Gewährungen mit Privileged Access Manager genehmigen oder ablehnen

Nachdem eine Berechtigung erstellt wurde, können ausgewählte Hauptkonten eine Gewährung für diese Berechtigung beantragen. Wenn für diese Berechtigung ein Genehmigungsworkflow angegeben ist, können ausgewählte Hauptkonten, die als Genehmiger eingerichtet sind, Gewährungsanfragen für diese Berechtigung genehmigen oder ablehnen.

Beachten Sie Folgendes, wenn Sie einen Antrag auf Gewährung einer Berechtigung genehmigen oder ablehnen:

  • Sie können Ihre eigene Anfrage nicht genehmigen.

  • Wenn eine Anfrage nicht innerhalb von 24 Stunden genehmigt oder abgelehnt wird, wird der Status der Gewährung in expired geändert. Danach muss ein Hauptkonto eine neue Gewährungsanfrage beantragen, wenn die Berechtigungserhöhung weiterhin erforderlich ist.

Gewährungen mit der Google Cloud Console genehmigen oder ablehnen

So genehmigen oder lehnen Sie einen Antrag auf Gewährung der Berechtigung ab:

  1. Rufen Sie die Seite Privileged Access Manager auf.

    Zu Privileged Access Manager

  2. Klicken Sie auf den Tab Gewährungen genehmigen und dann auf den Tab Ausstehende Genehmigung.

  3. Klicken Sie in der Zeile mit der Anfrage, die Sie genehmigen oder ablehnen möchten, auf Genehmigen/Ablehnen.

  4. Wenn eine Begründung erforderlich ist, geben Sie sie in das Feld Kommentar ein.

  5. Klicken Sie auf Genehmigen oder Ablehnen.

Ihren Genehmigungsverlauf finden Sie auf dem Tab Mein Genehmigungsverlauf. Der Genehmigungsverlauf ist 30 Tage lang nach einer Genehmigungsaktion verfügbar.

Gewährungen programmatisch genehmigen oder ablehnen

So genehmigen oder lehnen Sie Gewährungen ab:

  1. Suchen Sie nach Berechtigungen, für die Sie als Genehmiger festgelegt sind.

  2. Suchen Sie mit der entsprechenden Berechtigungs-ID nach Gewährungsanfragen, die Sie genehmigen oder ablehnen können.

  3. Genehmigen oder lehnen Sie die Gewährungsanfragen ab.

Nach Berechtigungen suchen, für die Sie Genehmiger sind

gcloud

Mit dem Befehl gcloud beta pam entitlements search und dem Aufruferzugriffstyp grant-approver wird nach Berechtigungen gesucht, für die Sie ein Genehmiger sind.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam entitlements search \
    --caller-access-type=grant-approver \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam entitlements search `
    --caller-access-type=grant-approver `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam entitlements search ^
    --caller-access-type=grant-approver ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '22024-03-26T11:07:37.009498890Z'
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 3600s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requesterJustificationConfig:
  notMandatory: {}
state: AVAILABLE
updateTime: '2024-03-26T11:07:40.056780645Z'

REST

Mit der Methode searchEntitlements der Privileged Access Manager API mit dem Aufruferzugriffstyp GRANT_APPROVER können Sie nach Berechtigungen suchen, für die Sie eine Genehmigungsberechtigung haben.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • FILTER: Optional. Gibt Berechtigungen zurück, deren Feldwerte mit einem AIP-160-Ausdruck übereinstimmen.
  • PAGE_SIZE: Optional. Die Anzahl der Elemente, die in einer Antwort zurückgegeben werden sollen.
  • PAGE_TOKEN: Optional. Die Seite, mit der die Antwort beginnen soll, unter Verwendung eines Seitentokens, das in einer früheren Antwort zurückgegeben wurde.

HTTP-Methode und URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_APPROVER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

[
  {
    "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
    "createTime": "2023-11-21T17:28:39.962144708Z",
    "updateTime": "2023-11-21T17:28:43.160309410Z",
    "eligibleUsers": [
      {
        "principals": [
          "user:alex@example.com"
        ]
      }
    ],
    "approvalWorkflow": {
      "manualApprovals": {
        "steps": [
          {
            "approvers": [
              {
                "principals": [
                  "user:bola@example.com"
                ]
              }
            ],
            "approvalsNeeded": 1
          }
        ]
      }
    },
    "privilegedAccess": {
      "gcpIamAccess": {
        "resourceType": "cloudresourcemanager.googleapis.com/Project",
        "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
        "roleBindings": [
          {
            "role": "roles/storage.admin"
          }
        ]
      }
    },
    "maxRequestDuration": "14400s",
    "state": "AVAILABLE",
    "requesterJustificationConfig": {
      "unstructured": {}
    },
    "additionalNotificationTargets": {
      "adminEmailRecipients": [
        "alex@example.com"
      ]
    },
    "etag": "00000000000000000000000000000000000000000000000000000000000="
  }
]

Nach Gewährungsanträgen suchen, die Sie genehmigen oder ablehnen können

gcloud

Mit dem Befehl gcloud beta pam grants search wird nach einer Gewährung gesucht, die Sie genehmigen oder ablehnen können oder die Sie bereits genehmigt oder abgelehnt haben. Für diese Methode sind keine speziellen Berechtigungen für Privileged Access Manager erforderlich.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie nach Berechtigungen suchen, für die Sie ein Genehmiger sind.
  • CALLER_RELATIONSHIP_TYPE: Verwenden Sie einen der folgenden Werte: .

    • had-approved: Gibt Berechtigungen zurück, die der Aufrufer genehmigt oder abgelehnt hat.
    • can-approve: Gibt Berechtigungen zurück, die der Aufrufer genehmigen oder ablehnen kann.
  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=CALLER_RELATIONSHIP_TYPE \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=CALLER_RELATIONSHIP_TYPE `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=CALLER_RELATIONSHIP_TYPE ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

REST

Mit der Methode searchGrants der Privileged Access Manager API wird nach einer Gewährung gesucht, die Sie genehmigen oder ablehnen können oder die bereits genehmigt oder abgelehnt wurde. Für diese Methode sind keine speziellen Berechtigungen für Privileged Access Manager erforderlich.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Gewährung gehört. Sie können die ID abrufen, indem Sie nach Berechtigungen suchen, für die Sie ein Genehmiger sind.
  • RELATIONSHIP_TYPE: Gültige Werte sind:
    • HAD_APPROVED: Gibt Gewährungen zurück, die der Aufrufer zuvor genehmigt oder abgelehnt hat.
    • CAN_APPROVE: Gibt Gewährungen zurück, die der Aufrufer genehmigen oder ablehnen kann.
  • FILTER: Optional. Es werden Gewährungen zurückgegeben, deren Feldwerte mit einem AIP-160-Ausdruck übereinstimmen.
  • PAGE_SIZE: Optional. Die Anzahl der Elemente, die in einer Antwort zurückgegeben werden sollen.
  • PAGE_TOKEN: Optional. Die Seite, mit der die Antwort beginnen soll, unter Verwendung eines Seitentokens, das in einer früheren Antwort zurückgegeben wurde.

HTTP-Methode und URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "grants": [
    {
      "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
          "roleBindings": [
            {
              "role": "roles/storage.admin"
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Gewährungen programmatisch genehmigen

gcloud

Mit dem Befehl gcloud beta pam grants describe wird ein bestimmter Gewährungsantrag genehmigt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • GRANT_ID: Die ID der Gewährung, die Sie genehmigen. Sie können die ID abrufen, indem Sie nach Gewährungsanträgen suchen, die Sie genehmigen oder ablehnen können.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Genehmigung gehört.
  • APPROVAL_REASON: Warum die Gewährung genehmigt wurde.
  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam grants approve \
    GRANT_ID \
    --entitlement=ENTITLEMENT_ID \
    --reason="APPROVAL_REASON" \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants approve `
    GRANT_ID `
    --entitlement=ENTITLEMENT_ID `
    --reason="APPROVAL_REASON" `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants approve ^
    GRANT_ID ^
    --entitlement=ENTITLEMENT_ID ^
    --reason="APPROVAL_REASON" ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

createTime: '2024-04-05T01:17:04.596455403Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 2700s
requester: cruz@example.com
state: SCHEDULED
timeline:
  events:
  - eventTime: '2024-04-05T01:17:04.732226659Z'
    requested:
      expireTime: '2024-04-06T01:17:04.732226659Z'
  - approved:
      actor: alex@example.com
      reason: Access allowed under existing policy
    eventTime: '2024-04-05T01:21:49.139539732Z'
  - eventTime: '2024-04-05T01:21:49.139463954Z'
    scheduled:
      scheduledActivationTime: '2024-04-05T01:21:49.139463954Z'
updateTime: '2024-04-05T01:21:49.139463954Z'

REST

Mit der Methode approveGrant der Privileged Access Manager API wird ein bestimmter Gewährungsantrag genehmigt.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Genehmigung gehört.
  • GRANT_ID: Die ID der Gewährung, die Sie genehmigen. Sie können die ID abrufen, indem Sie nach Gewährungsanträgen suchen, die Sie genehmigen oder ablehnen können.
  • REASON: Der Grund, warum der Antrag auf Gewährung genehmigt wurde.

HTTP-Methode und URL:

POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:approve

JSON-Text anfordern:

{
    "reason": "REASON"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
  "createTime": "2024-03-06T03:08:49.330577625Z",
  "updateTime": "2024-03-06T23:01:13.964619844Z",
  "requester": "alex@example.com",
  "requestedDuration": "3600s",
  "justification": {
    "unstructuredJustification": "Emergency service for outage"
  },
  "state": "SCHEDULED",
  "timeline": {
    "events": [
      {
        "eventTime": "2024-03-06T03:08:49.462765846Z",
        "requested": {
          "expireTime": "2024-03-07T03:08:49.462765846Z"
        }
      },
      {
        "eventTime": "2024-03-06T23:01:13.964685709Z",
        "approved": {
          "reason": "Approved escalation",
          "actor": "cruz@example.com"
        }
      },
      {
        "eventTime": "2024-03-06T23:01:13.964619844Z",
        "scheduled": {
          "scheduledActivationTime": "2024-03-06T23:01:13.964619844Z"
        }
      }
    ]
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
      "roleBindings": [
        {
          "role": "roles/storage.admin"
        }
      ]
    }
  },
  "additionalEmailRecipients": [
    "bola@example.com.com"
  ]
}

Gewährungen programmatisch verweigern

gcloud

Mit dem Befehl gcloud beta pam grants describe wird ein bestimmter Gewährungsantrag abgelehnt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • GRANT_ID: Die ID der Gewährung, die Sie ablehnen. Sie können die ID abrufen, indem Sie nach Gewährungen suchen, die Sie genehmigen oder ablehnen können.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Genehmigung gehört.
  • DENIAL_REASON: Warum die Gewährung abgelehnt wurde.
  • RESOURCE_TYPE: Optional. Der Ressourcentyp, zu dem die Berechtigung gehört. Verwenden Sie den Wert organization, folder oder project.
  • RESOURCE_ID: Wird mit RESOURCE_TYPE verwendet. Die ID des Google Cloud-Projekts, -Ordners oder der -Organisation, für die Sie Berechtigungen verwalten möchten. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud beta pam grants deny \
    GRANT_ID \
    --entitlement=ENTITLEMENT_ID \
    --reason="DENIAL_REASON" \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud beta pam grants deny `
    GRANT_ID `
    --entitlement=ENTITLEMENT_ID `
    --reason="DENIAL_REASON" `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud beta pam grants deny ^
    GRANT_ID ^
    --entitlement=ENTITLEMENT_ID ^
    --reason="DENIAL_REASON" ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Sie sollten eine Antwort ähnlich der folgenden erhalten:

createTime: '2024-04-05T01:29:13.129192816Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 2700s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-04-05T01:29:13.267878626Z'
    requested:
      expireTime: '2024-04-06T01:29:13.267878626Z'
  - denied:
      actor: alex@example.com
      reason: Access denied under existing policy
    eventTime: '2024-04-05T01:29:49.492161363Z'
updateTime: '2024-04-05T01:29:49.492097724Z'

REST

Mit der Methode denyGrant der Privileged Access Manager API wird eine bestimmte Gewährungsanfrage abgelehnt.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SCOPE: Die Organisation, der Ordner oder das Projekt, für das die Berechtigung gilt, im Format organizations/ORGANIZATION_ID, folders/FOLDER_ID oder projects/PROJECT_ID. Projekt-IDs sind alphanumerische Strings, wie my-project. Ordner- und Organisations-IDs sind numerisch, z. B. 123456789012.
  • ENTITLEMENT_ID: Die ID der Berechtigung, zu der die Genehmigung gehört.
  • GRANT_ID: Die ID der Gewährung, die Sie ablehnen. Sie können die ID abrufen, indem Sie nach Gewährungen suchen, die Sie genehmigen oder ablehnen können.
  • REASON: Der Grund, warum der Antrag auf Gewährung abgelehnt wurde.

HTTP-Methode und URL:

POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:deny

JSON-Text anfordern:

{
    "reason": "REASON"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
  "createTime": "2024-03-07T00:34:32.557017289Z",
  "updateTime": "2024-03-07T00:36:08.309046580Z",
  "requester": "alex@example.com",
  "requestedDuration": "3600s",
  "justification": {
    "unstructuredJustification": "Emergency service for outage"
  },
  "state": "DENIED",
  "timeline": {
    "events": [
      {
        "eventTime": "2024-03-07T00:34:32.793769042Z",
        "requested": {
          "expireTime": "2024-03-08T00:34:32.793769042Z"
        }
      },
      {
        "eventTime": "2024-03-07T00:36:08.309116203Z",
        "denied": {
          "reason": "Outage already resolved",
          "actor": "cruz@example.com"
        }
      }
    ]
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
      "roleBindings": [
        {
          "role": "roles/storage.admin"
        }
      ]
    }
  },
  "additionalEmailRecipients": [
    "bola@example.com"
  ]
}