Dopo aver creato un diritto, puoi visualizzarlo, aggiornarlo o eliminarlo. La propagazione delle modifiche ai richiedenti e agli approvatori di un diritto potrebbe richiedere alcuni minuti.
Prima di iniziare
Per ottenere le autorizzazioni necessarie per gestire i diritti, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione, nella cartella o nel progetto:
-
Per gestire i diritti per un'organizzazione:
-
Privileged Access Manager Admin (
roles/privilegedaccessmanager.admin) -
Security Admin (
roles/iam.securityAdmin)
-
Privileged Access Manager Admin (
-
Per gestire una cartella:
-
Privileged Access Manager Admin (
roles/privilegedaccessmanager.admin) -
Folder IAM Admin (
roles/resourcemanager.folderAdmin)
-
Privileged Access Manager Admin (
-
Per gestire i diritti per un progetto:
-
Privileged Access Manager Admin (
roles/privilegedaccessmanager.admin) -
Project IAM Admin (
roles/resourcemanager.projectIamAdmin)
-
Privileged Access Manager Admin (
-
Per visualizzare i log di controllo:
Logs Viewer (
roles/logs.viewer)
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per gestire i diritti. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per gestire i diritti sono necessarie le seguenti autorizzazioni:
-
Per gestire i diritti per un'organizzazione:
-
resourcemanager.organizations.get -
resourcemanager.organizations.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare i diritti per un'organizzazione:
-
resourcemanager.organizations.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per gestire i diritti di una cartella:
-
resourcemanager.folders.get -
resourcemanager.folders.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare i diritti per una cartella:
-
resourcemanager.folders.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per gestire i diritti per un progetto:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare i diritti per un progetto:
-
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare gli audit log:
logging.logEntries.list
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Visualizzare, aggiornare ed eliminare i diritti utilizzando la console Google Cloud
Vai alla pagina Privileged Access Manager.
Seleziona l'organizzazione, la cartella o il progetto in cui vuoi gestire i diritti.
Nella scheda Diritti, fai clic sulla scheda Diritti per tutti gli utenti. Qui puoi trovare i diritti disponibili, i ruoli che concedono e i richiedenti e gli approvatori validi.
Nella tabella, fai clic su Altre opzioni nella stessa riga di un diritto che vuoi esaminare.
Per visualizzare i dettagli del diritto, fai clic su Visualizza i dettagli del diritto.
Per visualizzare le concessioni associate al diritto, fai clic su Visualizza grant associati.
Per revocare tutte le concessioni attive per il diritto, fai clic su Revoca tutte le concessioni.
Per eliminare il diritto, fai clic su Elimina diritto. Non puoi eliminare un diritto con concessioni attive. Devi prima revocare le concessioni.
Per aggiornare un diritto, fai clic su Modifica diritto nella stessa riga del diritto da aggiornare.
Quando aggiorni un diritto, tieni presente quanto segue:
La configurazione aggiornata del diritto si applica solo alle concessioni richieste dopo l'aggiornamento. Le modifiche all'approvatore, tuttavia, si applicano anche alle richieste di concessione esistenti che non sono ancora state approvate o rifiutate.
Se il livello Premium o Enterprise di Security Command Center è attivato a livello di organizzazione, puoi apportare modifiche strutturali al flusso di lavoro di approvazione di un diritto. Queste modifiche, che includono l'aggiunta o la rimozione dell'approvazione di secondo livello, l'aggiunta o la rimozione degli approvatori di secondo livello o la modifica delle approvazioni richieste per livello, sono consentite solo se non sono in attesa di approvazione concessioni per questo diritto.
Questa funzionalità è disponibile in anteprima.
Visualizzare i diritti a livello di programmazione
Per visualizzare i diritti a livello di programmazione, puoi cercarli, elencarli, ottenerli ed esportarli.
Elenca diritti
gcloud
Il comando
gcloud alpha pam entitlements list
elenca i diritti che appartengono a un ambito specifico.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
RESOURCE_TYPE: (Facoltativo) Il tipo di risorsa a cui appartiene il diritto. Utilizza il valoreorganization,folderoproject.RESOURCE_ID: Utilizzato conRESOURCE_TYPE. L'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud alpha pam entitlements list \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam entitlements list ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam entitlements list ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Dovresti ricevere una risposta simile alla seguente:
additionalNotificationTargets:
adminEmailRecipients:
- alex@example.com
approvalWorkflow:
manualApprovals:
requireApproverJustification: true
steps:
- id: step-1
approvalsNeeded: 3
approvers:
- principals:
- user:alex@example.com
- user:dev-team@example.com
- id: step-2
approvalsNeeded: 1
approvers:
- principals:
- user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
- user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwarq_1
conditionExpression: "request.time.getHours() >= 8"
requesterJustificationConfig:
unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'
REST
Il metodo
listEntitlements
dell'API Privileged Access Manager elenca i diritti appartenenti a un ambito specifico.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
SCOPE: l'organizzazione, la cartella o il progetto in cui si trova il diritto, nel formatoorganizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.FILTER: (Facoltativo) Restituisce i diritti i cui valori dei campi corrispondono a un'espressione AIP-160.PAGE_SIZE: (Facoltativo) Il numero di elementi da restituire in una risposta.PAGE_TOKEN: (Facoltativo) La pagina da cui iniziare la risposta, utilizzando un token di pagina restituito in una risposta precedente.
Metodo HTTP e URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
[
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID",
"createTime": "2023-11-21T17:28:39.962144708Z",
"updateTime": "2023-11-21T17:28:43.160309410Z",
"eligibleUsers": [
{
"principals": [
"user:alex@example.com"
]
}
],
"approvalWorkflow": {
"manualApprovals": {
"steps": [
{
"approvers": [
{
"principals": [
"user:bola@example.com"
]
}
],
"approvalsNeeded": 1,
"id": "step-1"
},
{
"approvers": [
{
"principals": [
"user:bob@example.com",
"user:jacob@example.com"
]
}
],
"approvalsNeeded": 2,
"id": "step-2"
}
]
}
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"id": "hwqrt_1",
"conditionExpression": "request.time.getHours() >= 8"
}
]
}
},
"maxRequestDuration": "14400s",
"state": "AVAILABLE",
"requesterJustificationConfig": {
"unstructured": {}
},
"additionalNotificationTargets": {
"adminEmailRecipients": [
"alex@example.com"
]
},
"etag": "00000000000000000000000000000000000000000000000000000000000="
}
]
Ottenere i diritti
gcloud
Il comando
gcloud alpha pam entitlements describe
recupera un diritto specifico.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
ENTITLEMENT_ID: l'ID del diritto di cui vuoi visualizzare i dettagli.RESOURCE_TYPE: (Facoltativo) Il tipo di risorsa a cui appartiene il diritto. Utilizza il valoreorganization,folderoproject.RESOURCE_ID: Utilizzato conRESOURCE_TYPE. L'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud alpha pam entitlements describe \ ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam entitlements describe ` ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam entitlements describe ^ ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Dovresti ricevere una risposta simile alla seguente:
additionalNotificationTargets:
adminEmailRecipients:
- alex@example.com
approvalWorkflow:
manualApprovals:
requireApproverJustification: true
steps:
- id: step-1
approvalsNeeded: 3
approvers:
- principals:
- user:alex@example.com
- user:dev-team@example.com
- id: step-2
approvalsNeeded: 1
approvers:
- principals:
- user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
- user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwarq_1
conditionExpression: "request.time.getHours() >= 8"
requesterJustificationConfig:
unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'
REST
Il metodo
getEntitlement
dell'API Privileged Access Manager recupera un diritto specifico.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
SCOPE: l'organizzazione, la cartella o il progetto da cui ottenere il diritto, nel formatoorganizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.ENTITLEMENT_ID: l'ID del diritto di cui vuoi visualizzare i dettagli.
Metodo HTTP e URL:
GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"name": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID",
"createTime": "2023-11-21T17:28:39.962144708Z",
"updateTime": "2023-11-21T17:28:43.160309410Z",
"eligibleUsers": [
{
"principals": [
"user:alex@example.com"
]
}
],
"approvalWorkflow": {
"manualApprovals": {
"steps": [
{
"approvers": [
{
"principals": [
"user:bola@example.com"
]
}
],
"approvalsNeeded": 1,
"id": "step-1"
},
{
"approvers": [
{
"principals": [
"user:bob@example.com",
"user:jacob@example.com"
]
}
],
"approvalsNeeded": 2,
"id": "step-2"
}
]
}
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
"roleBindings": [
{
"role": "roles/storage.admin",
"id": "hwqrt_1",
"conditionExpression": "request.time.getHours() >= 8"
}
]
}
},
"maxRequestDuration": "14400s",
"state": "AVAILABLE",
"requesterJustificationConfig": {
"unstructured": {}
},
"additionalNotificationTargets": {
"adminEmailRecipients": [
"alex@example.com"
]
},
"etag": "00000000000000000000000000000000000000000000000000000000000="
}
Esportare i diritti utilizzando gcloud CLI
Il comando
gcloud alpha pam entitlements export
esporta un diritto specifico in un file YAML.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
ENTITLEMENT_ID: l'ID del diritto da esportare.FILENAME: Il nome del file in cui esportare i contenuti del diritto.RESOURCE_TYPE: (Facoltativo) Il tipo di risorsa a cui appartiene il diritto. Utilizza il valoreorganization,folderoproject.RESOURCE_ID: Utilizzato conRESOURCE_TYPE. L'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud alpha pam entitlements export \ ENTITLEMENT_ID \ --destination=FILENAME.yaml \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam entitlements export ` ENTITLEMENT_ID ` --destination=FILENAME.yaml ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam entitlements export ^ ENTITLEMENT_ID ^ --destination=FILENAME.yaml ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Dovresti ricevere una risposta simile alla seguente:
Exported [projects/my-project/locations/global/entitlements/ENTITLEMENT_ID] to 'FILENAME.yaml'.
Aggiornare i diritti a livello di programmazione
Quando aggiorni un diritto, tieni presente quanto segue:
La configurazione aggiornata del diritto si applica solo alle concessioni richieste dopo l'aggiornamento. Le modifiche all'approvatore, tuttavia, si applicano anche alle richieste di concessione esistenti che non sono ancora state approvate o rifiutate.
Se il livello Premium o Enterprise di Security Command Center è attivato a livello di organizzazione, puoi apportare modifiche strutturali al flusso di lavoro di approvazione di un diritto. Queste modifiche, che includono l'aggiunta o la rimozione dell'approvazione di secondo livello, l'aggiunta o la rimozione degli approvatori di secondo livello o la modifica delle approvazioni richieste per livello, sono consentite solo se non sono in attesa di approvazione concessioni per questo diritto.
Questa funzionalità è disponibile in anteprima.
gcloud
Il comando
gcloud alpha pam entitlements update
aggiorna un diritto specifico.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
ENTITLEMENT_ID: l'ID del diritto da aggiornare.RESOURCE_TYPE: (Facoltativo) Il tipo di risorsa a cui appartiene il diritto. Utilizza il valoreorganization,folderoproject.RESOURCE_ID: Utilizzato conRESOURCE_TYPE. L'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.FILENAME: un file contenente la configurazione modificata del diritto. Per creare questo file, recupera o esporta il diritto esistente, salva la risposta in un file YAML e poi modificala per utilizzarla come corpo della richiesta di aggiornamento. Devi includere l'ETAG nel corpo per aggiornare l'ultima versione del diritto. Per i campi disponibili che puoi modificare o aggiungere, vedi Creare diritti programmati.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud alpha pam entitlements update \ ENTITLEMENT_ID \ --entitlement-file=FILENAME.yaml \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam entitlements update ` ENTITLEMENT_ID ` --entitlement-file=FILENAME.yaml ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam entitlements update ^ ENTITLEMENT_ID ^ --entitlement-file=FILENAME.yaml ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Dovresti ricevere una risposta simile alla seguente:
Request issued for: [ENTITLEMENT_ID]
Waiting for operation [RESOURCE_TYPE/RESOURCE_ID/locations/global/operations/OPERATION_ID] to complete...done.
Updated entitlement [ENTITLEMENT_ID].
additionalNotificationTargets: {}
approvalWorkflow:
manualApprovals:
requireApproverJustification: true
steps:
- id: step-1
approvalsNeeded: 3
approvers:
- principals:
- user:alex@example.com
- user:dev-team@example.com
- id: step-2
approvalsNeeded: 1
approvers:
- principals:
- user:alex@example.com
createTime: '2024-04-09T02:39:37.011866832Z'
eligibleUsers:
- principals:
- user:bola@example.com
etag: 00000000000000000000000000000000000000000000000000000000000=
maxRequestDuration: 7200s
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
id: hwarq_1
conditionExpression: "request.time.getHours() >= 8"
requesterJustificationConfig:
unstructured: {}
state: AVAILABLE
updateTime: '2024-04-09T02:39:40.066770306Z'
REST
Il metodo
updateEntitlement
dell'API Privileged Access Manager aggiorna un diritto specifico.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
SCOPE: l'organizzazione, la cartella o il progetto in cui si trova il diritto, nel formatoorganizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.ENTITLEMENT_ID: l'ID del diritto da aggiornare.-
UPDATED_FIELDS: un elenco separato da virgole di campi che vengono aggiornati nel diritto. Ad esempio:?updateMask=privilegedAccess,maxRequestDuration
Per tutti i campi aggiornabili, imposta la maschera di aggiornamento su
*. REQUEST_ID: (Facoltativo) Deve essere un UUID diverso da zero. Se il server riceve una richiesta con un ID richiesta, verifica se un'altra richiesta con lo stesso ID è già stata completata negli ultimi 60 minuti. In questo caso, la nuova richiesta viene ignorata.request.json: un file contenente la configurazione modificata del diritto. Per creare questo file, recupera o esporta il diritto esistente, salva la risposta nel file denominatorequest.jsone poi modificalo per utilizzarlo come corpo della richiesta di aggiornamento. Devi includere l'ETAG nel corpo per aggiornare l'ultima versione del diritto. Per i campi disponibili che puoi modificare o aggiungere, vedi Creare diritti programmaticamente.
Metodo HTTP e URL:
PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?updateMask=UPDATED_FIELDS&requestId=REQUEST_ID
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"name": "projects/my-project/locations/global/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
"createTime": "2024-03-25T01:55:02.544562950Z",
"target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
"verb": "update",
"requestedCancellation": false,
"apiVersion": "v1beta"
},
"done": false
}
Per controllare l'avanzamento di un'operazione di aggiornamento, puoi inviare una
richiesta GET al seguente endpoint:
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID
Invia una richiesta GET al seguente endpoint per elencare tutte le operazioni:
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations
Eliminare i diritti a livello di programmazione
gcloud
Il comando
gcloud alpha pam entitlements delete
elimina un diritto specifico.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
ENTITLEMENT_ID: l'ID del diritto da eliminare.RESOURCE_TYPE: (Facoltativo) Il tipo di risorsa a cui appartiene il diritto. Utilizza il valoreorganization,folderoproject.RESOURCE_ID: Utilizzato conRESOURCE_TYPE. L'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud alpha pam entitlements delete \ ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud alpha pam entitlements delete ` ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud alpha pam entitlements delete ^ ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Dovresti ricevere una risposta simile alla seguente:
Delete request issued for: [ENTITLEMENT_ID] Waiting for operation [projects/my-project/locations/global/operations/OPERATION_ID] to complete...done. Deleted entitlement [ENTITLEMENT_ID].
REST
Il metodo
deleteEntitlement
dell'API Privileged Access Manager elimina un diritto specifico.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
SCOPE: l'organizzazione, la cartella o il progetto in cui eliminare il diritto, nel formatoorganizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, comemy-project. Gli ID cartella e organizzazione sono numerici, ad esempio123456789012.ENTITLEMENT_ID: l'ID del diritto da eliminare.REQUEST_ID: (Facoltativo) Deve essere un UUID diverso da zero. Se il server riceve una richiesta con un ID richiesta, verifica se un'altra richiesta con lo stesso ID è già stata completata negli ultimi 60 minuti. In questo caso, la nuova richiesta viene ignorata.
Metodo HTTP e URL:
DELETE https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?requestId=REQUEST_ID
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{
"name": "projects/my-project/locations/global/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
"createTime": "2024-03-06T02:28:28.020293460Z",
"target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID",
"verb": "delete",
"requestedCancellation": false,
"apiVersion": "v1beta"
},
"done": false
}
Per controllare l'avanzamento di un'operazione di eliminazione, puoi inviare una
richiesta GET al seguente endpoint:
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID
Invia una richiesta GET al seguente endpoint per elencare tutte le operazioni:
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations