Puoi visualizzare lo stato e la cronologia di una concessione o revocarla per altri soggetti se è attiva. La cronologia delle sovvenzioni è disponibile per 30 giorni dopo la fine di una sovvenzione.
Prima di iniziare
Assicurati di aver attivato Privileged Access Manager e configurato le relative autorizzazioni.
Visualizzare le concessioni utilizzando la console Google Cloud
Per visualizzare una sovvenzione, completa le seguenti istruzioni:
Vai alla pagina Privileged Access Manager.
Seleziona l'organizzazione, la cartella o il progetto in cui vuoi visualizzare le concessioni.
Fai clic sulla scheda Concessioni, quindi sulla scheda Concessioni per tutti gli utenti. Questa scheda contiene tutte le concessioni, i richiedenti e lo stato della concessione. Le sovvenzioni possono avere i seguenti stati:
Stato Descrizione In fase di attivazione La concessione è in fase di attivazione. Attivazione non riuscita Privileged Access Manager non è riuscito a concedere i ruoli a causa di un errore non ripristinabile. Attivo La concessione è attiva e l'entità ha accesso alle risorse consentite dai ruoli. In attesa di approvazione La richiesta di concessione è in attesa della decisione di un responsabile dell'approvazione. Negato La richiesta di concessione è stata rifiutata da un approvatore. Terminata La concessione è terminata e i ruoli sono stati rimossi dall'entità. Scaduto La richiesta di concessione è scaduta perché l'approvazione non è stata concessa entro 24 ore. Revocato La concessione viene revocata e l'entità non ha più accesso alle risorse consentite dai ruoli. Revoca in corso… La concessione è in fase di revoca. Prelievo in corso La concessione è in fase di ritiro. Ritirato La concessione viene ritirata e l'entità non ha più accesso alle risorse consentite dai ruoli. Etichette di stato
Oltre a questi stati, le sovvenzioni possono avere le seguenti etichette di stato visualizzate accanto allo stato, che indicano condizioni speciali:
Modificato tramite IAM
Le associazioni di policy IAM associate a questa concessione sono state modificate direttamente tramite IAM. Per informazioni dettagliate sui binding modificati, consulta la pagina IAM nella consoleGoogle Cloud . Quando una concessione modificata viene revocata o termina, Privileged Access Manager rimuove solo i binding che ha creato e che non sono stati modificati tramite IAM.
La modifica del titolo o dell'espressione della condizione IAM o la rimozione dell'accesso del richiedente al ruolo concesso viene considerata una modifica esterna. L'aggiunta o la modifica della descrizione della condizione IAM non è considerata una modifica esterna.
Privileged Access Manager verifica la presenza di modifiche esterne alle concessioni ogni 5 minuti. Potrebbero essere necessari fino a 5 minuti prima che le modifiche vengano visualizzate. Le modifiche temporanee apportate e ripristinate in questo intervallo di 5 minuti potrebbero non essere rilevate da Privileged Access Manager.
Nella tabella, fai clic su Altre opzioni nella stessa riga di un diritto che vuoi esaminare.
Per visualizzare i dettagli della sovvenzione, inclusa la cronologia, fai clic su Visualizza dettagli. Puoi anche revocare una concessione da questo riquadro.
Per revocare una concessione attiva, fai clic su Revoca concessione.
Puoi anche visualizzare i ruoli concessi temporaneamente nella pagina IAM della console Google Cloud . Nella scheda Visualizza per entità, i ruoli concessi temporaneamente hanno la condizione Creato da: PAM.
Visualizzare le concessioni in modo programmatico
Per visualizzare le concessioni in modo programmatico, puoi cercarle, elencarle e recuperarle.
Cerca sovvenzioni
gcloud
Il comando
gcloud alpha pam grants search
cerca una sovvenzione che hai creato, puoi approvare o
rifiutare oppure hai già approvato o rifiutato. Questo metodo non richiede autorizzazioni specifiche
di Privileged Access Manager per l'utilizzo.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione. Puoi recuperare l'ID visualizzando i diritti.-
CALLER_RELATIONSHIP_TYPE: utilizza uno dei seguenti valori:had-created: Restituisce le concessioni create dal chiamante.had-approved: restituisce le sovvenzioni che il chiamante ha approvato o rifiutato.can-approve: i resi che il chiamante può approvare o rifiutare.
RESOURCE_TYPE: (Facoltativo) Il tipo di risorsa a cui appartiene il diritto. Utilizza il valoreorganization,folderoproject.RESOURCE_ID: Utilizzato conRESOURCE_TYPE. L'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud alpha pam grants search \ --entitlement=ENTITLEMENT_ID \ --caller-relationship=CALLER_RELATIONSHIP_TYPE \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam grants search ` --entitlement=ENTITLEMENT_ID ` --caller-relationship=CALLER_RELATIONSHIP_TYPE ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam grants search ^ --entitlement=ENTITLEMENT_ID ^ --caller-relationship=CALLER_RELATIONSHIP_TYPE ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Dovresti ricevere una risposta simile alla seguente:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
Il metodo
searchGrants
dell'API Privileged Access Manager cerca una concessione che hai creato, che puoi approvare o
rifiutare o che hai già approvato o rifiutato. Questo metodo non richiede autorizzazioni specifiche
di Privileged Access Manager per l'utilizzo.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
SCOPE: l'organizzazione, la cartella o il progetto in cui si trova il diritto, nel formatoorganizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione. Puoi recuperare l'ID visualizzando i diritti.RELATIONSHIP_TYPE: i valori validi sono:HAD_CREATED: Restituisce le concessioni create dal chiamante.HAD_APPROVED: Restituisce le concessioni che il chiamante ha precedentemente approvato o rifiutato.CAN_APPROVE: i resi che il chiamante può approvare o rifiutare.
FILTER: (Facoltativo) Restituisce le concessioni i cui valori dei campi corrispondono a un' espressione AIP-160.PAGE_SIZE: (Facoltativo) Il numero di elementi da restituire in una risposta.PAGE_TOKEN: (Facoltativo) La pagina da cui iniziare la risposta, utilizzando un token di pagina restituito in una risposta precedente.
Metodo HTTP e URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"grants": [
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin"
"id": "hwqrt_1"
}
]
}
},
"requestedPrivilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"entitlementRoleBindingId": "hwqrt_1"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
Elenco delle concessioni
gcloud
Il comando
gcloud alpha pam grants list
elenca le concessioni che appartengono a un diritto specifico.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione. Puoi recuperare l'ID visualizzando i diritti.RESOURCE_TYPE: (Facoltativo) Il tipo di risorsa a cui appartiene il diritto. Utilizza il valoreorganization,folderoproject.RESOURCE_ID: Utilizzato conRESOURCE_TYPE. L'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud alpha pam grants list \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam grants list ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam grants list ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Dovresti ricevere una risposta simile alla seguente:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
Il metodo
listGrants
dell'API Privileged Access Manager elenca le concessioni che appartengono a un diritto specifico.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
SCOPE: l'organizzazione, la cartella o il progetto in cui si trova il diritto, nel formatoorganizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione. Puoi recuperare l'ID visualizzando i diritti.FILTER: (Facoltativo) Restituisce le concessioni i cui valori di campo corrispondono a un' espressione AIP-160.PAGE_SIZE: (Facoltativo) Il numero di elementi da restituire in una risposta.PAGE_TOKEN: (Facoltativo) La pagina da cui iniziare la risposta, utilizzando un token di pagina restituito in una risposta precedente.
Metodo HTTP e URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"grants": [
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"id": "hwqrt_1"
}
]
}
},
"requestedPrivilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"entitlementRoleBindingId": "hwqrt_1"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
Ricevi sovvenzioni
gcloud
Il comando
gcloud alpha pam grants describe
recupera una concessione specifica.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
GRANT_ID: L'ID della concessione di cui vuoi visualizzare i dettagli.ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione.RESOURCE_TYPE: (Facoltativo) Il tipo di risorsa a cui appartiene il diritto. Utilizza il valoreorganization,folderoproject.RESOURCE_ID: Utilizzato conRESOURCE_TYPE. L'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud alpha pam grants describe \ GRANT_ID \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam grants describe ` GRANT_ID ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam grants describe ^ GRANT_ID ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Dovresti ricevere una risposta simile alla seguente:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwqrt_1
requestedDuration: 3600s
requestedPrivilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
entitlementRoleBindingId: hwqrt_1
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
Il metodo
getGrant
dell'API Privileged Access Manager recupera una concessione specifica.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
SCOPE: l'organizzazione, la cartella o il progetto in cui si trova il diritto, nel formatoorganizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione.GRANT_ID: l'ID della sovvenzione di cui vuoi visualizzare i dettagli.
Metodo HTTP e URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID,
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin"
"id": "hwqrt_1"
}
]
}
},
"requestedPrivilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"entitlementRoleBindingId": "hwqrt_1"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}