Antes de que puedas comenzar a crear, modificar o administrar los derechos y las concesiones de Privileged Access Manager, tus principales deben tener los permisos correspondientes. El servicio también se debe configurar a nivel de la organización, la carpeta o el proyecto.
Las principales que solicitan otorgamientos y los aprueban o rechazan no requieren ningún permiso específico de Privileged Access Manager.
Antes de comenzar
Asegúrate de tener los permisos necesarios de Identity and Access Management (IAM) para configurar y administrar los permisos de Privileged Access Manager.
Para obtener los permisos que necesitas para trabajar con derechos y concesiones, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización, la carpeta o el proyecto:
-
Para crear, actualizar y borrar derechos para una organización: Administrador de Privileged Access Manager (
roles/privilegedaccessmanager.admin) y Administrador de seguridad (roles/iam.securityAdmin) -
Para crear, actualizar y borrar derechos para una carpeta:
Administrador de Privileged Access Manager y Administrador de IAM de la carpeta (
roles/resourcemanager.folderAdmin) -
Para crear, actualizar y borrar derechos para un proyecto:
Administrador de Privileged Access Manager y Administrador de IAM del proyecto (
roles/resourcemanager.projectIamAdmin) -
Para ver los derechos y los otorgamientos:
Visualizador de Privileged Access Manager (
roles/privilegedaccessmanager.viewer) -
Para ver los registros de auditoría, usa el Visualizador de registros (
roles/logs.viewer).
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para trabajar con derechos y concesiones. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para trabajar con derechos y concesiones:
-
Para habilitar Privileged Access Manager a nivel de la organización, haz lo siguiente:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
serviceusage.services.enable
-
-
Para administrar los derechos y las concesiones de una organización, sigue estos pasos:
-
resourcemanager.organizations.get -
resourcemanager.organizations.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ver los derechos y las concesiones de una organización, haz lo siguiente:
-
resourcemanager.organizations.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para habilitar el Administrador de acceso con privilegios a nivel de la carpeta, haz lo siguiente:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
serviceusage.services.enable
-
-
Para administrar los derechos y las concesiones de una carpeta, sigue estos pasos:
-
resourcemanager.folders.get -
resourcemanager.folders.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ver los derechos y las concesiones de una carpeta, haz lo siguiente:
-
resourcemanager.folders.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para habilitar el Administrador de acceso con privilegios a nivel del proyecto, haz lo siguiente:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy -
serviceusage.services.enable
-
-
Para administrar los derechos y las concesiones de un proyecto, sigue estos pasos:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ver los derechos y las concesiones de un proyecto, haz lo siguiente:
-
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Para ver los registros de auditoría, haz lo siguiente:
logging.logEntries.list
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Habilita el administrador de acceso con privilegios
Para habilitar el Administrador de acceso con privilegios, debes otorgar el rol de Agente de servicio de Privileged Access Manager al agente de servicio de Privileged Access Manager de tu organización, carpeta o proyecto.
Para otorgar este rol al agente de servicio, haz lo siguiente:
Ve a la página Privileged Access Manager.
Selecciona la organización, la carpeta o el proyecto para el que deseas habilitar el Administrador de acceso con privilegios.
Haz clic en Configurar PAM para iniciar el proceso de configuración.
Para otorgar acceso al rol de Agente de servicio de Privileged Access Manager al Agente de servicio de Privileged Access Manager para administrar las derivaciones de privilegios, haz clic en Otorgar rol.
Asegúrate de que el agente de servicio de Privileged Access Manager se agregue a los siguientes controles de seguridad:
Políticas de denegación: Agrega el agente de servicio de Privileged Access Manager al campo
exceptionPrincipalsde tus políticas.Controles del servicio de VPC: Agrega el agente de servicio de Privileged Access Manager a los niveles de acceso adecuados o agrega una regla de entrada al perímetro para permitir el agente de servicio.
Haz clic en Completar la configuración.
Permite la dirección de correo electrónico de Privileged Access Manager
En el caso de las cuentas y los grupos de correo electrónico que reciben notificaciones por correo electrónico del Administrador de acceso con privilegios, agrega pam-noreply@google.com a tus listas de entidades permitidas para que no se bloquee el correo electrónico.