQUEST_ID"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?updateMask=UPDATED_FIELDS&requestId=REQUEST_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/my-project/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-25T01:55:02.544562950Z",
    "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Wenn Sie den Fortschritt eines Aktualisierungsvorgangs prüfen möchten, können Sie eine GET-Anfrage an den folgenden Endpunkt senden:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Senden Sie eine GET-Anfrage an den folgenden Endpunkt, um alle Vorgänge aufzulisten:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Berechtigungen programmatisch löschen

gcloud

Mit dem Befehl gcloud beta pam entitlements delete wird eine bestimmte Berechtigung gelöscht.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ENTITLEMENT_ID: Die ID der Berechtigung, die gelöscht werden soll.
RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam entitlements delete \
    ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam entitlements delete `
    ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam entitlements delete ^
    ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

Delete request issued for: [ENTITLEMENT_ID]
Waiting for operation [projects/my-project/locations/global/operations/OPERATION_ID] to complete...done.
Deleted entitlement [ENTITLEMENT_ID].

REST

Mit der Methode deleteEntitlement der Privileged Access Manager API wird eine bestimmte Berechtigung gelöscht.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

SCOPE: Die Organisation, der Ordner oder das Projekt, in dem die Berechtigung gelöscht werden soll, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
ENTITLEMENT_ID: Die ID der Berechtigung, die gelöscht werden soll.
REQUEST_ID: Optional. Muss eine UUID mit einem Wert ungleich 0 sein. Wenn der Server eine Anfrage mit einer Anfrage-ID empfängt, wird geprüft, ob innerhalb der letzten 60 Minuten bereits eine andere Anfrage mit dieser ID abgeschlossen wurde. In diesem Fall wird die neue Anfrage ignoriert.

HTTP-Methode und URL:

DELETE https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?requestId=REQUEST_ID

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Führen Sie folgenden Befehl aus:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?requestId=REQUEST_ID"

PowerShell (Windows)

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?requestId=REQUEST_ID" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/my-project/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-06T02:28:28.020293460Z",
    "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Wenn Sie den Fortschritt eines Löschvorgangs prüfen möchten, können Sie eine GET-Anfrage an den folgenden Endpunkt senden:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Senden Sie eine GET-Anfrage an den folgenden Endpunkt, um alle Vorgänge aufzulisten:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations