使用 Privileged Access Manager 请求临时提升访问权限

如需临时提升权限,您可以在 Privileged Access Manager (PAM) 中请求授予固定时长的使用权

使用权包含在授权请求成功后向您授予的角色。授权结束后,Privileged Access Manager 会移除这些角色。

要请求授予使用权时,请注意以下事项:

  • 您只能请求授予您已被添加到的使用权。如需添加到某项使用权中,请与管理该使用权的主账号联系。

  • 您最多可以同时为每个授权拥有 5 个开放授权;这些授权可以处于 ActiveApproval awaited 状态。

  • 您无法请求与处于 ActiveApproval awaited 状态的现有授权具有相同范围的授权。

  • 授权请求可能需要经批准才能获得授权,具体取决于设置的方式。

  • 如果授权请求需要获得批准,但在 24 小时内未获得批准或被拒绝,则授权状态将更改为 Expired。在此之后,如果仍需要提权,则您必须发出新的授权请求。

  • 成功的授予请求可能需要几分钟时间才能生效。

请求授权

控制台

  1. 前往 Privileged Access Manager 页面。

    前往 Privileged Access Manager

  2. 选择您要请求授权的组织、文件夹或项目。

  3. 我的使用权标签页中,找到要请求的使用权,然后点击同一行中的请求授权

    对于从父级文件夹或组织继承的使用权,授权范围会自动调整为所选组织、文件夹或项目。您可以在子资源级别请求授予继承的使用权。此功能为预览版

  4. 如果 Security Command Center 高级方案或企业方案层级是在组织级激活的,那么您可以自定义授权请求的范围,使其仅包含一些特定的角色和资源。此功能为预览版

    1. 开启自定义范围切换开关。
    2. 添加所需的资源过滤条件。 您最多可以添加 5 个资源过滤条件。
    3. 选择所需角色。

  5. 提供以下详细信息:

    • 授权所需的时长,最长不超过对使用权设置的时长上限。

    • 如果需要,请提供授权理由。

    • 可选:用于通知的邮箱。

      与相应使用权相关联的 Google 身份(例如审批人和请求者)会自动收到通知。不过,如果您想通知其他人,可以添加其邮箱。如果您使用的是员工身份而不是 Google 账号,此功能会特别有用。

  6. 点击请求授权

gcloud

您可以使用以下任一选项请求授权:

请求授予使用权

gcloud alpha pam grants create 命令用于请求授权。

在使用下面的命令数据之前,请先进行以下替换:

  • ENTITLEMENT_ID:要被授予的使用权 ID。
  • GRANT_DURATION:请求的授权时长(以秒为单位)。
  • JUSTIFICATION:请求授权的理由。
  • EMAIL_ADDRESS:可选。要向其通知授权请求的其他电子邮件地址。与审批者关联的 Google 身份会自动收到通知。不过,您可能需要通知另一组电子邮件地址,尤其是在使用员工身份联合时。
  • RESOURCE_TYPE:可选。权利所属的资源类型。使用值 organizationfolderproject
  • RESOURCE_ID:与 RESOURCE_TYPE 一起使用。您要为其管理使用权的 Google Cloud项目、文件夹或组织的 ID。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 是数字,例如 123456789012

执行以下命令:

Linux、macOS 或 Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

您应该会收到类似如下所示的响应:

Created [GRANT_ID].

请求对使用权的子资源进行授权

gcloud alpha pam grants create 命令用于请求授权。

在使用下面的命令数据之前,请先进行以下替换:

  • ENTITLEMENT_ID:要被授予的使用权 ID。
  • GRANT_DURATION:请求的授权时长(以秒为单位)。
  • JUSTIFICATION:请求授权的理由。
  • EMAIL_ADDRESS:可选。要向其通知授权请求的其他电子邮件地址。与审批者关联的 Google 身份会自动收到通知。不过,您可能需要通知另一组电子邮件地址,尤其是在使用员工身份联合时。
  • RESOURCE_TYPE:可选。要授予访问权限的 Google Cloud 资源的类型。这用于自定义对子资源的授权范围。
  • RESOURCE_ID:与 RESOURCE_TYPE 一起使用。您要为其管理使用权的 Google Cloud项目、文件夹或组织的 ID。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 是数字,例如 123456789012
  • REQUESTED_RESOURCE:可选。您希望被授予访问权限的 Google Cloud 资源。这用于自定义对子资源的授权范围。格式:RESOURCE_TYPE/RESOURCE_ID。示例:projects/PROJECT_IDfolders/FOLDER_IDorganizations/ORGANIZATION_ID

执行以下命令:

Linux、macOS 或 Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-resources=REQUESTED_RESOURCE

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-resources=REQUESTED_RESOURCE

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-resources=REQUESTED_RESOURCE

您应该会收到类似如下所示的响应:

Created [GRANT_ID].

请求具有精细范围的授权

gcloud alpha pam grants create 命令用于请求授权。

在使用下面的命令数据之前,请先进行以下替换:

  • ENTITLEMENT_ROLE_BINDING_ID:可选。要从使用权中授予的角色的角色绑定 ID。
  • ACCESS_RESTRICTION_NAME:可选。要限制访问权限的资源名称。如需了解格式,请参阅资源名称格式
  • ACCESS_RESTRICTION_PREFIX:可选。要限制访问权限的资源名称前缀。如需了解格式,请参阅资源名称格式
  • RESOURCE_TYPE:可选。权利所属的资源类型。使用值 organizationfolderproject
  • RESOURCE_ID:与 RESOURCE_TYPE 一起使用。您要为其管理使用权的 Google Cloud项目、文件夹或组织的 ID。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 是数字,例如 123456789012
  • REQUESTED_RESOURCE_TYPE。可选。要授予访问权限的 Google Cloud 资源的类型。这用于自定义对子资源的授权范围。
  • REQUESTED_RESOURCE:可选。您希望被授予访问权限的 Google Cloud 资源。这用于自定义对子资源的授权范围。格式:RESOURCE_TYPE/RESOURCE_ID。示例:projects/PROJECT_IDfolders/FOLDER_IDorganizations/ORGANIZATION_ID

将以下内容保存在名为 requested-scope.yaml 的文件中:

- gcpIamAccess:
    resource: REQUESTED_RESOURCE
    resourceType: REQUESTED_RESOURCE_TYPE
    roleBindings:
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_1
      accessRestrictions:
        resourceNames:
        - ACCESS_RESTRICTION_NAME_1
        - ACCESS_RESTRICTION_NAME_2
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_2
      accessRestrictions:
        resourceNamePrefixes:
        - ACCESS_RESTRICTION_PREFIX_1
        - ACCESS_RESTRICTION_PREFIX_2

执行以下命令:

Linux、macOS 或 Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-access-from-file=requested-scope.yaml

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-access-from-file=requested-scope.yaml

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-access-from-file=requested-scope.yaml

您应该会收到类似如下所示的响应:

Created [GRANT_ID].

REST

  1. 搜索您有资格请求的使用权。

    结合使用 Privileged Access Manager API 的 searchEntitlements 方法和 GRANT_REQUESTER 调用方访问权限类型可搜索您可以请求授予的权益。

    在使用任何请求数据之前,请先进行以下替换:

    • SCOPE:权利所属的组织、文件夹或项目,格式为 organizations/ORGANIZATION_IDfolders/FOLDER_IDprojects/PROJECT_ID。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 是数字,例如 123456789012
    • FILTER:可选。返回字段值与 AIP-160 表达式匹配的权利。
    • PAGE_SIZE:可选。响应中要返回的项数。
    • PAGE_TOKEN:可选。使用上述响应中返回的页面令牌,确定从哪个页面开始响应。

    HTTP 方法和网址:

    GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

    如需发送您的请求,请展开以下选项之一:

    您应该收到类似以下内容的 JSON 响应:

    {
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}
  2. 请求授予使用权。

    Privileged Access Manager API 的 createGrant 方法用于请求授权。

    在使用任何请求数据之前,请先进行以下替换:

    • SCOPE:权利所属的组织、文件夹或项目,格式为 organizations/ORGANIZATION_IDfolders/FOLDER_IDprojects/PROJECT_ID。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 是数字,例如 123456789012
    • ENTITLEMENT_ID:要被授予的使用权 ID。
    • REQUEST_ID:可选。必须是非零 UUID。 如果服务器收到带有请求 ID 的请求,则会检查是否有其他带有该 ID 的请求在过去 60 分钟内已完成。如果是,则系统会忽略新请求。
    • GRANT_DURATION:请求的授权时长(以秒为单位)。
    • JUSTIFICATION:请求授权的理由。
    • EMAIL_ADDRESS:可选。要向其通知授权请求的其他电子邮件地址。与审批者关联的 Google 身份会自动收到通知。不过,您可能需要通知另一组电子邮件地址,尤其是在使用员工身份联合时。
    • ENTITLEMENT_ROLE_BINDING_ID:可选。要从使用权中授予的角色的角色绑定 ID。
    • ACCESS_RESTRICTION_NAME:可选。要限制访问权限的资源名称。如需了解格式,请参阅资源名称格式
    • ACCESS_RESTRICTION_PREFIX:可选。要限制访问权限的资源名称前缀。如需了解格式,请参阅资源名称格式

    HTTP 方法和网址:

    POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

    请求 JSON 正文:

    {
  "requestedDuration": "GRANT_DURATIONs",
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
  ],
  "requestedPrivilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "REQUESTED_RESOURCE_TYPE",
      "resource": "REQUESTED_RESOURCE",
      "roleBindings": [
        {
          "entitlementRoleBindingId": "ENTITLEMENT_ROLE_BINDING_ID",
          "accessRestrictions": {
            "resourceNames": [
              "ACCESS_RESTRICTION_NAME"
            ],
            "resourceNamePrefixes": [
              "ACCESS_RESTRICTION_PREFIX"
            ],
          },
        }
      ],
    }
  },
}

    如需发送您的请求,请展开以下选项之一:

    您应该收到类似以下内容的 JSON 响应:

    {
   "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
   "createTime": "2024-03-06T03:08:49.330577625Z",
   "updateTime": "2024-03-06T03:08:49.625874598Z",
   "requester": "alex@example.com",
   "requestedDuration": "3600s",
   "justification": {
     "unstructuredJustification": "Emergency service for outage"
   },
   "state": "APPROVAL_AWAITED",
   "timeline": {
     "events": [
       {
         "eventTime": "2024-03-06T03:08:49.462765846Z",
         "requested": {
           "expireTime": "2024-03-07T03:08:49.462765846Z"
         }
       }
     ]
   },
   "privilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "id": "hwqrt_1",
           "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
         }
       ]
     }
   },
   "requestedPrivilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "entitlementRoleBindingId": "hwqrt_1",
           "accessRestrictions": {
             "resourceNames": [
"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
             ],
             "resourceNamePrefixes": [                  "//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
             ]
           }
         }
       ]
     }
   },
   "additionalEmailRecipients": [
     "bola@google.com"
   ]
}

查看授权请求的状态

控制台

  1. 前往 Privileged Access Manager 页面。

    前往 Privileged Access Manager

  2. 选择您要查看授权的组织、文件夹或项目。

  3. 授权标签页中,点击我的授权

    您的授权可以处于以下状态之一:

    状态 说明
    正在激活 授权正在激活。
    激活失败 由于无法重试的错误,Privileged Access Manager 无法授予角色。
    有效 授权处于有效状态,并且主账号有权访问角色允许访问的资源。
    待批准 授权请求正在等待审批者做出决定。
    已拒绝 授权请求已被审批者拒绝。
    已结束 授权已结束,并且角色已从主账号中移除。
    已过期 授权请求已过期,因为未在 24 小时内获得批准。
    已撤消 授权被撤消,并且主账号不再有权访问角色允许访问的资源。
    正在撤消 授权正在被撤消。
    正在撤消 授权正在被撤消。
    已撤消 授权已撤消,并且主账号不再有权访问角色允许访问的资源。

gcloud

结合使用 gcloud alpha pam grants search 命令和 had-created 调用方关系可搜索您创建的授权。如需查看其状态,请在响应中查找 state 字段。

在使用下面的命令数据之前,请先进行以下替换:

  • ENTITLEMENT_ID:授权所属的使用权的 ID。
  • RESOURCE_TYPE:可选。权利所属的资源类型。使用值 organizationfolderproject
  • RESOURCE_ID:与 RESOURCE_TYPE 一起使用。您要为其管理使用权的 Google Cloud项目、文件夹或组织的 ID。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 是数字,例如 123456789012

执行以下命令:

Linux、macOS 或 Cloud Shell

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

您应该会收到类似如下所示的响应:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
      conditionExpression: resource.name == "//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1" && resource.name.startsWith("//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms")
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
      accessRestrictions:
        resourceNames:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1
        resourceNamePrefixes:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

授权可能具有以下状态:

状态 说明
正在激活 授权正在激活。
ACTIVATION_FAILED 由于无法重试的错误,Privileged Access Manager 无法授予角色。
有效 授权处于有效状态,并且主账号有权访问角色允许访问的资源。
APPROVAL_AWAITED 授权请求正在等待审批者做出决定。
遭拒 授权请求已被审批者拒绝。
已结束 授权已结束,并且角色已从主账号中移除。
已过期 授权请求已过期,因为未在 24 小时内获得批准。
已撤消 授权被撤消,并且主账号不再有权访问角色允许访问的资源。
正在撤消 授权正在被撤消。
正在撤消 授权正在被撤消。
已撤消 授权已撤消,并且主账号不再有权访问角色允许访问的资源。

REST

结合使用 Privileged Access Manager API 的 searchGrants 方法和 HAD_CREATED 调用方关系可搜索您创建的授权。如需查看其状态,请在响应中查找 state 字段。

在使用任何请求数据之前,请先进行以下替换:

  • SCOPE:权利所属的组织、文件夹或项目,格式为 organizations/ORGANIZATION_IDfolders/FOLDER_IDprojects/PROJECT_ID。项目 ID 是字母数字字符串,例如 my-project。文件夹和组织 ID 是数字,例如 123456789012
  • ENTITLEMENT_ID:授权所属的使用权的 ID。
  • FILTER:可选。返回字段值与 AIP-160 表达式匹配的授权。
  • PAGE_SIZE:可选。响应中要返回的项数。
  • PAGE_TOKEN:可选。使用上述响应中返回的页面令牌,确定从哪个页面开始响应。

HTTP 方法和网址:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

如需发送您的请求,请展开以下选项之一:

您应该收到类似以下内容的 JSON 响应:

{
  "grants": [
    {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": ["//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": ["//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

下表详细说明了授权状态。

状态 说明
正在激活 授权正在激活。
ACTIVATION_FAILED 由于无法重试的错误,Privileged Access Manager 无法授予角色。
有效 授权处于有效状态,并且主账号有权访问角色允许访问的资源。
APPROVAL_AWAITED 授权请求正在等待审批者做出决定。
遭拒 授权请求已被审批者拒绝。
已结束 授权已结束,并且角色已从主账号中移除。
已过期 授权请求已过期,因为未在 24 小时内获得批准。
已撤消 授权被撤消,并且主账号不再有权访问角色允许访问的资源。
正在撤消 授权正在被撤消。
正在撤消 授权正在被撤消。
已撤消 授权已撤消,并且主账号不再有权访问角色允许访问的资源。