Solicita acceso temporal elevado con Privileged Access Manager

Para elevar temporalmente tus privilegios, puedes solicitar un otorgamiento con un derecho en Privileged Access Manager (PAM) por un período fijo.

Un derecho contiene roles que se te otorgan después de que tu solicitud de concesión se realiza correctamente. Privileged Access Manager quita estos roles cuando finaliza el otorgamiento.

Ten en cuenta lo siguiente cuando quieras solicitar un otorgamiento en función de un derecho:

  • Solo puedes solicitar otorgamiento para los derechos a los que se te haya agregado. Para que te agreguen a un derecho, comunícate con la principal que administra el derecho.

  • Puedes tener un máximo de cinco concesiones abiertas por derecho a la vez. Estas concesiones pueden estar en estado Active o Approval awaited.

  • No puedes solicitar un otorgamiento con el mismo alcance que un otorgamiento existente en el estado Active o Approval awaited.

  • Según cómo esté configurada, es posible que una solicitud de otorgamiento requiera aprobación.

  • Si una solicitud de otorgamiento requiere aprobación y no se aprueba ni se rechaza en 24 horas, el estado del otorgamiento cambia a Expired. Después de esto, debes realizar una nueva solicitud de otorgamiento si aún necesitas privilegios elevados.

  • Las solicitudes de otorgamiento correctas pueden tardar unos minutos en aplicarse.

Solicita una subvención

Console

  1. Ve a la página Privileged Access Manager.

    Ir a Privileged Access Manager

  2. Selecciona la organización, la carpeta o el proyecto en el que deseas solicitar un otorgamiento.

  3. En la pestaña Mis derechos, busca el derecho para el que deseas solicitar un otorgamiento y, luego, haz clic en Solicitar otorgamiento en la misma fila.

    En el caso de los derechos heredados de una organización o carpeta principal, el alcance del otorgamiento se ajusta automáticamente a la organización, la carpeta o el proyecto seleccionados. Puedes solicitar un otorgamiento de derechos para el derecho heredado a nivel del recurso secundario. Esta función está disponible en vista previa.

  4. Si el nivel Premium o Enterprise de Security Command Center está activado a nivel de la organización, puedes personalizar el alcance de tu solicitud de otorgamiento para incluir solo algunos roles y recursos específicos. Esta función está disponible en vista previa.

    1. Activa el botón de activación Personalizar el alcance.
    2. Agrega los filtros de recursos obligatorios. Puedes agregar hasta cinco filtros de recursos.
    3. Selecciona los roles necesarios.

  5. Proporciona los siguientes detalles:

    • Es la duración requerida para el otorgamiento, hasta la duración máxima establecida en el derecho.

    • Si es necesario, una justificación para el otorgamiento.

    • Opcional: Direcciones de correo electrónico para las notificaciones.

      Las identidades de Google asociadas con el derecho, como los aprobadores y los solicitantes, reciben notificaciones automáticamente. Sin embargo, si quieres notificar a más personas, puedes agregar sus direcciones de correo electrónico. Esto es especialmente útil si usas identidades de personal en lugar de Cuentas de Google.

  6. Haz clic en Solicitar concesión.

gcloud

Puedes solicitar un subsidio con una de las siguientes opciones:

Solicita un otorgamiento de derechos

El comando gcloud alpha pam grants create solicita un otorgamiento.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • ENTITLEMENT_ID: Es el ID del derecho con el que se creará el otorgamiento.
  • GRANT_DURATION: Es la duración solicitada del otorgamiento, en segundos.
  • JUSTIFICATION: La justificación para solicitar el otorgamiento.
  • EMAIL_ADDRESS: Opcional Direcciones de correo electrónico adicionales para notificar la solicitud de otorgamiento. Se notifica automáticamente a las identidades de Google asociadas con los aprobadores. Sin embargo, es posible que desees notificar a un conjunto diferente de direcciones de correo electrónico, en especial si usas la federación de identidades de personal.
  • RESOURCE_TYPE: Opcional Es el tipo de recurso al que pertenece el derecho. Usa el valor organization, folder o project.
  • RESOURCE_ID: Se usa con RESOURCE_TYPE. Es el ID del proyecto, la carpeta o la organización de Google Cloud para el que deseas administrar los derechos. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

Deberías recibir una respuesta similar a la que figura a continuación:

Created [GRANT_ID].

Solicita un otorgamiento de derechos en un recurso secundario de un derecho

El comando gcloud alpha pam grants create solicita un otorgamiento.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • ENTITLEMENT_ID: Es el ID del derecho con el que se creará el otorgamiento.
  • GRANT_DURATION: Es la duración solicitada del otorgamiento, en segundos.
  • JUSTIFICATION: La justificación para solicitar el otorgamiento.
  • EMAIL_ADDRESS: Opcional Direcciones de correo electrónico adicionales para notificar la solicitud de otorgamiento. Se notifica automáticamente a las identidades de Google asociadas con los aprobadores. Sin embargo, es posible que desees notificar a un conjunto diferente de direcciones de correo electrónico, en especial si usas la federación de identidades de personal.
  • RESOURCE_TYPE: Opcional Es el tipo de recursos de Google Cloud a los que se otorgará acceso. Se usa para personalizar el alcance del permiso en un recurso secundario.
  • RESOURCE_ID: Se usa con RESOURCE_TYPE. Es el ID del proyecto, la carpeta o la organización de Google Cloud para el que deseas administrar los derechos. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
  • REQUESTED_RESOURCE: Opcional Los recursos Google Cloud a los que deseas que se te otorgue acceso. Se usa para personalizar el alcance del permiso en un recurso secundario. Formato: RESOURCE_TYPE/RESOURCE_ID. Ejemplo: projects/PROJECT_ID, folders/FOLDER_ID o organizations/ORGANIZATION_ID.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-resources=REQUESTED_RESOURCE

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-resources=REQUESTED_RESOURCE

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-resources=REQUESTED_RESOURCE

Deberías recibir una respuesta similar a la que figura a continuación:

Created [GRANT_ID].

Solicita un otorgamiento de derechos con un alcance detallado

El comando gcloud alpha pam grants create solicita un otorgamiento.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • ENTITLEMENT_ROLE_BINDING_ID: Opcional.Es el ID de la vinculación de función del rol que se otorgará a partir del derecho.
  • ACCESS_RESTRICTION_NAME: Opcional Son los nombres de los recursos a los que se restringirá el acceso. Para obtener información sobre el formato, consulta Formato de nombre de recurso.
  • ACCESS_RESTRICTION_PREFIX: Opcional Son los prefijos de nombres de recursos a los que se restringirá el acceso. Para obtener información sobre el formato, consulta Formato de nombre de recurso.
  • RESOURCE_TYPE: Opcional Es el tipo de recurso al que pertenece el derecho. Usa el valor organization, folder o project.
  • RESOURCE_ID: Se usa con RESOURCE_TYPE. Es el ID del proyecto, la carpeta o la organización de Google Cloud para el que deseas administrar los derechos. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
  • REQUESTED_RESOURCE_TYPE. Es opcional. Es el tipo de recursos de Google Cloud a los que se otorgará acceso. Se usa para personalizar el alcance del permiso en un recurso secundario.
  • REQUESTED_RESOURCE: Opcional Los recursos Google Cloud a los que deseas que se te otorgue acceso. Se usa para personalizar el alcance del permiso en un recurso secundario. Formato: RESOURCE_TYPE/RESOURCE_ID. Ejemplo: projects/PROJECT_ID, folders/FOLDER_ID o organizations/ORGANIZATION_ID.

Guarda el siguiente código en un archivo llamado requested-scope.yaml . 

- gcpIamAccess:
    resource: REQUESTED_RESOURCE
    resourceType: REQUESTED_RESOURCE_TYPE
    roleBindings:
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_1
      accessRestrictions:
        resourceNames:
        - ACCESS_RESTRICTION_NAME_1
        - ACCESS_RESTRICTION_NAME_2
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_2
      accessRestrictions:
        resourceNamePrefixes:
        - ACCESS_RESTRICTION_PREFIX_1
        - ACCESS_RESTRICTION_PREFIX_2

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-access-from-file=requested-scope.yaml

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-access-from-file=requested-scope.yaml

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-access-from-file=requested-scope.yaml

Deberías recibir una respuesta similar a la que figura a continuación:

Created [GRANT_ID].

REST

  1. Busca los derechos que puedes solicitar.

    El método searchEntitlements de la API de Privileged Access Manager con el tipo de acceso del emisor GRANT_REQUESTER busca derechos para los que puedes solicitar un otorgamiento.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • SCOPE: La organización, la carpeta o el proyecto en el que se encuentra el derecho, en el formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
    • FILTER: Opcional Muestra los derechos cuyos valores de campo coinciden con una expresión de AIP-160.
    • PAGE_SIZE: Opcional Es la cantidad de elementos que se mostrarán en una respuesta.
    • PAGE_TOKEN: Opcional La página desde la que se debe iniciar la respuesta, con un token de página que se muestra en una respuesta anterior.

    Método HTTP y URL: 

    GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

    {
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}
  2. Solicita un otorgamiento en función de un derecho.

    El método createGrant de la API de Privileged Access Manager solicita un otorgamiento.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • SCOPE: La organización, la carpeta o el proyecto en el que se encuentra el derecho, en el formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
    • ENTITLEMENT_ID: Es el ID del derecho con el que se creará el otorgamiento.
    • REQUEST_ID: Opcional Debe ser un UUID distinto de cero. Si el servidor recibe una solicitud con un ID de solicitud, verifica si ya se completó otra solicitud con ese ID en los últimos 60 minutos. Si es así, se ignorará la nueva solicitud.
    • GRANT_DURATION: Es la duración solicitada del otorgamiento, en segundos.
    • JUSTIFICATION: La justificación para solicitar el otorgamiento.
    • EMAIL_ADDRESS: Opcional Direcciones de correo electrónico adicionales para notificar la solicitud de otorgamiento. Se notifica automáticamente a las identidades de Google asociadas con los aprobadores. Sin embargo, es posible que desees notificar a un conjunto diferente de direcciones de correo electrónico, en especial si usas la federación de identidades de personal.
    • ENTITLEMENT_ROLE_BINDING_ID: Opcional Es el ID de la vinculación del rol que se otorgará a partir del derecho.
    • ACCESS_RESTRICTION_NAME: Opcional Son los nombres de los recursos a los que se restringirá el acceso. Para obtener información sobre el formato, consulta Formato de nombre de recurso.
    • ACCESS_RESTRICTION_PREFIX: Opcional Son los prefijos de nombres de recursos a los que se restringirá el acceso. Para obtener información sobre el formato, consulta Formato de nombre de recurso.

    Método HTTP y URL: 

    POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

    Cuerpo JSON de la solicitud:

    {
  "requestedDuration": "GRANT_DURATIONs",
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
  ],
  "requestedPrivilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "REQUESTED_RESOURCE_TYPE",
      "resource": "REQUESTED_RESOURCE",
      "roleBindings": [
        {
          "entitlementRoleBindingId": "ENTITLEMENT_ROLE_BINDING_ID",
          "accessRestrictions": {
            "resourceNames": [
              "ACCESS_RESTRICTION_NAME"
            ],
            "resourceNamePrefixes": [
              "ACCESS_RESTRICTION_PREFIX"
            ],
          },
        }
      ],
    }
  },
}

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

    {
   "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
   "createTime": "2024-03-06T03:08:49.330577625Z",
   "updateTime": "2024-03-06T03:08:49.625874598Z",
   "requester": "alex@example.com",
   "requestedDuration": "3600s",
   "justification": {
     "unstructuredJustification": "Emergency service for outage"
   },
   "state": "APPROVAL_AWAITED",
   "timeline": {
     "events": [
       {
         "eventTime": "2024-03-06T03:08:49.462765846Z",
         "requested": {
           "expireTime": "2024-03-07T03:08:49.462765846Z"
         }
       }
     ]
   },
   "privilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "id": "hwqrt_1",
           "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
         }
       ]
     }
   },
   "requestedPrivilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "entitlementRoleBindingId": "hwqrt_1",
           "accessRestrictions": {
             "resourceNames": [
"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
             ],
             "resourceNamePrefixes": [                  "//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
             ]
           }
         }
       ]
     }
   },
   "additionalEmailRecipients": [
     "bola@google.com"
   ]
}

Verifica el estado de tu solicitud de otorgamiento

Console

  1. Ve a la página Privileged Access Manager.

    Ir a Privileged Access Manager

  2. Selecciona la organización, la carpeta o el proyecto en los que deseas ver los otorgamientos.

  3. En la pestaña Subvenciones, haz clic en Mis subvenciones.

    Tu subsidio puede tener uno de los siguientes estados:

    Estado Descripción
    Activando El otorgamiento está en proceso de activación.
    error de activación Privileged Access Manager no pudo otorgar los roles debido a un error no recuperable.
    Activas El otorgamiento está activo y el principal tiene acceso a los recursos que permiten los roles.
    Aprobación pendiente La solicitud de otorgamiento está esperando la decisión de un revisor.
    Rechazada Un revisor rechazó la solicitud de otorgamiento.
    Finalizado El otorgamiento finalizó y se quitaron los roles del principal.
    Vencida La solicitud de otorgamiento venció porque no se aprobó en un plazo de 24 horas.
    Revocado Se revoca el otorgamiento, y el principal ya no tiene acceso a los recursos que permiten los roles.
    Revocando… El otorgamiento está en proceso de revocación.
    Retiro El otorgamiento está en proceso de retiro.
    Retirada Se retira el otorgamiento, y el principal ya no tiene acceso a los recursos que permiten los roles.

gcloud

El comando gcloud alpha pam grants search que se usa con la relación de emisor had-created busca los otorgamientos que creaste. Para verificar su estado, busca el campo state en la respuesta.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • ENTITLEMENT_ID: Es el ID del derecho al que pertenece el otorgamiento.
  • RESOURCE_TYPE: Opcional Es el tipo de recurso al que pertenece el derecho. Usa el valor organization, folder o project.
  • RESOURCE_ID: Se usa con RESOURCE_TYPE. Es el ID del proyecto, la carpeta o la organización de Google Cloud para el que deseas administrar los derechos. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Deberías recibir una respuesta similar a la que figura a continuación:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
      conditionExpression: resource.name == "//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1" && resource.name.startsWith("//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms")
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
      accessRestrictions:
        resourceNames:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1
        resourceNamePrefixes:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

Los otorgamientos pueden tener los siguientes estados:

Estado Descripción
ACTIVATING El otorgamiento está en proceso de activación.
ACTIVATION_FAILED Privileged Access Manager no pudo otorgar los roles debido a un error no recuperable.
ACTIVE El otorgamiento está activo y el principal tiene acceso a los recursos que permiten los roles.
APPROVAL_AWAITED La solicitud de otorgamiento está esperando la decisión de un revisor.
DENIED Un revisor rechazó la solicitud de otorgamiento.
ENDED El otorgamiento finalizó y se quitaron los roles del principal.
EXPIRED La solicitud de otorgamiento venció porque no se aprobó en un plazo de 24 horas.
REVOKED Se revoca el otorgamiento, y el principal ya no tiene acceso a los recursos que permiten los roles.
REVOKING El otorgamiento está en proceso de revocación.
RETIRO El otorgamiento está en proceso de retiro.
RETIRADO Se retira el otorgamiento, y el principal ya no tiene acceso a los recursos que permiten los roles.

REST

El método searchGrants de la API de Privileged Access Manager que se usa con la relación de emisor HAD_CREATED busca los otorgamientos que creaste. Para verificar su estado, busca el campo state en la respuesta.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • SCOPE: La organización, la carpeta o el proyecto en el que se encuentra el derecho, en el formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
  • ENTITLEMENT_ID: Es el ID del derecho al que pertenece el otorgamiento.
  • FILTER: Opcional Muestra las subvenciones cuyos valores de campo coinciden con una expresión de AIP-160.
  • PAGE_SIZE: Opcional Es la cantidad de elementos que se mostrarán en una respuesta.
  • PAGE_TOKEN: Opcional La página desde la que se debe iniciar la respuesta, con un token de página que se muestra en una respuesta anterior.

Método HTTP y URL: 

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "grants": [
    {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": ["//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": ["//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

En la siguiente tabla, se detallan los estados de las subvenciones.

Estado Descripción
ACTIVATING El otorgamiento está en proceso de activación.
ACTIVATION_FAILED Privileged Access Manager no pudo otorgar los roles debido a un error no recuperable.
ACTIVE El otorgamiento está activo y el principal tiene acceso a los recursos que permiten los roles.
APPROVAL_AWAITED La solicitud de otorgamiento está esperando la decisión de un revisor.
DENIED Un revisor rechazó la solicitud de otorgamiento.
ENDED El otorgamiento finalizó y se quitaron los roles del principal.
EXPIRED La solicitud de otorgamiento venció porque no se aprobó en un plazo de 24 horas.
REVOKED Se revoca el otorgamiento, y el principal ya no tiene acceso a los recursos que permiten los roles.
REVOKING El otorgamiento está en proceso de revocación.
RETIRO El otorgamiento está en proceso de retiro.
RETIRADO Se retira el otorgamiento, y el principal ya no tiene acceso a los recursos que permiten los roles.