Halaman ini diterjemahkan oleh Cloud Translation API.

Membuat hak di Privileged Access Manager

Anda dapat membuat hak untuk mengizinkan peningkatan hak istimewa sementara bagi serangkaian principal tertentu. Perhatikan hal-hal berikut saat membuat hak:

Hak dapat dibuat di tingkat organisasi, folder, atau project. Peran yang diberikan oleh hak di setiap tingkat mengikuti Google Cloud hierarki resource. Misalnya, peran yang diberikan oleh hak di tingkat organisasi diwarisi di tingkat folder dan project.
Jika Anda menambahkan grup sebagai pemohon ke hak, semua akun individual dalam grup tersebut dapat meminta pemberian hak tersebut. Namun, hanya akun individu yang meminta pemberian hak akses yang dapat menerima hak istimewa yang lebih tinggi.
Jika Anda menambahkan grup sebagai pemberi persetujuan pada hak, semua akun individual dalam grup tersebut dapat menyetujui atau menolak permintaan pemberian.
Peran dasar (Admin, Penulis, dan Pembaca) didukung, tetapi peran dasar lama (Pemilik, Editor, dan Viewer) tidak didukung.
Jangan sertakan peran agen layanan dalam hak.

Beberapa peran agen layanan berisi izin yang sangat kuat, dan izin dalam peran ini dapat berubah tanpa pemberitahuan. Sebagai gantinya, pilih peran standar lain, atau buat peran khusus dengan izin yang Anda butuhkan.

Perhatian: Berhati-hatilah saat menyertakan jenis peran berikut dalam hak:

Peran dengan izin untuk memberikan dan mencabut peran IAM (yaitu, peran dengan nama izin yang diakhiri dengan setIamPolicy).
Peran dengan izin iam.roles.update, yang memungkinkan pengguna mengubah peran khusus.

Jenis peran ini berisi izin yang dapat memungkinkan pengguna mengubah izin IAM mereka sendiri. Akibatnya, akun utama yang meminta dapat menggunakan peran ini untuk meningkatkan akses mereka sendiri ke resource, atau memberi diri mereka sendiri akses tambahan ke resource.

Misalnya, bayangkan pengguna yang memiliki peran khusus dengan izin yang sangat terbatas. Jika pengguna ini berhasil meminta pemberian terhadap hak dengan peran Administrator Peran (roles/iam.roleAdmin), maka ia dapat menggunakan izin dalam peran tersebut untuk menambahkan izin resourcemanager.projects.setIamPolicy ke peran khusus miliknya. Izin ini akan memungkinkan mereka memberikan dan mencabut semua peran IAM untuk project, bahkan setelah pemberian izin berakhir.

Sebelum memulai

Pastikan Anda telah mengaktifkan Privileged Access Manager dan menyiapkan izin untuknya.

Membuat hak menggunakan konsol Google Cloud

Untuk membuat hak, selesaikan petunjuk berikut:

Buka halaman Privileged Access Manager.

Buka Privileged Access Manager
Pilih organisasi, folder, atau project yang ingin Anda terapkan haknya.
Klik tab Hak.
Klik Buat.
Tambahkan detail hak berikut:
- Nama hak.
- Hingga 30 peran yang akan diberikan di organisasi, folder, atau project.
  
  Anda juga dapat menambahkan kondisi IAM ke peran ini dengan cara yang sama seperti saat Anda menambahkan kondisi ke binding peran kebijakan izin. Namun, dalam hak Privileged Access Manager, penggunaan kondisi yang memeriksa tag untuk resource masih dalam pratinjau.
- Berapa lama pemberian dapat berlangsung terhadap hak. Durasi maksimum yang dapat Anda tetapkan untuk hak adalah 24 jam.
Klik Berikutnya.
Telusuri dan tambahkan hingga 20 akun utama yang meminta yang valid untuk hak. Semua jenis utama didukung, kecuali allUsers dan allAuthenticatedUsers. Anda dapat menambahkan lebih dari 20 identitas dengan menambahkannya ke grup dan mencantumkan grup dalam pemberian hak.
Pilih apakah akun utama perlu memberikan alasan untuk permintaan pemberian izin.
Klik Berikutnya.
Pilih untuk mengizinkan pemberian peran tanpa persetujuan, atau telusuri dan tambahkan akun utama yang valid yang dapat menyetujui permintaan. Jenis prinsipal yang valid adalah sebagai berikut:
- Akun Google
- Google Grup
- Domain Google Workspace
- ID kumpulan tenaga kerja
Jika Anda memilih untuk memiliki pemberi persetujuan, pilih juga apakah pemberi persetujuan perlu memberikan alasan untuk menyetujui permintaan pemberian akses. Anda dapat menambahkan hingga 20 kepala persetujuan per hak. Anda dapat menambahkan lebih dari 20 identitas dengan menambahkannya ke grup dan mencantumkan grup dalam pemberian hak.
Klik Berikutnya.
Opsional: Tambahkan alamat email orang yang akan diberi tahu saat hak tersedia untuk diminta, saat pemberian hak menunggu persetujuan, dan saat pemohon diberi akses. Identitas Google yang terkait dengan hak, seperti pemberi persetujuan dan pemohon, akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
Klik Buat Hak.

Hak yang baru dibuat mungkin memerlukan waktu beberapa menit untuk disebarkan dan siap digunakan.

Membuat hak secara terprogram

gcloud

Perintah gcloud pam entitlements create membuat hak di tingkat organisasi, folder, atau project.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

ENTITLEMENT_ID: ID hak yang akan dibuat. ID harus terdiri dari 4-63 karakter, dan menggunakan karakter berikut: [a-z0-9-]. Karakter pertama harus berupa huruf.
RESOURCE_TYPE: Opsional. Jenis resource yang haknya termasuk di dalamnya. Gunakan nilai organization, folder, atau project.
RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID Google Cloud organisasi, folder, atau project yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
SCOPE: Organisasi, folder, atau project untuk membuat hak, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
RESOURCE_MANAGER_RESOURCE_TYPE: Organization, Folder, atau Project, bergantung pada cakupannya.
ROLE: Peran yang akan ditetapkan saat hak diberikan.
TIME_IN_SECONDS: Durasi maksimum pemberian dapat diminta, dalam detik. Rentang yang didukung adalah antara 30 menit (1800) dan 24 jam (86400).
REQUESTING_MEMBER: Akun utama yang dapat meminta agar hak diberikan. Semua jenis akun utama didukung kecuali allUsers dan allAuthenticatedUsers.
APPROVING_EMAIL: Opsional. Alamat email tambahan yang akan diberi tahu saat pemberian telah diminta. Identitas Google yang terkait dengan pemberi persetujuan pemberian akses akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
APPROVING_MEMBER: Akun utama yang dapat menyetujui permintaan hak. Jenis prinsipal yang valid adalah sebagai berikut
- Pengguna
- Grup
- Domain
- ID kumpulan tenaga kerja
ADMIN_EMAIL_ADDRESS: Opsional. Alamat email tambahan yang akan diberi tahu saat pemohon diberi akses. Identitas Google yang terkait dengan pemberi persetujuan pemberian akses akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
REQUESTER_EMAIL_ADDRESS: Opsional. Alamat email tambahan untuk diberi tahu saat hak ini tersedia untuk diminta. Identitas Google yang terkait dengan pemohon pemberian akses akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.

Simpan konten berikut ini dalam file yang bernama entitlement.yaml:

privilegedAccess:
  gcpIamAccess:
    resourceType: cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE
    resource: //cloudresourcemanager.googleapis.com/SCOPE
    roleBindings:
    - role: ROLE_1
    - role: ROLE_2
maxRequestDuration: TIME_IN_SECONDSs
eligibleUsers:
- principals:
  - REQUESTING_MEMBER_1
  - REQUESTING_MEMBER_2
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: 1
      approverEmailRecipients:
      - APPROVING_EMAIL_1
      - APPROVING_EMAIL_2
      approvers:
      - principals:
        - APPROVING_MEMBER_1
        - APPROVING_MEMBER_2
requesterJustificationConfig:
  unstructured: {}
additionalNotificationTargets:
  adminEmailRecipients:
  - ADMIN_EMAIL_ADDRESS_1
  - ADMIN_EMAIL_ADDRESS_2
  requesterEmailRecipients:
  - REQUESTER_EMAIL_ADDRESS_1
  - REQUESTER_EMAIL_ADDRESS_2

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud pam entitlements create \
    ENTITLEMENT_ID \
    --entitlement-file=entitlement.yaml \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud pam entitlements create `
    ENTITLEMENT_ID `
    --entitlement-file=entitlement.yaml `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud pam entitlements create ^
    ENTITLEMENT_ID ^
    --entitlement-file=entitlement.yaml ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

Create request issued for: [ENTITLEMENT_ID]
Waiting for operation [projects/my-project/locations/global/operations/OPERATION_ID] to complete...done.
Created entitlement [ENTITLEMENT_ID].
additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
  - user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requesterJustificationConfig:
  unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'

Hak yang baru dibuat mungkin memerlukan waktu beberapa menit untuk disebarkan dan siap digunakan.

REST

Metode Privileged Access Manager API createEntitlement membuat hak di tingkat organisasi, folder, atau project.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

SCOPE: Organisasi, folder, atau project untuk membuat hak, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
ENTITLEMENT_ID: ID hak yang akan dibuat. ID harus terdiri dari 4-63 karakter, dan menggunakan karakter berikut: [a-z0-9-]. Karakter pertama harus berupa huruf.
REQUEST_ID: Opsional. Harus berupa UUID bukan nol. Jika server menerima permintaan dengan ID permintaan, server akan memeriksa apakah permintaan lain dengan ID tersebut telah diselesaikan dalam 60 menit terakhir. Jika ya, permintaan baru akan diabaikan.
RESOURCE_MANAGER_RESOURCE_TYPE: Organization, Folder, atau Project, bergantung pada cakupannya.
ROLE: Peran yang akan ditetapkan saat hak diberikan.
TIME_IN_SECONDS: Durasi maksimum pemberian dapat diminta, dalam detik. Rentang yang didukung adalah antara 30 menit (1800) dan 24 jam (86400).
REQUESTING_MEMBER: Akun utama yang dapat meminta agar hak diberikan. Semua jenis akun utama didukung kecuali allUsers dan allAuthenticatedUsers.
APPROVING_MEMBER: Akun utama yang dapat menyetujui permintaan hak. Jenis prinsipal yang valid adalah sebagai berikut
- Pengguna
- Grup
- Domain
- ID kumpulan tenaga kerja
APPROVING_EMAIL: Opsional. Alamat email tambahan yang akan diberi tahu saat pemberian telah diminta. Identitas Google yang terkait dengan pemberi persetujuan pemberian akses akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
ADMIN_EMAIL_ADDRESS: Opsional. Alamat email tambahan yang akan diberi tahu saat pemohon diberi akses. Identitas Google yang terkait dengan pemberi persetujuan pemberian akses akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
REQUESTER_EMAIL_ADDRESS: Opsional. Alamat email tambahan untuk diberi tahu saat hak ini tersedia untuk diminta. Identitas Google yang terkait dengan pemohon pemberian akses akan otomatis diberi tahu. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.

Metode HTTP dan URL:

POST https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID&requestId=REQUEST_ID

Meminta isi JSON:

{
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE",
      "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
      "roleBindings": [
        {
          "role": "ROLE_1"
        },
        {
          "role": "ROLE_2"
        }
      ]
    }
  },
  "maxRequestDuration": "TIME_IN_SECONDSs",
  "eligibleUsers": [
    {
      "principals": [
        "REQUESTING_MEMBER_1",
        "REQUESTING_MEMBER_2",
        ...
      ]
    }
  ],
  "approvalWorkflow": {
    "manualApprovals": {
      "requireApproverJustification": true,
      "steps": [
        {
          "approvers": [
            {
              "principals": [
                "APPROVING_MEMBER_1",
                "APPROVING_MEMBER_2",
                ...
              ]
            }
          ],
          "approvalsNeeded": 1,
          "approverEmailRecipients": [
            "APPROVING_EMAIL_1",
            "APPROVING_EMAIL_2",
            ...
          ]
        }
      ]
    }
  },
  "requesterJustificationConfig": {
    "unstructured": {
    }
  },
  "additionalNotificationTargets": {
    "adminEmailRecipients": [
      "ADMIN_EMAIL_ADDRESS_1",
      "ADMIN_EMAIL_ADDRESS_2",
      ...
    ],
    "requesterEmailRecipients": [
      "REQUESTER_EMAIL_ADDRESS_1",
      "REQUESTER_EMAIL_ADDRESS_2",
      ...
    ]
  }
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID&requestId=REQUEST_ID"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID&requestId=REQUEST_ID" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:

{
    "name": "projects/my-project/locations/global/operations/OPERATION_ID",
    "metadata": {
      "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1.OperationMetadata",
      "createTime": "2024-03-05T03:35:14.596739353Z",
      "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
      "verb": "create",
      "requestedCancellation": false,
      "apiVersion": "v1"
    },
    "done": false
}

Untuk memeriksa progres operasi pembuatan, Anda dapat mengirim permintaan GET ke endpoint berikut:

https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations/OPERATION_ID

Kirim permintaan GET ke endpoint berikut untuk mencantumkan semua operasi:

https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations

Hak yang baru dibuat mungkin memerlukan waktu beberapa menit untuk diterapkan dan siap digunakan.

Terraform

Anda dapat menggunakan Terraform untuk membuat hak. Untuk mengetahui informasi selengkapnya, lihat google_privileged_access_manager_entitlement dalam dokumentasi Terraform. Hak yang baru dibuat mungkin memerlukan waktu beberapa menit untuk disebarkan dan siap digunakan.

Config Connector

Anda dapat menggunakan Kubernetes Config Connector untuk membuat hak. Untuk mengetahui informasi selengkapnya, lihat PrivilegedAccessManagerEntitlement dalam dokumentasi Config Connector. Hak yang baru dibuat mungkin memerlukan waktu beberapa menit untuk disebarkan dan siap digunakan.

Membuat hak di Privileged Access Manager Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Sebelum memulai

Membuat hak menggunakan konsol Google Cloud

Membuat hak secara terprogram

gcloud

Linux, macOS, atau Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS, atau Cloud Shell)

PowerShell (Windows)

Terraform

Config Connector

Langkah berikutnya

Membuat hak di Privileged Access Manager