Halaman ini diterjemahkan oleh Cloud Translation API.

Membuat hak di Privileged Access Manager

Anda dapat membuat hak untuk mengizinkan peningkatan hak istimewa sementara bagi serangkaian prinsipal tertentu. Perhatikan hal-hal berikut saat membuat hak:

Anda dapat membuat hak di tingkat organisasi, folder, atau project. Peran yang diberikan oleh hak di setiap tingkat mengikuti Google Cloud hierarki resource. Misalnya, peran yang diberikan oleh hak di tingkat organisasi diwarisi di tingkat folder dan project.
Jika paket Premium atau Enterprise Security Command Center diaktifkan di level organisasi, Anda dapat mewajibkan lebih dari satu tingkat persetujuan per hak, sehingga memungkinkan hingga dua tingkat persetujuan berurutan untuk setiap hak. Anda dapat mewajibkan hingga lima persetujuan per level.

Setelah jumlah persetujuan tingkat pertama yang diperlukan diterima, notifikasi email akan dikirimkan kepada pemberi persetujuan tingkat kedua. Setelah jumlah persetujuan tingkat kedua yang diperlukan diterima, pemberian izin akan berpindah ke status active. Jika ada pemberi persetujuan yang menolak pemberian akses, pemberian akses akan beralih ke status denied dan tidak dikirim ke pemberi persetujuan tambahan.

Fitur ini tersedia dalam pratinjau.
Jika akun layanan diizinkan untuk menyetujui pemberian akses untuk resource ini, Anda dapat menambahkan akun layanan dan identitas kumpulan beban kerja sebagai pemberi persetujuan. Untuk mempelajari cara mengaktifkan setelan ini, lihat Mengonfigurasi setelan Pengelola Akses Istimewa.

Fitur ini tersedia dalam pratinjau.
Jika Anda menambahkan grup sebagai pemohon ke hak, semua akun individual dalam grup tersebut dapat meminta pemberian hak tersebut. Namun, hanya akun individu yang meminta pemberian hak akses yang dapat menerima hak istimewa yang lebih tinggi.
Jika Anda menambahkan grup sebagai pemberi persetujuan ke hak, semua akun individual dalam grup tersebut dapat menyetujui atau menolak permintaan pemberian hak.
Peran dasar (Admin, Penulis, dan Pembaca) didukung, tetapi peran dasar lama (Pemilik, Editor, dan Pelihat) tidak didukung.
Jangan sertakan peran agen layanan dalam hak.

Beberapa peran agen layanan berisi izin yang sangat kuat, dan izin dalam peran ini dapat berubah tanpa pemberitahuan. Sebagai gantinya, pilih peran standar lain, atau buat peran khusus dengan izin yang Anda butuhkan.

Perhatian: Berhati-hatilah saat menyertakan jenis peran berikut dalam hak:

Peran dengan izin untuk memberikan dan mencabut peran IAM (yaitu, peran dengan nama izin yang diakhiri dengan setIamPolicy).
Peran dengan izin iam.roles.update, yang memungkinkan pengguna mengubah peran khusus.

Jenis peran ini berisi izin yang dapat memungkinkan pengguna mengubah izin IAM mereka sendiri. Akibatnya, akun utama yang meminta dapat menggunakan peran ini untuk meningkatkan akses mereka sendiri ke resource, atau memberi diri mereka sendiri akses tambahan ke resource.

Misalnya, bayangkan pengguna yang memiliki peran khusus dengan izin yang sangat terbatas. Jika pengguna ini berhasil meminta pemberian terhadap hak dengan peran Administrator Peran (roles/iam.roleAdmin), maka ia dapat menggunakan izin dalam peran tersebut untuk menambahkan izin resourcemanager.projects.setIamPolicy ke peran khusus miliknya. Izin ini akan memungkinkan mereka memberikan dan mencabut semua peran IAM untuk project, bahkan setelah pemberian izin berakhir.

Sebelum memulai

Untuk mendapatkan izin yang diperlukan untuk membuat hak, minta administrator untuk memberi Anda peran IAM berikut pada organisasi, folder, atau project yang ingin Anda buat haknya:

Buat hak untuk organisasi:
- Privileged Access Manager Admin (roles/privilegedaccessmanager.admin)
- Security Admin (roles/iam.securityAdmin)
Membuat untuk folder:
- Privileged Access Manager Admin (roles/privilegedaccessmanager.admin)
- Folder IAM Admin (roles/resourcemanager.folderAdmin)
Buat hak untuk project:
- Privileged Access Manager Admin (roles/privilegedaccessmanager.admin)
- Project IAM Admin (roles/resourcemanager.projectIamAdmin)
Untuk melihat log audit: Logs Viewer (roles/logs.viewer)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk membuat hak. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk membuat hak:

Untuk membuat hak dan pemberian untuk organisasi:
- resourcemanager.organizations.get
- resourcemanager.organizations.setIamPolicy
- privilegedaccessmanager.entitlements.create
Untuk membuat hak dan pemberian akses untuk folder:
- resourcemanager.folders.get
- resourcemanager.folders.setIamPolicy
- privilegedaccessmanager.entitlements.create
Untuk membuat hak dan pemberian untuk project:
- resourcemanager.projects.get
- resourcemanager.projects.setIamPolicy
- privilegedaccessmanager.entitlements.create

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Membuat hak

Konsol

Buka halaman Privileged Access Manager.

Buka Privileged Access Manager
Pilih organisasi, folder, atau project yang ingin Anda terapkan haknya.
Klik tab Hak.
Klik Buat.
Di bagian Detail hak, masukkan detail hak berikut:
- Nama hak. Nama hak dapat berisi 4 hingga 63 karakter. Nama harus diawali dengan huruf kecil dan hanya boleh berisi huruf kecil, angka, dan tanda hubung.
- Hingga 30 peran yang akan diberikan di organisasi, folder, atau project.
  
  Anda juga dapat menambahkan kondisi IAM ke peran ini dengan cara yang sama seperti saat Anda menambahkan kondisi ke binding peran kebijakan izin. Namun, dalam hak Privileged Access Manager, penggunaan kondisi yang memeriksa tag untuk resource masih dalam pratinjau.
- Durasi maksimum pemberian akses. Durasi maksimum yang dapat Anda tetapkan untuk hak adalah 7 hari.
Klik Berikutnya.
Di bagian Tambahkan pemohon, masukkan hingga 20 akun utama pemohon yang valid untuk hak.

Semua jenis utama didukung, kecuali allUsers dan allAuthenticatedUsers. Anda dapat menambahkan lebih dari 20 identitas dengan menambahkannya ke grup dan mencantumkan grup dalam hak.
Pilih apakah akun utama perlu memberikan justifikasi untuk permintaan pemberian izin.
Masukkan alamat email tambahan pengguna yang akan diberi tahu saat hak memenuhi syarat untuk diminta.

Identitas Google yang terkait dengan hak, seperti pemberi persetujuan dan pemohon, akan diberi tahu secara otomatis. Namun, jika Anda ingin memberi tahu orang lain, Anda dapat menambahkan alamat email mereka. Hal ini sangat berguna jika Anda menggunakan identitas tenaga kerja bukan Akun Google.
Klik Berikutnya.
Di bagian Tambahkan pemberi persetujuan, lakukan salah satu hal berikut:
- Untuk mengizinkan pemberian peran tanpa persetujuan, pilih Aktifkan akses tanpa persetujuan.
- Untuk mewajibkan persetujuan, lakukan hal berikut:
  
  Catatan: Penambahan pemberi persetujuan tingkat kedua dan konfigurasi jumlah persetujuan yang diperlukan hanya tersedia jika paket Premium atau Enterprise Security Command Center diaktifkan di tingkat organisasi.
  1. Opsional: Untuk mewajibkan pemberi persetujuan memasukkan justifikasi untuk menyetujui permintaan, pilih Justifikasi diperlukan dari pemberi persetujuan.
  2. Masukkan detail pemberi persetujuan tingkat pertama:
    - Daftar pemberi persetujuan untuk hak
      
      Anda dapat menambahkan jenis akun utama berikut sebagai pemberi persetujuan:
      - Akun Google
      - Grup Google
      - Domain Google Workspace
      - ID kumpulan tenaga kerja
      - ID kumpulan workload
      - Akun layanan
        
        ID akun layanan dan workload pool hanya tersedia jika akun layanan diizinkan untuk menyetujui pemberian akses untuk resource ini. Untuk mengetahui detailnya, lihat Mengonfigurasi setelan Privileged Access Manager.
    - Jumlah persetujuan yang diperlukan
      
      Jika Anda menambahkan grup sebagai pemberi persetujuan, pastikan jumlah persetujuan yang diperlukan kurang dari atau sama dengan jumlah prinsipal dalam grup. Jika tidak, pemberian akan terus macet dalam status approval awaited.
    - Alamat email pemberi persetujuan untuk notifikasi
  3. Opsional: Tambahkan detail pemberi persetujuan tingkat kedua:
    - Daftar pemberi persetujuan untuk hak
      
      Anda dapat menambahkan jenis akun utama berikut sebagai pemberi persetujuan:
      - Akun Google
      - Grup Google
      - Domain Google Workspace
      - ID kumpulan tenaga kerja
      - ID kumpulan workload
      - Akun layanan
        
        ID akun layanan dan workload pool hanya tersedia jika akun layanan diizinkan untuk menyetujui pemberian akses untuk resource ini. Untuk mengetahui detailnya, lihat Mengonfigurasi setelan Privileged Access Manager.
    - Jumlah persetujuan yang diperlukan
      
      Jika Anda menambahkan grup sebagai pemberi persetujuan, pastikan jumlah persetujuan yang diperlukan kurang dari atau sama dengan jumlah prinsipal dalam grup. Jika tidak, pemberian akan terus macet dalam status approval awaited.
    - Alamat email pemberi persetujuan untuk notifikasi
Anda dapat menambahkan hingga 20 akun utama yang menyetujui (identitas atau grup) per persetujuan. Jika ingin menambahkan lebih dari 20 pemberi persetujuan, Anda dapat melakukannya dengan menambahkan mereka ke grup dan mencantumkan grup tersebut sebagai pemberi persetujuan untuk hak.
Klik Berikutnya.
Klik Buat Hak.

Hak yang baru dibuat mungkin memerlukan waktu beberapa menit untuk disebarkan dan siap digunakan.

gcloud

Perintah gcloud alpha pam entitlements create membuat hak di tingkat organisasi, folder, atau project.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

ENTITLEMENT_ID: ID hak yang akan dibuat. ID harus terdiri dari 4-63 karakter, dan menggunakan karakter berikut: [a-z0-9-]. Karakter pertama harus berupa huruf.
RESOURCE_TYPE: Opsional. Jenis resource yang haknya dimiliki. Gunakan nilai organization, folder, atau project.
RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID Google Cloud organisasi, folder, atau project yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
RESOURCE_MANAGER_RESOURCE_TYPE: Organization, Folder, atau Project, bergantung pada cakupannya.
ROLE: Peran yang akan ditetapkan saat hak diberikan.
MAXIMUM_GRANT_DURATION: Durasi maksimum pemberian dapat diminta, dalam detik. Rentang yang didukung adalah antara 30 menit (1800) dan 168 jam (604800).
REQUESTING_MEMBER: Akun utama yang dapat meminta agar hak diberikan. Semua jenis akun utama didukung, kecuali allUsers dan allAuthenticatedUsers.
APPROVING_MEMBER: Akun utama yang dapat menyetujui permintaan hak. Jenis prinsipal yang valid adalah sebagai berikut:
- Pengguna
- Grup
- Domain
- ID kumpulan tenaga kerja
- ID kumpulan workload
  Opsi ini hanya tersedia jika akun layanan diizinkan untuk menyetujui permintaan hak untuk resource ini. Untuk mengetahui detailnya, lihat Mengonfigurasi setelan Privileged Access Manager.
- Akun layanan
  Opsi ini hanya tersedia jika akun layanan diizinkan untuk menyetujui permintaan hak untuk resource ini. Untuk mengetahui detailnya, lihat Mengonfigurasi setelan Privileged Access Manager.
APPROVALS_NEEDED: Jumlah pemberi persetujuan yang diperlukan untuk menyetujui permintaan hak.
Jika Anda menambahkan grup sebagai pemberi persetujuan, pastikan jumlah persetujuan yang diperlukan kurang dari atau sama dengan jumlah prinsipal dalam grup. Jika tidak, pemberian akan terus berada dalam status approval awaited.
APPROVER_EMAIL_ADDRESSES: Opsional. Alamat email tambahan yang akan menerima notifikasi saat pemberian akses telah diminta. Identitas Google yang terkait dengan pemberi persetujuan pemberian akses akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
ADMIN_EMAIL_ADDRESS: Opsional. Alamat email tambahan yang akan menerima notifikasi saat pemohon diberi akses. Identitas Google yang terkait dengan pemberi persetujuan pemberian akses akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
REQUESTER_EMAIL_ADDRESS: Opsional. Alamat email tambahan yang akan menerima notifikasi saat hak ini tersedia untuk diminta. Identitas Google yang terkait dengan pemohon pemberian akses akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
CONDITION_EXPRESSION: Opsional. Ekspresi kondisi yang menentukan kapan akun utama dapat menggunakan izin dalam peran. Kondisi ini hanya berlaku saat pemberian izin aktif.
Catatan: Privileged Access Manager tidak mendukung penggunaan atribut tingkat akses dalam kondisi IAM hak.

Simpan konten berikut ini dalam file yang bernama entitlement.yaml:

privilegedAccess:
  gcpIamAccess:
    resourceType: cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_ID
    roleBindings:
    - role: ROLE_1
      conditionExpression: CONDITION_EXPRESSION_1
    - role: ROLE_2
      conditionExpression: CONDITION_EXPRESSION_2
maxRequestDuration: MAXIMUM_GRANT_DURATION
eligibleUsers:
- principals:
  - REQUESTING_MEMBER_1
  - REQUESTING_MEMBER_2
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: APPROVALS_NEEDED_1
      approverEmailRecipients:
      - APPROVER_EMAIL_ADDRESSES_1
      - APPROVER_EMAIL_ADDRESSES_2
      approvers:
      - principals:
       - APPROVING_MEMBER_1
       - APPROVING_MEMBER_2
    - approvalsNeeded: APPROVALS_NEEDED_2
      approverEmailRecipients:
       - APPROVER_EMAIL_ADDRESSES_3
       - APPROVER_EMAIL_ADDRESSES_4
      approvers:
      - principals:
        - APPROVING_MEMBER_3
        - APPROVING_MEMBER_4
requesterJustificationConfig:
  unstructured: {}
additionalNotificationTargets:
  adminEmailRecipients:
  - ADMIN_EMAIL_ADDRESS_1
  - ADMIN_EMAIL_ADDRESS_2
  requesterEmailRecipients:
  - REQUESTER_EMAIL_ADDRESS_1
  - REQUESTER_EMAIL_ADDRESS_2

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud alpha pam entitlements create \
    ENTITLEMENT_ID \
    --entitlement-file=entitlement.yaml \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam entitlements create `
    ENTITLEMENT_ID `
    --entitlement-file=entitlement.yaml `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam entitlements create ^
    ENTITLEMENT_ID ^
    --entitlement-file=entitlement.yaml ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

Create request issued for: [ENTITLEMENT_ID]
Waiting for operation [projects/PROJECT_ID/locations/global/operations/OPERATION_ID] to complete...done.
Created entitlement [ENTITLEMENT_ID].
additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - id: step-1
      approvalsNeeded: 3
      approvers:
      - principals:
        - user:alex@example.com
        - group:dev-team@example.com
    - id: step-2
      approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
  createTime: '2024-04-09T02:39:37.011866832Z'
  eligibleUsers:
  - principals:
    - user:bola@example.com
  etag: 00000000000000000000000000000000000000000000000000000000000=
  maxRequestDuration: 7200s
  name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
  privilegedAccess:
    gcpIamAccess:
      resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
      resourceType: cloudresourcemanager.googleapis.com/Project
      roleBindings:
      - role: roles/storage.admin
        id: hwarq_1
        conditionExpression: "request.time.getHours() >= 8"
  requesterJustificationConfig:
    unstructured: {}
  state: AVAILABLE

Hak yang baru dibuat mungkin memerlukan waktu beberapa menit untuk diterapkan dan siap digunakan.

REST

Metode createEntitlement Privileged Access Manager API membuat hak di tingkat organisasi, folder, atau project.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

SCOPE: Organisasi, folder, atau project untuk membuat hak, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
ENTITLEMENT_ID: ID hak yang akan dibuat. ID harus terdiri dari 4-63 karakter, dan menggunakan karakter berikut: [a-z0-9-]. Karakter pertama harus berupa huruf.
RESOURCE_MANAGER_RESOURCE_TYPE: Organization, Folder, atau Project, bergantung pada cakupannya.
ROLE: Peran yang akan ditetapkan saat hak diberikan.
MAXIMUM_GRANT_DURATION: Durasi maksimum pemberian dapat diminta, dalam detik. Rentang yang didukung adalah antara 30 menit (1800) dan 168 jam (604800).
REQUESTING_MEMBER: Akun utama yang dapat meminta agar hak diberikan. Semua jenis akun utama didukung, kecuali allUsers dan allAuthenticatedUsers.
APPROVING_MEMBER: Akun utama yang dapat menyetujui permintaan hak. Jenis prinsipal yang valid adalah sebagai berikut:
- Pengguna
- Grup
- Domain
- ID kumpulan tenaga kerja
- ID kumpulan workload
  Opsi ini hanya tersedia jika akun layanan diizinkan untuk menyetujui permintaan hak untuk resource ini. Untuk mengetahui detailnya, lihat Mengonfigurasi setelan Privileged Access Manager.
- Akun layanan
  Opsi ini hanya tersedia jika akun layanan diizinkan untuk menyetujui permintaan hak untuk resource ini. Untuk mengetahui detailnya, lihat Mengonfigurasi setelan Privileged Access Manager.
APPROVALS_NEEDED: Jumlah pemberi persetujuan yang diperlukan untuk menyetujui permintaan hak.
Jika Anda menambahkan grup sebagai pemberi persetujuan, pastikan jumlah persetujuan yang diperlukan kurang dari atau sama dengan jumlah prinsipal dalam grup. Jika tidak, pemberian akan terus berada dalam status approval awaited.
APPROVER_EMAIL_ADDRESSES: Opsional. Alamat email tambahan yang akan menerima notifikasi saat pemberian akses telah diminta. Identitas Google yang terkait dengan pemberi persetujuan pemberian akses akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
ADMIN_EMAIL_ADDRESS: Opsional. Alamat email tambahan yang akan menerima notifikasi saat pemohon diberi akses. Identitas Google yang terkait dengan pemberi persetujuan pemberian akses akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
REQUESTER_EMAIL_ADDRESS: Opsional. Alamat email tambahan yang akan menerima notifikasi saat hak ini tersedia untuk diminta. Identitas Google yang terkait dengan pemohon pemberian akses akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
CONDITION_EXPRESSION: Opsional. Ekspresi kondisi yang menentukan kapan akun utama dapat menggunakan izin dalam peran. Kondisi ini hanya berlaku saat pemberian izin aktif.
Catatan: Privileged Access Manager tidak mendukung penggunaan atribut tingkat akses dalam kondisi IAM hak.

Metode HTTP dan URL:

POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID

Meminta isi JSON:

{
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE",
      "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
      "roleBindings": [
        {
          "role": "ROLE_1",
          "conditionExpression": "CONDITION_EXPRESSION_1",
        },
        {
          "role": "ROLE_2",
          "conditionExpression": "CONDITION_EXPRESSION_2",
        },
      ]
    }
  },
  "maxRequestDuration": "MAXIMUM_GRANT_DURATION",
  "eligibleUsers": [
    {
      "principals": [
        "REQUESTING_MEMBER_1",
        "REQUESTING_MEMBER_2",
        ...
      ]
    }
  ],
  "approvalWorkflow": {
    "manualApprovals": {
      "requireApproverJustification": true,
      "steps": [
        {
          "approvers": [
            {
              "principals": [
                "APPROVING_MEMBER_1",
                "APPROVING_MEMBER_2",
              ]
            }
          ],
          "approvalsNeeded": APPROVALS_NEEDED_1,
          "approverEmailRecipients": [
            "APPROVER_EMAIL_ADDRESSES_1",
            "APPROVER_EMAIL_ADDRESSES_2",
          ]
        },
        {
          "approvers": [
            {
              "principals": [
                "APPROVING_MEMBER_3",
                "APPROVING_MEMBER_4",
              ]
            }
          ],
          "approvalsNeeded": APPROVALS_NEEDED_2,
          "approverEmailRecipients": [
            "APPROVER_EMAIL_ADDRESSES_3",
            "APPROVER_EMAIL_ADDRESSES_4",
          ]
        }
      ]
    }
  },
  "requesterJustificationConfig": {
    "unstructured": {
    }
  },
  "additionalNotificationTargets": {
    "adminEmailRecipients": [
      "ADMIN_EMAIL_ADDRESS_1",
      "ADMIN_EMAIL_ADDRESS_2",
    ],
    "requesterEmailRecipients": [
      "REQUESTER_EMAIL_ADDRESS_1",
      "REQUESTER_EMAIL_ADDRESS_2",
    ]
  }
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:


{
  "name": "projects/PROJECT_ID/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Untuk memeriksa progres operasi pembuatan, Anda dapat mengirim permintaan GET ke endpoint berikut:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Kirim permintaan GET ke endpoint berikut untuk mencantumkan semua operasi:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Hak yang baru dibuat mungkin memerlukan waktu beberapa menit untuk diterapkan dan siap digunakan.

Terraform

Anda dapat menggunakan Terraform untuk membuat hak. Untuk mengetahui informasi selengkapnya, lihat google_privileged_access_manager_entitlement dalam dokumentasi Terraform. Hak yang baru dibuat mungkin memerlukan waktu beberapa menit untuk disebarkan dan siap digunakan.

Config Connector

Anda dapat menggunakan Kubernetes Config Connector untuk membuat hak. Untuk mengetahui informasi selengkapnya, lihat PrivilegedAccessManagerEntitlement dalam dokumentasi Config Connector. Hak yang baru dibuat mungkin memerlukan waktu beberapa menit untuk disebarkan dan siap digunakan.

Membuat hak di Privileged Access Manager Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Sebelum memulai

Izin yang diperlukan

Membuat hak

Konsol

gcloud

Linux, macOS, atau Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS, atau Cloud Shell)

PowerShell (Windows)

Terraform

Config Connector

Langkah berikutnya

Membuat hak di Privileged Access Manager