Prima di poter iniziare a creare, modificare o gestire i diritti e le concessioni di Privileged Access Manager, i tuoi principali devono disporre delle autorizzazioni appropriate. Il servizio deve essere configurato anche a livello di organizzazione, cartella o progetto.
Le entità che richiedono le concessioni e le approvano o le rifiutano non richiedono autorizzazioni specifiche di Privileged Access Manager.
Prima di iniziare
Assicurati di disporre delle autorizzazioni IAM (Identity and Access Management) necessarie per configurare e gestire le autorizzazioni di Privileged Access Manager.
Per ottenere le autorizzazioni necessarie per gestire i diritti e le concessioni, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione, nella cartella o nel progetto:
-
Per creare, aggiornare ed eliminare i diritti:
Privileged Access Manager Admin (
roles/privilegedaccessmanager.admin). Inoltre, Folder IAM Admin (roles/resourcemanager.folderIamAdmin), Project IAM Admin (roles/resourcemanager.projectIamAdmin) o Security Admin (roles/iam.securityAdmin) -
Per visualizzare i diritti e le concessioni:
Privileged Access Manager Viewer (
roles/privilegedaccessmanager.viewer) -
Per visualizzare i log di controllo:
Visualizzatore log (
roles/logs.viewer)
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per lavorare con diritti e concessioni. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per lavorare con diritti e concessioni sono necessarie le seguenti autorizzazioni:
-
Per attivare Privileged Access Manager nell'ambito dell'organizzazione, della cartella o del progetto:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy -
serviceusage.services.enable
-
-
Per gestire i diritti e le concessioni:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare i diritti e le concessioni:
-
resourcemanager.folders.get -
resourcemanager.organizations.get -
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.locations.get -
privilegedaccessmanager.locations.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare gli audit log:
logging.logEntries.list
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Abilita il Gestore accessi con privilegi
Per attivare Privileged Access Manager, devi assegnare il ruolo Privileged Access Manager Service Agent all'agente di servizio Privileged Access Manager per la tua organizzazione, cartella o progetto.
Per concedere questo ruolo all'agente di servizio:
Vai alla pagina Privileged Access Manager.
Seleziona l'organizzazione, la cartella o il progetto per cui vuoi attivare Privileged Access Manager.
Fai clic su Configura PAM per avviare la procedura di configurazione.
Per concedere l'accesso al ruolo Privileged Access Manager Service Agent al Privileged Access Manager Service Agent per gestire le riassegnazioni dei privilegi, fai clic su Concede ruolo.
Assicurati che l'agente di servizio Privileged Access Manager sia aggiunto ai seguenti controlli di sicurezza:
Criteri di rifiuto: aggiungi l'agente di servizio Privileged Access Manager al campo
exceptionPrincipalsdei tuoi criteri.Controlli di servizio VPC: aggiungi l'agente di servizio Privileged Access Manager ai livelli di accesso appropriati oppure aggiungi una regola di ingresso al perimetro per consentire l'agente di servizio.
Fai clic su Completa la configurazione.
Consenti l'indirizzo email di Privileged Access Manager
Per gli account email e i gruppi che ricevono notifiche via email di Privileged Access Manager, aggiungi pam-noreply@google.com alle liste consentite in modo che l'email non venga bloccata.