Antes de que puedas comenzar a crear, modificar o administrar los derechos y las concesiones de Privileged Access Manager, tus principales deben tener los permisos correspondientes. El servicio también se debe configurar a nivel de la organización, la carpeta o el proyecto.
Las principales que solicitan otorgamientos y los aprueban o rechazan no requieren ningún permiso específico de Privileged Access Manager.
Funciones
Para obtener los permisos que necesitas para trabajar con derechos y concesiones, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización, la carpeta o el proyecto:
-
Para crear, actualizar y borrar derechos: Administrador de Privileged Access Manager (
roles/privilegedaccessmanager.admin). Además, administrador de IAM de la carpeta (roles/resourcemanager.folderIamAdmin), administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) o administrador de seguridad (roles/iam.securityAdmin) -
Para ver los derechos y los otorgamientos: Visualizador de Privileged Access Manager (
roles/privilegedaccessmanager.viewer) -
Para ver los registros de auditoría, usa el Visualizador de registros (
roles/logs.viewer).
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para trabajar con derechos y concesiones. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para trabajar con derechos y concesiones:
-
Para habilitar el Administrador de acceso con privilegios en el alcance de la organización, la carpeta o el proyecto, haz lo siguiente:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
-
-
Para administrar los derechos y los otorgamientos, sigue estos pasos:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ver los derechos y las concesiones, haz lo siguiente:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ver los registros de auditoría, haz lo siguiente:
logging.logEntries.list
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Habilita el administrador de acceso con privilegios
Una vez que tengas los permisos necesarios para habilitar el Administrador de acceso con privilegios, completa los siguientes pasos:
Ve a la página Privileged Access Manager.
Selecciona la organización, la carpeta o el proyecto para el que deseas habilitar el Administrador de acceso con privilegios.
Haz clic en Habilitar PAM para habilitar el servicio para el alcance de recursos seleccionado.
Cuando se te solicite otorgar el rol de Agente de servicio de Privileged Access Manager al Agente de servicio de Privileged Access Manager para administrar las derivaciones de privilegios, haz clic en Otorgar rol.
Asegúrate de que los siguientes controles de seguridad no bloqueen el agente de servicio de Privileged Access Manager:
Políticas de denegación: Agrega el agente de servicio de Privileged Access Manager al campo
exceptionPrincipalsde tus políticas.Controles del servicio de VPC: Agrega el agente de servicio de Privileged Access Manager a los niveles de acceso adecuados o agrega una regla de entrada al perímetro para permitir el agente de servicio.
Haz clic en Completar la configuración.
Permite la dirección de correo electrónico de Privileged Access Manager
En el caso de las cuentas y los grupos de correo electrónico que reciben notificaciones por correo electrónico del Administrador de acceso con privilegios, agrega pam-noreply@google.com a tus listas de entidades permitidas para que no se bloquee el correo electrónico.