Sebelum Anda dapat mulai membuat, mengubah, atau mengelola hak dan pemberian Privileged Access Manager, akun utama Anda harus memiliki izin yang sesuai. Layanan juga harus disiapkan di tingkat organisasi, folder, atau project.
Akun utama yang meminta pemberian dan menyetujui atau menolak pemberian tersebut tidak memerlukan izin khusus Privileged Access Manager.
Sebelum memulai
Pastikan Anda memiliki izin Identity and Access Management (IAM) yang diperlukan untuk menyiapkan dan mengelola izin Privileged Access Manager.
Untuk mendapatkan izin yang diperlukan untuk menggunakan hak dan pemberian, minta administrator untuk memberi Anda peran IAM berikut pada organisasi, folder, atau project:
-
Untuk membuat, memperbarui, dan menghapus hak untuk organisasi:
Privileged Access Manager Admin (
roles/privilegedaccessmanager.admin) dan Security Admin (roles/iam.securityAdmin) -
Untuk membuat, memperbarui, dan menghapus hak akses untuk folder:
Admin Pengelola Akses Istimewa dan Admin IAM Folder (
roles/resourcemanager.folderAdmin) -
Untuk membuat, memperbarui, dan menghapus hak untuk project:
Admin Pengelola Akses Istimewa dan Admin IAM Project (
roles/resourcemanager.projectIamAdmin) -
Untuk melihat hak dan pemberian:
Privileged Access Manager Viewer (
roles/privilegedaccessmanager.viewer) -
Untuk melihat log audit:
Logs Viewer (
roles/logs.viewer)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk menggunakan hak dan pemberian. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk menggunakan hak dan pemberian:
-
Untuk mengaktifkan Privileged Access Manager di tingkat organisasi:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
serviceusage.services.enable
-
-
Untuk mengelola hak dan pemberian untuk organisasi:
-
resourcemanager.organizations.get -
resourcemanager.organizations.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Untuk melihat hak dan pemberian untuk organisasi:
-
resourcemanager.organizations.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Untuk mengaktifkan Privileged Access Manager di tingkat folder:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
serviceusage.services.enable
-
-
Untuk mengelola hak dan pemberian akses untuk folder:
-
resourcemanager.folders.get -
resourcemanager.folders.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Untuk melihat hak dan pemberian untuk folder:
-
resourcemanager.folders.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Untuk mengaktifkan Privileged Access Manager di tingkat project:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy -
serviceusage.services.enable
-
-
Untuk mengelola hak dan pemberian untuk project:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Untuk melihat hak dan pemberian untuk project:
-
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Untuk melihat log audit:
logging.logEntries.list
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Mengaktifkan Privileged Access Manager
Untuk mengaktifkan Privileged Access Manager, Anda perlu memberikan peran Agen Layanan Privileged Access Manager kepada Agen Layanan Privileged Access Manager untuk organisasi, folder, atau project Anda.
Untuk memberikan peran ini kepada agen layanan, lakukan hal berikut:
Buka halaman Privileged Access Manager.
Pilih organisasi, folder, atau project yang ingin Anda aktifkan Privileged Access Manager.
Klik Siapkan PAM untuk memulai proses penyiapan.
Untuk memberikan akses ke peran Privileged Access Manager Service Agent kepada agen layanan Privileged Access Manager untuk mengelola eskalasi hak istimewa, klik Berikan peran.
Pastikan agen layanan Privileged Access Manager ditambahkan ke kontrol keamanan berikut:
Kebijakan penolakan: Tambahkan agen layanan Privileged Access Manager ke kolom
exceptionPrincipalskebijakan Anda.Kontrol Layanan VPC: Tambahkan agen layanan Privileged Access Manager ke tingkat akses yang sesuai, atau tambahkan aturan ingress ke perimeter untuk mengizinkan agen layanan.
Klik Selesaikan penyiapan.
Izinkan alamat email Privileged Access Manager
Untuk akun dan grup email yang menerima notifikasi email Privileged Access Manager, tambahkan pam-noreply@google.com ke daftar yang diizinkan agar email tidak diblokir.