Meminta akses yang ditingkatkan sementara dengan Privileged Access Manager

Untuk meningkatkan hak istimewa Anda untuk sementara, Anda dapat meminta pemberian hak terhadap hak di Privileged Access Manager (PAM) selama durasi tetap.

Hak berisi peran yang diberikan kepada Anda setelah permintaan pemberian hak Anda berhasil. Peran ini dihapus oleh Privileged Access Manager saat pemberian akses berakhir.

Perhatikan hal berikut saat Anda ingin meminta pemberian hak atas hak:

  • Anda hanya dapat meminta pemberian terhadap hak yang telah ditambahkan kepada Anda. Untuk ditambahkan ke hak, hubungi akun utama yang mengelola hak tersebut.

  • Anda hanya dapat memiliki satu hibah aktif untuk satu hak pada satu waktu.

  • Bergantung pada penyiapannya, permintaan pemberian mungkin memerlukan persetujuan agar dapat diberikan.

  • Jika permintaan pemberian memerlukan persetujuan dan tidak disetujui atau ditolak dalam waktu 24 jam, status pemberian akan berubah menjadi Expired. Setelah itu, Anda harus membuat permintaan pemberian baru jika eskalasi hak istimewa masih diperlukan.

  • Penerapan permintaan pemberian yang berhasil mungkin memerlukan waktu beberapa menit.

Meminta hibah menggunakan konsol Google Cloud

Untuk meminta pemberian izin terhadap hak, selesaikan petunjuk berikut:

  1. Buka halaman Privileged Access Manager.

    Buka Privileged Access Manager

  2. Pilih organisasi, folder, atau project tempat Anda ingin meminta pemberian.

  3. Di tab Hak saya, temukan hak yang akan diminta, lalu klik Minta pemberian di baris yang sama.

  4. Berikan detail berikut:

    • Durasi yang diperlukan untuk pemberian, hingga durasi maksimum yang ditetapkan pada hak.

    • Jika diperlukan, berikan justifikasi untuk pemberian izin.

    • Opsional: Alamat email yang akan diberi tahu tentang permintaan pemberian akses. Identitas Google yang terkait dengan pemberi persetujuan akan diberi tahu secara otomatis. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.

  5. Klik Minta pemberian akses.

  6. Untuk melihat histori hibah Anda termasuk status persetujuan, klik tab Hibah, lalu tab Hibah saya.

Meminta hibah secara terprogram

Untuk meminta pemberian izin terhadap hak, Anda harus menyelesaikan langkah-langkah berikut:

  1. Telusuri ID hak yang tersedia yang dapat Anda minta pemberiannya.

  2. Minta hibah.

Setelah itu, Anda dapat memeriksa status pemberian hak akses untuk melihat apakah hak akses tersebut aktif, yang berarti Anda telah menerima peningkatan sementara.

Menelusuri hak yang tersedia

gcloud

Perintah gcloud pam entitlements search dengan jenis akses pemanggil grant-requester menelusuri hak yang dapat Anda minta pemberiannya.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: Opsional. Jenis resource yang haknya termasuk di dalamnya. Gunakan nilai organization, folder, atau project.
  • RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID Google Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud pam entitlements search \
    --caller-access-type=grant-requester \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud pam entitlements search `
    --caller-access-type=grant-requester `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud pam entitlements search ^
    --caller-access-type=grant-requester ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
createTime: '22024-03-26T11:07:37.009498890Z'
etag: ETAG
maxRequestDuration: 3600s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requesterJustificationConfig:
  notMandatory: {}
state: AVAILABLE
updateTime: '2024-03-26T11:07:40.056780645Z'

REST

Metode searchEntitlements Privileged Access Manager API dengan jenis akses pemanggil GRANT_REQUESTER menelusuri hak yang dapat Anda minta pemberiannya.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • FILTER: Opsional. Menampilkan hak yang nilai kolomnya cocok dengan ekspresi AIP-160.
  • PAGE_SIZE: Opsional. Jumlah item yang akan ditampilkan dalam respons.
  • PAGE_TOKEN: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.

Metode HTTP dan URL: 

GET https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

[
  {
    "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
    "createTime": "2023-11-21T17:28:39.962144708Z",
    "updateTime": "2023-11-21T17:28:43.160309410Z",
    "eligibleUsers": [
      {
        "principals": [
          "user:alex@example.com"
        ]
      }
    ],
    "approvalWorkflow": {
      "manualApprovals": {
        "steps": [
          {
            "approvers": [
              {
                "principals": [
                  "user:bola@example.com"
                ]
              }
            ],
            "approvalsNeeded": 1
          }
        ]
      }
    },
    "privilegedAccess": {
      "gcpIamAccess": {
        "resourceType": "cloudresourcemanager.googleapis.com/Project",
        "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
        "roleBindings": [
          {
            "role": "roles/storage.admin"
          }
        ]
      }
    },
    "maxRequestDuration": "14400s",
    "state": "AVAILABLE",
    "requesterJustificationConfig": {
      "unstructured": {}
    },
    "additionalNotificationTargets": {
      "adminEmailRecipients": [
        "alex@example.com"
      ]
    },
    "etag": "ETAG"
  }
]

Meminta pemberian terhadap hak

gcloud

Perintah gcloud pam grants create meminta pemberian.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ENTITLEMENT_ID: ID hak untuk membuat pemberian akses.
  • GRANT_DURATION: Durasi yang diminta untuk pemberian, dalam detik.
  • JUSTIFICATION: Alasan untuk meminta pemberian akses.
  • EMAIL_ADDRESS: Opsional. Alamat email tambahan untuk diberi tahu tentang permintaan pemberian akses. Identitas Google yang terkait dengan pemberi persetujuan akan diberi tahu secara otomatis. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
  • RESOURCE_TYPE: Opsional. Jenis resource yang haknya termasuk di dalamnya. Gunakan nilai organization, folder, atau project.
  • RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID Google Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

Created [GRANT_ID].

REST

Metode createGrant Privileged Access Manager API meminta pemberian akses.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • ENTITLEMENT_ID: ID hak untuk membuat pemberian akses.
  • REQUEST_ID: Opsional. Harus berupa UUID bukan nol. Jika server menerima permintaan dengan ID permintaan, server akan memeriksa apakah permintaan lain dengan ID tersebut telah diselesaikan dalam 60 menit terakhir. Jika ya, permintaan baru akan diabaikan.
  • GRANT_DURATION: Durasi yang diminta untuk pemberian, dalam detik.
  • JUSTIFICATION: Alasan untuk meminta pemberian akses.
  • EMAIL_ADDRESS: Opsional. Alamat email tambahan untuk diberi tahu tentang permintaan pemberian akses. Identitas Google yang terkait dengan pemberi persetujuan akan diberi tahu secara otomatis. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.

Metode HTTP dan URL: 

POST https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

Meminta isi JSON: 

{
  "requestedDuration": "GRANT_DURATIONs",
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
    ...
  ]
}

Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
  "createTime": "2024-03-06T03:08:49.330577625Z",
  "updateTime": "2024-03-06T03:08:49.330577625Z",
  "requester": "bola@example.com",
  "requestedDuration": "3600s",
  "justification": {
    "unstructuredJustification": "Emergency service for outage"
  },
  "state": "APPROVAL_AWAITED",
  "timeline": {
    "events": [
      {
        "eventTime": "2024-03-06T03:08:49.462765846Z",
        "requested": {
          "expireTime": "2024-03-07T03:08:49.462765846Z"
        }
      }
    ]
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
      "roleBindings": [
        {
          "role": "roles/storage.admin"
        }
      ]
    }
  },
  "additionalEmailRecipients": [
    "alex@example.com"
  ]
}

Memeriksa status permintaan hibah Anda

gcloud

Perintah gcloud pam grants search yang digunakan dengan hubungan pemanggil had-created menelusuri hibah yang telah Anda buat. Untuk memeriksa statusnya, cari kolom state dalam respons.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ENTITLEMENT_ID: ID hak yang memiliki pemberian.
  • RESOURCE_TYPE: Opsional. Jenis resource yang haknya termasuk di dalamnya. Gunakan nilai organization, folder, atau project.
  • RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID Google Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

Hibah dapat memiliki status berikut:

Status Deskripsi
MENGAKTIFKAN Hibah sedang dalam proses aktivasi.
ACTIVATION_FAILED Privileged Access Manager tidak dapat memberikan peran karena error yang tidak dapat dicoba lagi.
AKTIF Pemberian akses aktif dan akun utama memiliki akses ke resource yang diizinkan oleh peran.
APPROVAL_AWAITED Permintaan pemberian sedang menunggu keputusan dari pemberi persetujuan.
DITOLAK Permintaan pemberian akses telah ditolak oleh pemberi persetujuan.
BERAKHIR Pemberian telah berakhir dan peran telah dihapus dari akun utama.
BERAKHIR Masa berlaku permintaan pemberian telah berakhir, karena persetujuan tidak diberikan dalam waktu 24 jam.
DICABUT Pemberian dicabut, dan akun utama tidak lagi memiliki akses ke resource yang diizinkan oleh peran.
MENCABUT Pemberian akses sedang dalam proses pencabutan.

REST

Metode searchGrants Privileged Access Manager API yang digunakan dengan hubungan pemanggil HAD_CREATED menelusuri pemberian akses yang telah Anda buat. Untuk memeriksa statusnya, cari kolom state dalam respons.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • ENTITLEMENT_ID: ID hak yang memiliki pemberian.
  • FILTER: Opsional. Menampilkan hibah yang nilai kolomnya cocok dengan ekspresi AIP-160.
  • PAGE_SIZE: Opsional. Jumlah item yang akan ditampilkan dalam respons.
  • PAGE_TOKEN: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.

Metode HTTP dan URL: 

GET https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "grants": [
    {
      "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
          "roleBindings": [
            {
              "role": "roles/storage.admin"
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Status pemberian dijelaskan dalam tabel berikut.

Status Deskripsi
MENGAKTIFKAN Hibah sedang dalam proses aktivasi.
ACTIVATION_FAILED Privileged Access Manager tidak dapat memberikan peran karena error yang tidak dapat dicoba lagi.
AKTIF Pemberian akses aktif dan akun utama memiliki akses ke resource yang diizinkan oleh peran.
APPROVAL_AWAITED Permintaan pemberian sedang menunggu keputusan dari pemberi persetujuan.
DITOLAK Permintaan pemberian akses telah ditolak oleh pemberi persetujuan.
BERAKHIR Pemberian telah berakhir dan peran telah dihapus dari akun utama.
BERAKHIR Masa berlaku permintaan pemberian telah berakhir, karena persetujuan tidak diberikan dalam waktu 24 jam.
DICABUT Pemberian dicabut, dan akun utama tidak lagi memiliki akses ke resource yang diizinkan oleh peran.
MENCABUT Pemberian akses sedang dalam proses pencabutan.