Sebelum Anda dapat mulai membuat, mengubah, atau mengelola hak dan pemberian Privileged Access Manager, akun utama Anda harus memiliki izin yang sesuai. Layanan juga harus disiapkan di tingkat organisasi, folder, atau project.
Akun utama yang meminta pemberian dan menyetujui atau menolak pemberian tidak memerlukan izin khusus Privileged Access Manager.
Sebelum memulai
Pastikan Anda memiliki izin Identity and Access Management (IAM) yang diperlukan untuk menyiapkan dan mengelola izin Privileged Access Manager.
Untuk mendapatkan izin yang Anda perlukan untuk menggunakan hak dan hibah, minta administrator untuk memberi Anda peran IAM berikut di organisasi, folder, atau project:
-
Untuk membuat, memperbarui, dan menghapus hak untuk organisasi:
Privileged Access Manager Admin (
roles/privilegedaccessmanager.admin) dan Security Admin (roles/iam.securityAdmin) -
Untuk membuat, memperbarui, dan menghapus hak untuk folder:
Privileged Access Manager Admin dan Folder IAM Admin (
roles/resourcemanager.folderAdmin) -
Untuk membuat, memperbarui, dan menghapus hak untuk project:
Privileged Access Manager Admin dan Project IAM Admin (
roles/resourcemanager.projectIamAdmin) -
Untuk melihat hak dan pemberian:
Privileged Access Manager Viewer (
roles/privilegedaccessmanager.viewer) -
Untuk melihat log audit:
Logs Viewer (
roles/logs.viewer)
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran bawaan ini berisi izin yang diperlukan untuk menggunakan hak dan hibah. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk menggunakan hak dan hibah:
-
Untuk mengaktifkan Privileged Access Manager di tingkat organisasi:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
serviceusage.services.enable
-
-
Untuk mengelola hak dan hibah untuk organisasi:
-
resourcemanager.organizations.get -
resourcemanager.organizations.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Untuk melihat hak dan hibah untuk organisasi:
-
resourcemanager.organizations.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Untuk mengaktifkan Privileged Access Manager di tingkat folder:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
serviceusage.services.enable
-
-
Untuk mengelola hak dan pemberian untuk folder:
-
resourcemanager.folders.get -
resourcemanager.folders.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Untuk melihat hak dan pemberian untuk folder:
-
resourcemanager.folders.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Untuk mengaktifkan Privileged Access Manager di tingkat project:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy -
serviceusage.services.enable
-
-
Untuk mengelola hak dan hibah untuk project:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Untuk melihat hak dan hibah untuk project:
-
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Untuk melihat log audit:
logging.logEntries.list
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.
Mengaktifkan Privileged Access Manager
Untuk mengaktifkan Privileged Access Manager, Anda harus memberikan peran Privileged Access Manager Service Agent kepada Privileged Access Manager Service Agent untuk organisasi, folder, atau project Anda.
Untuk memberikan peran ini kepada agen layanan, lakukan hal berikut:
Buka halaman Privileged Access Manager.
Pilih organisasi, folder, atau project tempat Anda ingin mengaktifkan Privileged Access Manager.
Klik Siapkan PAM untuk memulai proses penyiapan.
Untuk memberikan akses ke peran Privileged Access Manager Service Agent kepada Privileged Access Manager service agent untuk mengelola eskalasi hak istimewa, klik Grant role.
Pastikan agen layanan Privileged Access Manager ditambahkan ke kontrol keamanan berikut:
Kebijakan penolakan: Tambahkan agen layanan Privileged Access Manager ke kolom
exceptionPrincipalskebijakan Anda.Kontrol Layanan VPC: Tambahkan agen layanan Privileged Access Manager ke tingkat akses yang sesuai, atau tambahkan aturan ingress ke perimeter untuk mengizinkan agen layanan.
Klik Complete setup.
Mengizinkan alamat email Privileged Access Manager
Untuk akun dan grup email yang menerima notifikasi email Privileged Access Manager, tambahkan pam-noreply@google.com ke daftar yang diizinkan agar email tidak diblokir.