Meminta akses yang ditingkatkan sementara dengan Privileged Access Manager

Untuk meningkatkan hak istimewa Anda sementara, Anda dapat meminta pemberian hak terhadap hak akses di Privileged Access Manager (PAM) selama durasi yang tetap.

Hak berisi peran yang diberikan kepada Anda setelah permintaan pemberian hak Anda berhasil. Peran ini dihapus oleh Privileged Access Manager saat pemberian akses berakhir.

Perhatikan hal berikut saat Anda ingin meminta pemberian hak atas hak:

  • Anda hanya dapat meminta pemberian terhadap hak yang telah ditambahkan kepada Anda. Untuk ditambahkan ke hak, hubungi akun utama yang mengelola hak tersebut.

  • Anda dapat memiliki maksimal lima hibah terbuka per hak pada satu waktu; hibah ini dapat berada dalam status Active atau Approval awaited.

  • Anda tidak dapat meminta pemberian dengan cakupan yang sama dengan pemberian yang ada dalam status Active atau Approval awaited.

  • Bergantung pada penyiapannya, permintaan pemberian mungkin memerlukan persetujuan agar dapat diberikan.

  • Jika permintaan pemberian memerlukan persetujuan dan tidak disetujui atau ditolak dalam waktu 24 jam, status pemberian akan berubah menjadi Expired. Setelah itu, Anda harus membuat permintaan pemberian baru jika masih memerlukan hak istimewa yang lebih tinggi.

  • Penerapan permintaan pemberian akses yang berhasil mungkin memerlukan waktu beberapa menit.

Meminta pemberian akses

Konsol

  1. Buka halaman Privileged Access Manager.

    Buka Privileged Access Manager

  2. Pilih organisasi, folder, atau project tempat Anda ingin meminta pemberian.

  3. Di tab Hak saya, temukan hak yang akan diminta, lalu klik Minta pemberian di baris yang sama.

    Untuk hak yang diwarisi dari folder atau organisasi induk, cakupan pemberian hak secara otomatis disesuaikan dengan organisasi, folder, atau project yang dipilih. Anda dapat meminta pemberian izin terhadap hak yang diwariskan di tingkat resource turunan. Fitur ini tersedia dalam pratinjau.

  4. Jika paket Premium atau Enterprise Security Command Center diaktifkan di tingkat organisasi, Anda dapat menyesuaikan cakupan permintaan pemberian Anda untuk menyertakan hanya beberapa peran dan resource tertentu. Fitur ini tersedia dalam pratinjau.

    1. Aktifkan tombol Sesuaikan cakupan.
    2. Tambahkan filter resource yang diperlukan. Anda dapat menambahkan hingga lima filter resource.
    3. Pilih peran yang diperlukan.

  5. Berikan detail berikut:

    • Durasi yang diperlukan untuk pemberian akses, hingga durasi maksimum yang ditetapkan pada hak.

    • Jika diperlukan, berikan justifikasi untuk pemberian izin.

    • Opsional: Alamat email untuk notifikasi.

      Identitas Google yang terkait dengan hak, seperti pemberi persetujuan dan pemohon, akan diberi tahu secara otomatis. Namun, jika Anda ingin memberi tahu orang lain, Anda dapat menambahkan alamat email mereka. Hal ini sangat berguna jika Anda menggunakan identitas tenaga kerja bukan Akun Google.

  6. Klik Minta pemberian akses.

gcloud

Anda dapat meminta hibah menggunakan salah satu opsi berikut:

Meminta pemberian akses atas hak

Perintah gcloud alpha pam grants create meminta pemberian.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ENTITLEMENT_ID: ID hak untuk membuat pemberian akses.
  • GRANT_DURATION: Durasi yang diminta untuk pemberian, dalam detik.
  • JUSTIFICATION: Alasan untuk meminta pemberian akses.
  • EMAIL_ADDRESS: Opsional. Alamat email tambahan yang akan menerima notifikasi permintaan pemberian akses. Identitas Google yang terkait dengan pemberi persetujuan akan diberi tahu secara otomatis. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
  • RESOURCE_TYPE: Opsional. Jenis resource yang haknya dimiliki. Gunakan nilai organization, folder, atau project.
  • RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID Google Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

Created [GRANT_ID].

Meminta pemberian hak pada resource turunan dari hak

Perintah gcloud alpha pam grants create meminta pemberian.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ENTITLEMENT_ID: ID hak untuk membuat pemberian akses.
  • GRANT_DURATION: Durasi yang diminta untuk pemberian, dalam detik.
  • JUSTIFICATION: Alasan untuk meminta pemberian akses.
  • EMAIL_ADDRESS: Opsional. Alamat email tambahan yang akan menerima notifikasi permintaan pemberian akses. Identitas Google yang terkait dengan pemberi persetujuan akan diberi tahu secara otomatis. Namun, Anda mungkin ingin memberi tahu serangkaian alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
  • RESOURCE_TYPE: Opsional. Jenis Google Cloud resource yang akan diberi akses. Ini digunakan untuk menyesuaikan cakupan pemberian akses ke resource turunan.
  • RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID Google Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • REQUESTED_RESOURCE: Opsional. Google Cloud Resource yang ingin Anda berikan aksesnya. Ini digunakan untuk menyesuaikan cakupan pemberian akses ke resource turunan. Format: RESOURCE_TYPE/RESOURCE_ID. Contoh: projects/PROJECT_ID, folders/FOLDER_ID, atau organizations/ORGANIZATION_ID.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-resources=REQUESTED_RESOURCE

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-resources=REQUESTED_RESOURCE

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-resources=REQUESTED_RESOURCE

Anda akan melihat respons seperti berikut:

Created [GRANT_ID].

Meminta pemberian akses dengan cakupan terperinci

Perintah gcloud alpha pam grants create meminta pemberian.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ENTITLEMENT_ROLE_BINDING_ID: Opsional.ID binding peran dari peran yang akan diberikan dari hak.
  • ACCESS_RESTRICTION_NAME: Opsional. Nama resource untuk membatasi akses. Untuk mengetahui informasi tentang formatnya, lihat Format nama resource.
  • ACCESS_RESTRICTION_PREFIX: Opsional. Awalan nama resource untuk membatasi akses. Untuk mengetahui informasi tentang formatnya, lihat Format nama resource.
  • RESOURCE_TYPE: Opsional. Jenis resource yang haknya dimiliki. Gunakan nilai organization, folder, atau project.
  • RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID Google Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • REQUESTED_RESOURCE_TYPE. Opsional. Jenis Google Cloud resource yang akan diberi akses. Ini digunakan untuk menyesuaikan cakupan pemberian akses ke resource turunan.
  • REQUESTED_RESOURCE: Opsional. Google Cloud Resource yang ingin Anda berikan aksesnya. Ini digunakan untuk menyesuaikan cakupan pemberian akses ke resource turunan. Format: RESOURCE_TYPE/RESOURCE_ID. Contoh: projects/PROJECT_ID, folders/FOLDER_ID, atau organizations/ORGANIZATION_ID.

Simpan konten berikut ini dalam file yang bernama requested-scope.yaml : 

- gcpIamAccess:
    resource: REQUESTED_RESOURCE
    resourceType: REQUESTED_RESOURCE_TYPE
    roleBindings:
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_1
      accessRestrictions:
        resourceNames:
        - ACCESS_RESTRICTION_NAME_1
        - ACCESS_RESTRICTION_NAME_2
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_2
      accessRestrictions:
        resourceNamePrefixes:
        - ACCESS_RESTRICTION_PREFIX_1
        - ACCESS_RESTRICTION_PREFIX_2

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-access-from-file=requested-scope.yaml

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-access-from-file=requested-scope.yaml

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-access-from-file=requested-scope.yaml

Anda akan melihat respons seperti berikut:

Created [GRANT_ID].

REST

  1. Telusuri hak yang memenuhi syarat untuk Anda minta.

    Metode searchEntitlements Privileged Access Manager API dengan jenis akses pemanggil GRANT_REQUESTER menelusuri hak yang dapat Anda minta pemberiannya.

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
    • FILTER: Opsional. Menampilkan hak yang nilai kolomnya cocok dengan ekspresi AIP-160.
    • PAGE_SIZE: Opsional. Jumlah item yang akan ditampilkan dalam respons.
    • PAGE_TOKEN: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.

    Metode HTTP dan URL: 

    GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Anda akan melihat respons JSON seperti berikut:

    {
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}
  2. Minta pemberian akses atas hak.

    Metode createGrant Privileged Access Manager API meminta pemberian akses.

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
    • ENTITLEMENT_ID: ID hak untuk membuat pemberian akses.
    • REQUEST_ID: Opsional. Harus berupa UUID bukan nol. Jika server menerima permintaan dengan ID permintaan, server akan memeriksa apakah permintaan lain dengan ID tersebut telah diselesaikan dalam 60 menit terakhir. Jika ya, permintaan baru akan diabaikan.
    • GRANT_DURATION: Durasi yang diminta untuk pemberian, dalam detik.
    • JUSTIFICATION: Alasan untuk meminta pemberian akses.
    • EMAIL_ADDRESS: Opsional. Alamat email tambahan yang akan menerima notifikasi permintaan pemberian akses. Identitas Google yang terkait dengan pemberi persetujuan akan diberi tahu secara otomatis. Namun, Anda mungkin ingin memberi tahu kumpulan alamat email yang berbeda, terutama jika Anda menggunakan Workforce Identity Federation.
    • ENTITLEMENT_ROLE_BINDING_ID: Opsional. ID binding peran dari peran yang akan diberikan dari hak.
    • ACCESS_RESTRICTION_NAME: Opsional. Nama resource untuk membatasi akses. Untuk mengetahui informasi tentang formatnya, lihat Format nama resource.
    • ACCESS_RESTRICTION_PREFIX: Opsional. Awalan nama resource untuk membatasi akses. Untuk mengetahui informasi tentang formatnya, lihat Format nama resource.

    Metode HTTP dan URL: 

    POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

    Meminta isi JSON: 

    {
  "requestedDuration": "GRANT_DURATIONs",
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
  ],
  "requestedPrivilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "REQUESTED_RESOURCE_TYPE",
      "resource": "REQUESTED_RESOURCE",
      "roleBindings": [
        {
          "entitlementRoleBindingId": "ENTITLEMENT_ROLE_BINDING_ID",
          "accessRestrictions": {
            "resourceNames": [
              "ACCESS_RESTRICTION_NAME"
            ],
            "resourceNamePrefixes": [
              "ACCESS_RESTRICTION_PREFIX"
            ],
          },
        }
      ],
    }
  },
}

    Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:

    Anda akan melihat respons JSON seperti berikut:

    {
   "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
   "createTime": "2024-03-06T03:08:49.330577625Z",
   "updateTime": "2024-03-06T03:08:49.625874598Z",
   "requester": "alex@example.com",
   "requestedDuration": "3600s",
   "justification": {
     "unstructuredJustification": "Emergency service for outage"
   },
   "state": "APPROVAL_AWAITED",
   "timeline": {
     "events": [
       {
         "eventTime": "2024-03-06T03:08:49.462765846Z",
         "requested": {
           "expireTime": "2024-03-07T03:08:49.462765846Z"
         }
       }
     ]
   },
   "privilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "id": "hwqrt_1",
           "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
         }
       ]
     }
   },
   "requestedPrivilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "entitlementRoleBindingId": "hwqrt_1",
           "accessRestrictions": {
             "resourceNames": [
"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
             ],
             "resourceNamePrefixes": [                  "//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
             ]
           }
         }
       ]
     }
   },
   "additionalEmailRecipients": [
     "bola@google.com"
   ]
}

Memeriksa status permintaan hibah Anda

Konsol

  1. Buka halaman Privileged Access Manager.

    Buka Privileged Access Manager

  2. Pilih organisasi, folder, atau project tempat Anda ingin melihat pemberian.

  3. Di tab Hibah, klik Hibah saya.

    Hibah Anda dapat memiliki salah satu status berikut:

    Status Deskripsi
    Mengaktifkan Pemberian akses sedang dalam proses aktivasi.
    Aktivasi gagal Privileged Access Manager tidak dapat memberikan peran karena error yang tidak dapat dicoba lagi.
    Aktif Pemberian akses aktif dan akun utama memiliki akses ke resource yang diizinkan oleh peran.
    Menunggu persetujuan Permintaan pemberian akses menunggu keputusan dari pemberi persetujuan.
    Ditolak Permintaan pemberian akses telah ditolak oleh pemberi persetujuan.
    Berakhir Pemberian telah berakhir dan peran telah dihapus dari akun utama.
    Telah Berakhir Masa berlaku permintaan pemberian telah berakhir, karena persetujuan tidak diberikan dalam waktu 24 jam.
    Dicabut Pemberian dicabut, dan akun utama tidak lagi memiliki akses ke resource yang diizinkan oleh peran.
    Mencabut Pemberian akses sedang dalam proses pencabutan.
    Menarik Pemberian sedang dalam proses dibatalkan.
    Dibatalkan Pemberian akses ditarik, dan akun utama tidak lagi memiliki akses ke resource yang diizinkan oleh peran.

gcloud

Perintah gcloud alpha pam grants search yang digunakan dengan hubungan pemanggil had-created menelusuri hibah yang telah Anda buat. Untuk memeriksa statusnya, cari kolom state dalam respons.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ENTITLEMENT_ID: ID hak yang memiliki pemberian ini.
  • RESOURCE_TYPE: Opsional. Jenis resource yang haknya dimiliki. Gunakan nilai organization, folder, atau project.
  • RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID Google Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
      conditionExpression: resource.name == "//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1" && resource.name.startsWith("//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms")
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
      accessRestrictions:
        resourceNames:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1
        resourceNamePrefixes:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

Hibah dapat memiliki status berikut:

Status Deskripsi
MENGAKTIFKAN Pemberian akses sedang dalam proses aktivasi.
ACTIVATION_FAILED Privileged Access Manager tidak dapat memberikan peran karena error yang tidak dapat dicoba lagi.
ACTIVE Pemberian akses aktif dan akun utama memiliki akses ke resource yang diizinkan oleh peran.
APPROVAL_AWAITED Permintaan pemberian akses menunggu keputusan dari pemberi persetujuan.
DITOLAK Permintaan pemberian akses telah ditolak oleh pemberi persetujuan.
BERAKHIR Pemberian telah berakhir dan peran telah dihapus dari akun utama.
BERAKHIR Masa berlaku permintaan pemberian telah berakhir, karena persetujuan tidak diberikan dalam waktu 24 jam.
DICABUT Pemberian dicabut, dan akun utama tidak lagi memiliki akses ke resource yang diizinkan oleh peran.
MENCABUT Pemberian akses sedang dalam proses pencabutan.
MENARIK Pemberian sedang dalam proses dibatalkan.
DIBATALKAN Pemberian akses ditarik, dan akun utama tidak lagi memiliki akses ke resource yang diizinkan oleh peran.

REST

Metode searchGrants Privileged Access Manager API yang digunakan dengan hubungan pemanggil HAD_CREATED menelusuri hibah yang telah Anda buat. Untuk memeriksa statusnya, cari kolom state dalam respons.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
  • ENTITLEMENT_ID: ID hak yang memiliki pemberian ini.
  • FILTER: Opsional. Menampilkan hibah yang nilai kolomnya cocok dengan ekspresi AIP-160.
  • PAGE_SIZE: Opsional. Jumlah item yang akan ditampilkan dalam respons.
  • PAGE_TOKEN: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.

Metode HTTP dan URL: 

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Anda akan melihat respons JSON seperti berikut:

{
  "grants": [
    {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": ["//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": ["//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Status pemberian dijelaskan dalam tabel berikut.

Status Deskripsi
MENGAKTIFKAN Pemberian akses sedang dalam proses aktivasi.
ACTIVATION_FAILED Privileged Access Manager tidak dapat memberikan peran karena error yang tidak dapat dicoba lagi.
ACTIVE Pemberian akses aktif dan akun utama memiliki akses ke resource yang diizinkan oleh peran.
APPROVAL_AWAITED Permintaan pemberian akses menunggu keputusan dari pemberi persetujuan.
DITOLAK Permintaan pemberian akses telah ditolak oleh pemberi persetujuan.
BERAKHIR Pemberian telah berakhir dan peran telah dihapus dari akun utama.
BERAKHIR Masa berlaku permintaan pemberian telah berakhir, karena persetujuan tidak diberikan dalam waktu 24 jam.
DICABUT Pemberian dicabut, dan akun utama tidak lagi memiliki akses ke resource yang diizinkan oleh peran.
MENCABUT Pemberian akses sedang dalam proses pencabutan.
MENARIK Pemberian sedang dalam proses dibatalkan.
DIBATALKAN Pemberian akses ditarik, dan akun utama tidak lagi memiliki akses ke resource yang diizinkan oleh peran.