Bevor Sie Berechtigungen und Genehmigungen für Privileged Access Manager erstellen, ändern oder verwalten können, müssen Ihre Hauptkonten die entsprechenden Berechtigungen haben. Der Dienst muss außerdem auf Organisations-, Ordner- oder Projektebene eingerichtet werden.
Hauptkonten, die Erteilungen anfordern und Erteilungen genehmigen oder ablehnen, benötigen keine Privileged Access Manager-spezifischen Berechtigungen.
Rollen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation, den Ordner oder das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Arbeit mit Berechtigungen und Erteilungen benötigen:
-
Berechtigungen erstellen, aktualisieren und löschen:
Administrator von Privileged Access Manager (
roles/privilegedaccessmanager.admin). Zusätzlich entweder Ordner-IAM-Administrator (roles/resourcemanager.folderIamAdmin), Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin) oder Sicherheitsadministrator (roles/iam.securityAdmin) -
So rufen Sie Berechtigungen und Erteilungen auf:
Privileged Access Manager Viewer (
roles/privilegedaccessmanager.viewer) -
So rufen Sie Audit-Logs auf:
Logbetrachter (
roles/logs.viewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Arbeiten mit Berechtigungen und Erteilungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um mit Berechtigungen und Erteilungen zu arbeiten:
-
So aktivieren Sie den Privileged Access Manager auf Organisations-, Ordner- oder Projektebene:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
-
-
So verwalten Sie Berechtigungen und Erteilungen:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
So rufen Sie Berechtigungen und Erteilungen auf:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
- So sehen Sie Audit-Logs ein:
logging.logEntries.list
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Privileged Access Manager aktivieren
Sobald Sie die erforderlichen Berechtigungen zum Aktivieren von Privileged Access Manager haben, führen Sie die folgenden Schritte aus:
Rufen Sie die Seite Privileged Access Manager auf.
Wählen Sie die Organisation, den Ordner oder das Projekt aus, für das Sie den Privileged Access Manager aktivieren möchten.
Klicken Sie auf PAM aktivieren, um den Dienst für den ausgewählten Ressourcenbereich zu aktivieren.
Wenn Sie aufgefordert werden, dem Privileged Access Manager-Dienst-Agent die Rolle Privileged Access Manager-Dienst-Agent zu erteilen, um Berechtigungseskalierungen zu verwalten, klicken Sie auf Rolle gewähren.
Achten Sie darauf, dass der Privileged Access Manager-Dienstagent nicht durch die folgenden Sicherheitsmaßnahmen blockiert wird:
Ablehnungsrichtlinien: Fügen Sie den Dienst-Agent von Privileged Access Manager dem Feld
exceptionPrincipalsIhrer Richtlinien hinzu.VPC Service Controls: Fügen Sie den Dienstagent von Privileged Access Manager den entsprechenden Zugriffsebenen hinzu oder fügen Sie dem Perimeter eine Eingangsregel hinzu, um den Dienstagent zuzulassen.
Klicken Sie auf Einrichtung abschließen.
E-Mail-Adresse des Privileged Access Managers zulassen
Fügen Sie E-Mail-Konten und ‑Gruppen, die E-Mail-Benachrichtigungen von Privileged Access Manager erhalten, pam-noreply@google.com zu den Zulassungslisten hinzu, damit die E-Mails nicht blockiert werden.