Avant de pouvoir créer, modifier ou gérer des droits d'accès et des octrois d'autorisations Privileged Access Manager, vos comptes principaux doivent disposer des autorisations appropriées. Le service doit également être configuré au niveau de l'organisation, du dossier ou du projet.
Les comptes principaux qui demandent des autorisations et approuvent ou refusent les autorisations n'ont besoin d'aucune autorisation spécifique à Privileged Access Manager.
Rôles
Pour obtenir les autorisations nécessaires pour utiliser les droits d'accès et les octrois d'autorisations, demandez à votre administrateur de vous accorder les rôles IAM suivants sur l'organisation, le dossier ou le projet:
-
Pour créer, mettre à jour et supprimer des droits d'accès : administrateur Privileged Access Manager (
roles/privilegedaccessmanager.admin). Ainsi qu'administrateur IAM de dossier (roles/resourcemanager.folderIamAdmin), administrateur IAM de projet (roles/resourcemanager.projectIamAdmin) ou administrateur de la sécurité (roles/iam.securityAdmin). -
Pour afficher les droits d'accès et les octrois d'autorisations : Lecteur Privileged Access Manager (
roles/privilegedaccessmanager.viewer) -
Pour afficher les journaux d'audit : Lecteur de journaux (
roles/logs.viewer)
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour utiliser les droits d'accès et les octrois d'autorisations. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour utiliser les droits d'accès et les octrois d'autorisations :
-
Pour activer Privileged Access Manager au niveau de l'organisation, du dossier ou du projet :
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy
-
-
Pour gérer les droits d'accès et les octrois d'autorisations :
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Pour afficher les droits d'accès et les octrois d'autorisations :
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
- Pour afficher les journaux d'audit :
logging.logEntries.list
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Activer Privileged Access Manager
Une fois que vous disposez des autorisations requises pour activer Privileged Access Manager, procédez comme suit:
Accédez à la page Privileged Access Manager.
Sélectionnez l'organisation, le dossier ou le projet pour lequel vous souhaitez activer Privileged Access Manager.
Cliquez sur Activer PAM pour activer le service pour le champ d'application de la ressource sélectionnée.
Lorsque vous êtes invité à attribuer le rôle Agent de service de Privileged Access Manager à l'agent de service Privileged Access Manager pour gérer les élévations de privilèges, cliquez sur Attribuer le rôle.
Assurez-vous que l'agent de service Privileged Access Manager n'est pas bloqué par les contrôles de sécurité suivants:
Règles de refus: ajoutez l'agent de service Privileged Access Manager au champ
exceptionPrincipalsde vos règles.VPC Service Controls: ajoutez l'agent de service Privileged Access Manager aux niveaux d'accès appropriés ou ajoutez une règle d'entrée au périmètre pour autoriser l'agent de service.
Cliquez sur Terminer la configuration.
Autoriser l'adresse e-mail de Privileged Access Manager
Pour les comptes et groupes de messagerie qui reçoivent des notifications par e-mail de Privileged Access Manager, ajoutez pam-noreply@google.com à vos listes d'autorisation afin que l'e-mail ne soit pas bloqué.