Setelah membuat hak, Anda dapat melihat, memperbarui, atau menghapusnya.
Sebelum memulai
Pastikan Anda telah mengaktifkan Privileged Access Manager dan menyiapkan izin untuknya.
Melihat, memperbarui, dan menghapus hak menggunakan konsol Google Cloud
Buka halaman Privileged Access Manager.
Pilih organisasi, folder, atau project tempat Anda ingin mengelola hak dalamnya.
Di tab Hak, klik tab Hak untuk semua pengguna. Di sini, Anda dapat menemukan hak yang tersedia, peran yang diberikan, serta pemohon dan pemberi persetujuan yang valid.
Pada tabel, klik Opsi lainnya di baris yang sama dengan hak yang ingin Anda periksa.
Untuk melihat detail hak, klik Lihat detail hak.
Untuk melihat pemberian yang terkait dengan hak, klik Lihat pemberian terkait.
Untuk mencabut semua hibah aktif untuk hak, klik Cabut semua hibah.
Untuk menghapus hak, klik Hapus hak. Anda tidak dapat menghapus hak dengan pemberian aktif. Anda harus mencabut pemberian izin terlebih dahulu.
Untuk memperbarui hak, klik Edit hak di baris yang sama dengan hak yang ingin Anda perbarui.
Perhatikan hal-hal berikut saat memperbarui hak:
Konfigurasi hak yang diperbarui hanya berlaku untuk pemberian yang diminta setelah pembaruan dilakukan. Namun, perubahan pemberi persetujuan juga berlaku untuk permintaan pemberian izin yang sudah ada dan belum disetujui atau ditolak.
Saat memperbarui hak, Anda tidak dapat mengubah apakah persetujuan diperlukan atau tidak. Jika Anda perlu mengubah status persetujuan, buat hak baru.
Perubahan pada pemohon dan pemberi persetujuan hak mungkin memerlukan waktu beberapa menit untuk diterapkan.
Melihat hak secara terprogram
Untuk melihat hak secara terprogram, Anda dapat menelusuri, mencantumkan, mendapatkan, dan mengekspornya.
Mencantumkan hak
gcloud
Perintah
gcloud pam entitlements list
mencantumkan hak yang termasuk dalam cakupan
tertentu.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
RESOURCE_TYPE: Opsional. Jenis resource yang haknya termasuk di dalamnya. Gunakan nilaiorganization,folder, atauproject.RESOURCE_ID: Digunakan denganRESOURCE_TYPE. ID Google Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, sepertimy-project. Folder dan ID organisasi berupa numerik, seperti123456789012.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud pam entitlements list \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud pam entitlements list ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud pam entitlements list ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
additionalNotificationTargets:
adminEmailRecipients:
- alex@example.com
createTime: '2024-03-26T11:07:37.009498890Z'
eligibleUsers:
- principals:
- user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 3600s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/my-project
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
requesterJustificationConfig:
unstructured: {}
state: AVAILABLE
updateTime: '2024-03-26T11:07:40.056780645Z'
REST
Metode
listEntitlements
Privileged Access Manager API mencantumkan hak yang termasuk dalam cakupan
tertentu.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE: Organisasi, folder, atau project tempat hak berada, dalam formatorganizations/ORGANIZATION_ID,folders/FOLDER_ID, atauprojects/PROJECT_ID. Project ID adalah string alfanumerik, sepertimy-project. Folder dan ID organisasi berupa numerik, seperti123456789012.FILTER: Opsional. Menampilkan hak yang nilai kolomnya cocok dengan ekspresi AIP-160.PAGE_SIZE: Opsional. Jumlah item yang akan ditampilkan dalam respons.PAGE_TOKEN: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.
Metode HTTP dan URL:
GET https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
[
{
"name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
"createTime": "2023-11-21T17:28:39.962144708Z",
"updateTime": "2023-11-21T17:28:43.160309410Z",
"eligibleUsers": [
{
"principals": [
"user:alex@example.com"
]
}
],
"approvalWorkflow": {
"manualApprovals": {
"steps": [
{
"approvers": [
{
"principals": [
"user:bola@example.com"
]
}
],
"approvalsNeeded": 1
}
]
}
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
"roleBindings": [
{
"role": "roles/storage.admin"
}
]
}
},
"maxRequestDuration": "14400s",
"state": "AVAILABLE",
"requesterJustificationConfig": {
"unstructured": {}
},
"additionalNotificationTargets": {
"adminEmailRecipients": [
"alex@example.com"
]
},
"etag": "00000000000000000000000000000000000000000000000000000000000="
}
]
Mendapatkan hak
gcloud
Perintah
gcloud pam entitlements describe
mengambil hak tertentu.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
ENTITLEMENT_ID: ID hak yang detailnya ingin Anda ketahui.RESOURCE_TYPE: Opsional. Jenis resource yang haknya termasuk di dalamnya. Gunakan nilaiorganization,folder, atauproject.RESOURCE_ID: Digunakan denganRESOURCE_TYPE. ID Google Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, sepertimy-project. Folder dan ID organisasi berupa numerik, seperti123456789012.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud pam entitlements describe \ ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud pam entitlements describe ` ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud pam entitlements describe ^ ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
additionalNotificationTargets:
adminEmailRecipients:
- alex@example.com
createTime: '2024-03-26T11:07:37.009498890Z'
eligibleUsers:
- principals:
- user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 3600s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/my-project
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
requesterJustificationConfig:
unstructured: {}
state: AVAILABLE
updateTime: '2024-03-26T11:07:40.056780645Z'
REST
Metode
getEntitlement
Privileged Access Manager API mengambil hak tertentu.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE: Organisasi, folder, atau project untuk mendapatkan hak, dalam formatorganizations/ORGANIZATION_ID,folders/FOLDER_ID, atauprojects/PROJECT_ID. Project ID adalah string alfanumerik, sepertimy-project. Folder dan ID organisasi berupa numerik, seperti123456789012.ENTITLEMENT_ID: ID hak yang detailnya ingin Anda ketahui.
Metode HTTP dan URL:
GET https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{
"name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
"createTime": "2023-11-21T17:28:39.962144708Z",
"updateTime": "2023-11-21T17:28:43.160309410Z",
"eligibleUsers": [
{
"principals": [
"user:alex@example.com"
]
}
],
"approvalWorkflow": {
"manualApprovals": {
"steps": [
{
"approvers": [
{
"principals": [
"user:bola@example.com"
]
}
],
"approvalsNeeded": 1
}
]
}
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
"roleBindings": [
{
"role": "roles/storage.admin"
}
]
}
},
"maxRequestDuration": "14400s",
"state": "AVAILABLE",
"requesterJustificationConfig": {
"unstructured": {}
},
"additionalNotificationTargets": {
"adminEmailRecipients": [
"alex@example.com"
]
},
"etag": "00000000000000000000000000000000000000000000000000000000000="
}
Mengekspor hak menggunakan gcloud CLI
Perintah
gcloud pam entitlements export
mengekspor hak tertentu ke file YAML.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
ENTITLEMENT_ID: ID hak yang akan diekspor.FILENAME: Nama file untuk mengekspor konten hak.RESOURCE_TYPE: Opsional. Jenis resource yang haknya termasuk di dalamnya. Gunakan nilaiorganization,folder, atauproject.RESOURCE_ID: Digunakan denganRESOURCE_TYPE. ID Google Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, sepertimy-project. Folder dan ID organisasi berupa numerik, seperti123456789012.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud pam entitlements export \ ENTITLEMENT_ID \ --destination=FILENAME.yaml \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud pam entitlements export ` ENTITLEMENT_ID ` --destination=FILENAME.yaml ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud pam entitlements export ^ ENTITLEMENT_ID ^ --destination=FILENAME.yaml ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
Exported [projects/my-project/locations/global/entitlements/ENTITLEMENT_ID] to 'FILENAME.yaml'.
Memperbarui hak secara terprogram
Perhatikan hal-hal berikut saat memperbarui hak:
Konfigurasi hak yang diperbarui hanya berlaku untuk pemberian yang diminta setelah pembaruan dilakukan. Namun, perubahan pemberi persetujuan juga berlaku untuk permintaan pemberian izin yang sudah ada dan belum disetujui atau ditolak.
Saat memperbarui hak, Anda tidak dapat mengubah apakah persetujuan diperlukan atau tidak. Jika Anda perlu mengubah status persetujuan, buat hak baru.
Perubahan pada pemohon dan pemberi persetujuan hak mungkin memerlukan waktu beberapa menit untuk diterapkan.
gcloud
Perintah
gcloud pam entitlements update
memperbarui hak tertentu.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
ENTITLEMENT_ID: ID hak yang akan diperbarui.RESOURCE_TYPE: Opsional. Jenis resource yang haknya termasuk di dalamnya. Gunakan nilaiorganization,folder, atauproject.RESOURCE_ID: Digunakan denganRESOURCE_TYPE. ID Google Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, sepertimy-project. Folder dan ID organisasi berupa numerik, seperti123456789012.FILENAME: File yang berisi konfigurasi hak yang diubah. Untuk membuat file ini, dapatkan atau ekspor hak yang ada, simpan respons dalam file YAML, lalu ubah untuk digunakan sebagai isi permintaan pembaruan Anda. Anda harus menyertakan ETAG di isi pesan untuk mengupdate versi terbaru hak. Untuk kolom yang tersedia yang dapat Anda ubah atau tambahkan, lihat Membuat hak secara terprogram.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud pam entitlements update \ ENTITLEMENT_ID \ --entitlement-file=FILENAME.yaml \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud pam entitlements update ` ENTITLEMENT_ID ` --entitlement-file=FILENAME.yaml ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud pam entitlements update ^ ENTITLEMENT_ID ^ --entitlement-file=FILENAME.yaml ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
Request issued for: [ENTITLEMENT_ID]
Waiting for operation [projects/my-project/locations/global/operations/OPERATION_ID] to complete...done.
Updated entitlement [ENTITLEMENT_ID].
approvalWorkflow:
manualApprovals:
requireApproverJustification: true
steps:
- approvalsNeeded: 1
approvers:
- principals:
- user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
- user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/my-project
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
requesterJustificationConfig:
unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'
REST
Metode
updateEntitlement
Privileged Access Manager API memperbarui hak tertentu.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE: Organisasi, folder, atau project tempat hak berada, dalam formatorganizations/ORGANIZATION_ID,folders/FOLDER_ID, atauprojects/PROJECT_ID. Project ID adalah string alfanumerik, sepertimy-project. Folder dan ID organisasi berupa numerik, seperti123456789012.ENTITLEMENT_ID: ID hak yang akan diperbarui.-
UPDATED_FIELDS: Daftar kolom yang dipisahkan koma yang diperbarui dalam hak. Contoh:?updateMask=privilegedAccess,maxRequestDuration
Untuk semua kolom yang dapat diupdate, setel mask update ke
*. REQUEST_ID: Opsional. Harus berupa UUID bukan nol. Jika server menerima permintaan dengan ID permintaan, server akan memeriksa apakah permintaan lain dengan ID tersebut telah diselesaikan dalam 60 menit terakhir. Jika ya, permintaan baru akan diabaikan.request.json: File yang berisi konfigurasi yang diubah hak. Untuk membuat file ini, dapatkan atau ekspor hak yang ada, simpan respons dalam file bernamarequest.json, lalu ubah untuk digunakan sebagai isi permintaan update Anda. Anda harus menyertakan ETAG dalam isi untuk mengupdate versi terbaru hak. Untuk mengetahui kolom yang tersedia yang dapat Anda ubah atau tambahkan, lihat Membuat hak secara terprogram.
Metode HTTP dan URL:
PATCH https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?updateMask=UPDATED_FIELDS&requestId=REQUEST_ID
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{
"name": "projects/my-project/locations/global/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1.OperationMetadata",
"createTime": "2024-03-25T01:55:02.544562950Z",
"target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
"verb": "update",
"requestedCancellation": false,
"apiVersion": "v1"
},
"done": false
}
Untuk memeriksa progres operasi update, Anda dapat mengirim permintaan
GET ke endpoint berikut:
https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations/OPERATION_ID
Kirim permintaan GET ke endpoint berikut untuk mencantumkan semua
operasi:
https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations
Menghapus hak secara terprogram
gcloud
Perintah
gcloud pam entitlements delete
menghapus hak tertentu.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
ENTITLEMENT_ID: ID hak yang akan dihapus.RESOURCE_TYPE: Opsional. Jenis resource yang haknya termasuk di dalamnya. Gunakan nilaiorganization,folder, atauproject.RESOURCE_ID: Digunakan denganRESOURCE_TYPE. ID Google Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, sepertimy-project. Folder dan ID organisasi berupa numerik, seperti123456789012.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud pam entitlements delete \ ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud pam entitlements delete ` ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud pam entitlements delete ^ ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
Delete request issued for: [ENTITLEMENT_ID] Waiting for operation [projects/my-project/locations/global/operations/OPERATION_ID] to complete...done. Deleted entitlement [ENTITLEMENT_ID].
REST
Metode
deleteEntitlement
Privileged Access Manager API menghapus hak tertentu.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
SCOPE: Organisasi, folder, atau project untuk menghapus hak, dalam formatorganizations/ORGANIZATION_ID,folders/FOLDER_ID, atauprojects/PROJECT_ID. Project ID adalah string alfanumerik, sepertimy-project. Folder dan ID organisasi berupa numerik, seperti123456789012.ENTITLEMENT_ID: ID hak yang akan dihapus.REQUEST_ID: Opsional. Harus berupa UUID bukan nol. Jika server menerima permintaan dengan ID permintaan, server akan memeriksa apakah permintaan lain dengan ID tersebut telah diselesaikan dalam 60 menit terakhir. Jika ya, permintaan baru akan diabaikan.
Metode HTTP dan URL:
DELETE https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?requestId=REQUEST_ID
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{
"name": "projects/my-project/locations/global/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1.OperationMetadata",
"createTime": "2024-03-06T02:28:28.020293460Z",
"target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
"verb": "delete",
"requestedCancellation": false,
"apiVersion": "v1"
},
"done": false
}
Untuk memeriksa progres operasi penghapusan, Anda dapat mengirim permintaan GET ke endpoint berikut:
https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations/OPERATION_ID
Kirim permintaan GET ke endpoint berikut untuk mencantumkan semua
operasi:
https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations