Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS. Per ulteriori dettagli, consulta la sezione Differenze rispetto a Google Cloud.

Questa pagina è stata tradotta dall'API Cloud Translation.

Creare diritti in Privileged Access Manager

Puoi creare diritti per consentire l'elevazione temporanea dei privilegi per un insieme selezionato di entità. Tieni presente quanto segue durante la creazione dei diritti:

Puoi creare diritti a livello di organizzazione, cartella o progetto. I ruoli concessi da un diritto a ogni livello seguono la Cloud de Confiance by S3NS gerarchia delle risorse. Ad esempio, i ruoli concessi da un diritto a livello di organizzazione vengono ereditati a livello di cartella e progetto.
Se il livello Premium o Enterprise di Security Command Center è attivato a livello di organizzazione, puoi richiedere più di un livello di approvazione per diritto, consentendo fino a due livelli di approvazioni sequenziali per ogni diritto. Puoi richiedere fino a cinque approvazioni per livello.

Una volta ricevuto il numero richiesto di approvazioni di primo livello, vengono inviate notifiche via email agli approvatori di secondo livello. Una volta ricevuto il numero richiesto di approvazioni di secondo livello, la sovvenzione passa allo stato active. Se un approvatore nega la concessione, questa passa allo stato denied e non viene inviata ad altri approvatori.

Questa funzionalità è disponibile in anteprima.
Se gli account di servizio sono autorizzati ad approvare le concessioni per questa risorsa, puoi aggiungere service account e identità del pool di workload come approvatori. Per scoprire come abilitare questa impostazione, vedi Configurare le impostazioni di Privileged Access Manager.

Questa funzionalità è disponibile in anteprima.
Se aggiungi un gruppo come richiedente a un diritto, tutti gli account individuali di quel gruppo possono richiedere la concessione di quel diritto. Tuttavia, solo l'account individuale che richiede la concessione può ricevere privilegi elevati.
Se aggiungi un gruppo come approvatore a un diritto, tutti gli account individuali del gruppo possono approvare o rifiutare una richiesta di concessione.
I ruoli di base (Amministratore, Writer e Lettore) sono supportati, ma i ruoli di base legacy (Proprietario, Editor e Visualizzatore) non sono supportati.
Non includere i ruoli dell'agente di servizio nei diritti.

Alcuni ruoli dell'agente di servizio contengono autorizzazioni molto potenti e le autorizzazioni all'interno di questi ruoli possono cambiare senza preavviso. Scegli invece un altro ruolo predefinito o crea un ruolo personalizzato con le autorizzazioni necessarie.

Attenzione:fai attenzione quando includi i seguenti tipi di ruoli in un diritto:

Ruoli con autorizzazioni per concedere e revocare ruoli IAM (ovvero ruoli con nomi di autorizzazioni che terminano con setIamPolicy).
Ruoli con l'autorizzazione iam.roles.update, che consente agli utenti di modificare i ruoli personalizzati.

Questi tipi di ruoli contengono autorizzazioni che consentono a un utente di modificare le proprie autorizzazioni IAM. Di conseguenza, le entità richiedenti possono utilizzare questi ruoli per aumentare il proprio accesso alle risorse o concedersi un accesso aggiuntivo alle risorse.

Ad esempio, immagina un utente con un ruolo personalizzato con autorizzazioni molto limitate. Se questo utente richiede correttamente una concessione rispetto a un entitlement con il ruolo Amministratore ruoli (roles/iam.roleAdmin), può utilizzare le autorizzazioni in questo ruolo per aggiungere l'autorizzazione resourcemanager.projects.setIamPolicy al proprio ruolo personalizzato. Questa autorizzazione gli consentirebbe di concedere e revocare tutti i ruoli IAM per il progetto, anche dopo la scadenza della concessione.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per creare diritti, chiedi all'amministratore di concederti i seguenti ruoli IAM per l'organizzazione, la cartella o il progetto per cui vuoi creare diritti:

Crea diritti per un'organizzazione:
- Privileged Access Manager Admin (roles/privilegedaccessmanager.admin)
- Security Admin (roles/iam.securityAdmin)
Creare per una cartella:
- Privileged Access Manager Admin (roles/privilegedaccessmanager.admin)
- Folder IAM Admin (roles/resourcemanager.folderAdmin)
Crea diritti per un progetto:
- Privileged Access Manager Admin (roles/privilegedaccessmanager.admin)
- Project IAM Admin (roles/resourcemanager.projectIamAdmin)
Per visualizzare i log di controllo: Logs Viewer (roles/logs.viewer)

Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per creare diritti. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per creare diritti sono necessarie le seguenti autorizzazioni:

Per creare diritti e concessioni per un'organizzazione:
- resourcemanager.organizations.get
- resourcemanager.organizations.setIamPolicy
- privilegedaccessmanager.entitlements.create
Per creare diritti e concessioni per una cartella:
- resourcemanager.folders.get
- resourcemanager.folders.setIamPolicy
- privilegedaccessmanager.entitlements.create
Per creare diritti e concessioni per un progetto:
- resourcemanager.projects.get
- resourcemanager.projects.setIamPolicy
- privilegedaccessmanager.entitlements.create

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Creare diritti

Console

Vai alla pagina Privileged Access Manager.

Vai a Privileged Access Manager
Seleziona l'organizzazione, la cartella o il progetto a cui vuoi applicare il diritto.
Fai clic sulla scheda Diritti.
Fai clic su Crea.
Nella sezione Dettagli diritto, inserisci i seguenti dettagli:
- Un nome del diritto. Il nome di un diritto può contenere da 4 a 63 caratteri. Deve iniziare con una lettera minuscola e può contenere solo lettere minuscole, numeri e trattini.
- Fino a 30 ruoli da concedere all'organizzazione, alla cartella o al progetto.
  
  Puoi anche aggiungere condizioni IAM a questi ruoli nello stesso modo in cui aggiungi condizioni per consentire i binding dei ruoli dei criteri. Tuttavia, nei diritti di Privileged Access Manager, l'utilizzo di condizioni che controllano i tag per una risorsa è in anteprima.
- La durata massima di una concessione. La durata massima che puoi impostare per un diritto è di 7 giorni.
Fai clic su Avanti.
Nella sezione Aggiungi richiedenti, inserisci fino a 20 entità richiedenti valide per il diritto.

Sono supportati tutti i tipi di entità, ad eccezione di allUsers e allAuthenticatedUsers. Puoi aggiungere più di 20 identità aggiungendole a un gruppo ed elencando il gruppo nel diritto.
Scegli se i principali devono fornire una giustificazione per la richiesta di concessione.
Inserisci indirizzi email aggiuntivi degli utenti da avvisare quando il diritto è idoneo alla richiesta.

Le identità Google associate al diritto, come gli approvatori e i richiedenti, vengono avvisate automaticamente. Tuttavia, se vuoi inviare una notifica ad altre persone, puoi aggiungere i loro indirizzi email. Ciò è particolarmente utile se utilizzi identità della forza lavoro anziché Account Google.
Fai clic su Avanti.
Nella sezione Aggiungi approvatori, esegui una delle seguenti operazioni:
- Per consentire le concessioni di ruoli senza approvazione, seleziona Attiva l'accesso senza approvazioni.
- Per rendere obbligatorie le approvazioni, procedi nel seguente modo:
  
  Nota: l'aggiunta di approvatori di secondo livello e la configurazione del numero di approvazioni richieste sono disponibili solo se il livello Security Command Center Premium o Enterprise è attivato a livello di organizzazione.
  1. (Facoltativo) Per richiedere agli approvatori di inserire giustificazioni per l'approvazione delle richieste, seleziona Giustificazione richiesta da parte degli approvatori.
  2. Inserisci i dettagli dell'approvatore di primo livello:
    - Un elenco di approvatori per il diritto
      
      Puoi aggiungere uno dei seguenti tipi di entità come approvatori:
      - Account Google
      - Gruppi Google
      - Domini Google Workspace
      - Identificatori del pool di forza lavoro
      - Identificatori del pool di workload
      - Account di servizio
        
        Gli identificatori di service account e pool di workload sono disponibili solo se i service account sono autorizzati ad approvare le concessioni per questa risorsa. Per maggiori dettagli, vedi Configurare le impostazioni di Privileged Access Manager.
    - Numero di approvazioni richieste
      
      Se hai aggiunto un gruppo come approvatore, assicurati che il numero di approvazioni richieste sia inferiore o uguale al numero di entità nel gruppo. In caso contrario, le concessioni rimarranno bloccate per sempre nello stato approval awaited.
    - Indirizzi email degli approvatori per la notifica
  3. (Facoltativo) Aggiungi i dettagli dell'approvatore di secondo livello:
    - Un elenco di approvatori per il diritto
      
      Puoi aggiungere uno dei seguenti tipi di entità come approvatori:
      - Account Google
      - Gruppi Google
      - Domini Google Workspace
      - Identificatori del pool di forza lavoro
      - Identificatori del pool di workload
      - Account di servizio
        
        Gli identificatori di service account e pool di workload sono disponibili solo se i service account sono autorizzati ad approvare le concessioni per questa risorsa. Per maggiori dettagli, vedi Configurare le impostazioni di Privileged Access Manager.
    - Numero di approvazioni richieste
      
      Se hai aggiunto un gruppo come approvatore, assicurati che il numero di approvazioni richieste sia inferiore o uguale al numero di entità nel gruppo. In caso contrario, le concessioni rimarranno bloccate per sempre nello stato approval awaited.
    - Indirizzi email degli approvatori per la notifica
Puoi aggiungere fino a 20 responsabili dell'approvazione (identità o gruppi) per approvazione. Se vuoi aggiungere più di 20 approvatori, puoi farlo aggiungendoli a un gruppo ed elencando il gruppo come approvatore del diritto.
Fai clic su Avanti.
Fai clic su Crea diritto.

La propagazione dei diritti appena creati potrebbe richiedere alcuni minuti prima che siano pronti per l'uso.

gcloud

Il comando gcloud alpha pam entitlements create crea un diritto a livello di organizzazione, cartella o progetto.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

ENTITLEMENT_ID: l'ID del diritto da creare. Un ID deve avere una lunghezza compresa tra 4 e 63 caratteri e utilizzare i seguenti caratteri: [a-z0-9-]. Il primo carattere deve essere una lettera.
RESOURCE_TYPE: (Facoltativo) Il tipo di risorsa a cui appartiene il diritto. Utilizza il valore organization, folder o project.
RESOURCE_ID: Utilizzato con RESOURCE_TYPE. L'ID dell'organizzazione, della cartella o del progetto Cloud de Confianceper cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
RESOURCE_MANAGER_RESOURCE_TYPE: Organization, Folder o Project, a seconda dell'ambito.
ROLE: i ruoli da assegnare quando viene concesso un diritto.
MAXIMUM_GRANT_DURATION: la durata massima per cui può essere richiesta una concessione, in secondi. L'intervallo supportato è compreso tra 30 minuti (1800) e 168 ore (604800).
REQUESTING_MEMBER: le entità che possono richiedere la concessione del diritto. Sono supportati tutti i tipi di entità , ad eccezione di allUsers e allAuthenticatedUsers.
APPROVING_MEMBER: le entità che possono approvare la richiesta di diritto. I tipi di principali validi sono i seguenti:
- Utente
- Gruppo
- Dominio
- Identificatori del pool di forza lavoro
- Identificatori del pool di workload
  Questa opzione è disponibile solo se gli account di servizio sono autorizzati ad approvare le richieste di diritti per questa risorsa. Per maggiori dettagli, vedi Configurare le impostazioni di Privileged Access Manager.
- Account di servizio
  Questa opzione è disponibile solo se gli account di servizio sono autorizzati ad approvare le richieste di diritti per questa risorsa. Per maggiori dettagli, vedi Configurare le impostazioni di Privileged Access Manager.
APPROVALS_NEEDED: il numero di approvatori richiesti per approvare la richiesta di diritti.
Se hai aggiunto un gruppo come approvatore, assicurati che il numero di approvazioni richieste sia inferiore o uguale al numero di entità nel gruppo. In caso contrario, le concessioni rimarranno bloccate per sempre nello stato approval awaited.
APPROVER_EMAIL_ADDRESSES: (Facoltativo) Indirizzi email aggiuntivi da notificare quando è stata richiesta una concessione. Le identità Google associate agli approvatori delle sovvenzioni vengono notificate automaticamente. Tuttavia, potresti voler inviare una notifica a un insieme diverso di indirizzi email, soprattutto se utilizzi la federazione delle identità per la forza lavoro.
ADMIN_EMAIL_ADDRESS: (Facoltativo) Indirizzi email aggiuntivi da notificare quando a un richiedente viene concesso l'accesso. Le identità Google associate agli approvatori delle sovvenzioni vengono notificate automaticamente. Tuttavia, potresti voler inviare una notifica a un insieme diverso di indirizzi email, soprattutto se utilizzi la federazione delle identità per la forza lavoro.
REQUESTER_EMAIL_ADDRESS: (Facoltativo) Indirizzi email aggiuntivi da notificare quando questo diritto è disponibile per la richiesta. Le identità Google associate ai richiedenti della sovvenzione vengono avvisate automaticamente. Tuttavia, potresti voler inviare una notifica a un insieme diverso di indirizzi email, soprattutto se utilizzi la federazione delle identità per la forza lavoro.
CONDITION_EXPRESSION: (Facoltativo) L'espressione di condizione che specifica quando l'entità può utilizzare le autorizzazioni nel ruolo. Questa condizione si applica solo quando la concessione è attiva.
Nota:Privileged Access Manager non supporta l'utilizzo degli attributi del livello di accesso nella condizione IAM di un diritto.

Salva i seguenti contenuti in un file denominato entitlement.yaml:

privilegedAccess:
  gcpIamAccess:
    resourceType: cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_ID
    roleBindings:
    - role: ROLE_1
      conditionExpression: CONDITION_EXPRESSION_1
    - role: ROLE_2
      conditionExpression: CONDITION_EXPRESSION_2
maxRequestDuration: MAXIMUM_GRANT_DURATION
eligibleUsers:
- principals:
  - REQUESTING_MEMBER_1
  - REQUESTING_MEMBER_2
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - approvalsNeeded: APPROVALS_NEEDED_1
      approverEmailRecipients:
      - APPROVER_EMAIL_ADDRESSES_1
      - APPROVER_EMAIL_ADDRESSES_2
      approvers:
      - principals:
       - APPROVING_MEMBER_1
       - APPROVING_MEMBER_2
    - approvalsNeeded: APPROVALS_NEEDED_2
      approverEmailRecipients:
       - APPROVER_EMAIL_ADDRESSES_3
       - APPROVER_EMAIL_ADDRESSES_4
      approvers:
      - principals:
        - APPROVING_MEMBER_3
        - APPROVING_MEMBER_4
requesterJustificationConfig:
  unstructured: {}
additionalNotificationTargets:
  adminEmailRecipients:
  - ADMIN_EMAIL_ADDRESS_1
  - ADMIN_EMAIL_ADDRESS_2
  requesterEmailRecipients:
  - REQUESTER_EMAIL_ADDRESS_1
  - REQUESTER_EMAIL_ADDRESS_2

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud alpha pam entitlements create \
    ENTITLEMENT_ID \
    --entitlement-file=entitlement.yaml \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam entitlements create `
    ENTITLEMENT_ID `
    --entitlement-file=entitlement.yaml `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam entitlements create ^
    ENTITLEMENT_ID ^
    --entitlement-file=entitlement.yaml ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Dovresti ricevere una risposta simile alla seguente:

Create request issued for: [ENTITLEMENT_ID]
Waiting for operation [projects/PROJECT_ID/locations/global/operations/OPERATION_ID] to complete...done.
Created entitlement [ENTITLEMENT_ID].
additionalNotificationTargets: {}
approvalWorkflow:
  manualApprovals:
    requireApproverJustification: true
    steps:
    - id: step-1
      approvalsNeeded: 3
      approvers:
      - principals:
        - user:alex@example.com
        - group:dev-team@example.com
    - id: step-2
      approvalsNeeded: 1
      approvers:
      - principals:
        - user:alex@example.com
  createTime: '2024-04-09T02:39:37.011866832Z'
  eligibleUsers:
  - principals:
    - user:bola@example.com
  etag: 00000000000000000000000000000000000000000000000000000000000=
  maxRequestDuration: 7200s
  name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID
  privilegedAccess:
    gcpIamAccess:
      resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
      resourceType: cloudresourcemanager.googleapis.com/Project
      roleBindings:
      - role: roles/storage.admin
        id: hwarq_1
        conditionExpression: "request.time.getHours() >= 8"
  requesterJustificationConfig:
    unstructured: {}
  state: AVAILABLE

La propagazione dei diritti appena creati potrebbe richiedere alcuni minuti prima che siano pronti per l'uso.

REST

Il metodo createEntitlement dell'API Privileged Access Manager crea un diritto a livello di organizzazione, cartella o progetto.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

SCOPE: l'organizzazione, la cartella o il progetto in cui creare il diritto, nel formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
ENTITLEMENT_ID: l'ID del diritto da creare. Un ID deve avere una lunghezza compresa tra 4 e 63 caratteri e utilizzare i seguenti caratteri: [a-z0-9-]. Il primo carattere deve essere una lettera.
RESOURCE_MANAGER_RESOURCE_TYPE: Organization, Folder o Project, a seconda dell'ambito.
ROLE: i ruoli da assegnare quando viene concesso un diritto.
MAXIMUM_GRANT_DURATION: la durata massima per cui può essere richiesta una concessione, in secondi. L'intervallo supportato è compreso tra 30 minuti (1800) e 168 ore (604800).
REQUESTING_MEMBER: le entità che possono richiedere la concessione del diritto. Sono supportati tutti i tipi di entità , ad eccezione di allUsers e allAuthenticatedUsers.
APPROVING_MEMBER: le entità che possono approvare la richiesta di diritto. I tipi di principali validi sono i seguenti:
- Utente
- Gruppo
- Dominio
- Identificatori del pool di forza lavoro
- Identificatori del pool di workload
  Questa opzione è disponibile solo se gli account di servizio sono autorizzati ad approvare le richieste di diritti per questa risorsa. Per maggiori dettagli, vedi Configurare le impostazioni di Privileged Access Manager.
- Account di servizio
  Questa opzione è disponibile solo se gli account di servizio sono autorizzati ad approvare le richieste di diritti per questa risorsa. Per maggiori dettagli, vedi Configurare le impostazioni di Privileged Access Manager.
APPROVALS_NEEDED: il numero di approvatori richiesti per approvare la richiesta di diritti.
Se hai aggiunto un gruppo come approvatore, assicurati che il numero di approvazioni richieste sia inferiore o uguale al numero di entità nel gruppo. In caso contrario, le concessioni rimarranno bloccate per sempre nello stato approval awaited.
APPROVER_EMAIL_ADDRESSES: (Facoltativo) Indirizzi email aggiuntivi da notificare quando è stata richiesta una concessione. Le identità Google associate agli approvatori delle sovvenzioni vengono notificate automaticamente. Tuttavia, potresti voler inviare una notifica a un insieme diverso di indirizzi email, soprattutto se utilizzi la federazione delle identità per la forza lavoro.
ADMIN_EMAIL_ADDRESS: (Facoltativo) Indirizzi email aggiuntivi da notificare quando a un richiedente viene concesso l'accesso. Le identità Google associate agli approvatori delle sovvenzioni vengono notificate automaticamente. Tuttavia, potresti voler inviare una notifica a un insieme diverso di indirizzi email, soprattutto se utilizzi la federazione delle identità per la forza lavoro.
REQUESTER_EMAIL_ADDRESS: (Facoltativo) Indirizzi email aggiuntivi da notificare quando questo diritto è disponibile per la richiesta. Le identità Google associate ai richiedenti della sovvenzione vengono avvisate automaticamente. Tuttavia, potresti voler inviare una notifica a un insieme diverso di indirizzi email, soprattutto se utilizzi la federazione delle identità per la forza lavoro.
CONDITION_EXPRESSION: (Facoltativo) L'espressione di condizione che specifica quando l'entità può utilizzare le autorizzazioni nel ruolo. Questa condizione si applica solo quando la concessione è attiva.
Nota:Privileged Access Manager non supporta l'utilizzo degli attributi del livello di accesso nella condizione IAM di un diritto.

Metodo HTTP e URL:

POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID

Corpo JSON della richiesta:

{
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/RESOURCE_MANAGER_RESOURCE_TYPE",
      "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
      "roleBindings": [
        {
          "role": "ROLE_1",
          "conditionExpression": "CONDITION_EXPRESSION_1",
        },
        {
          "role": "ROLE_2",
          "conditionExpression": "CONDITION_EXPRESSION_2",
        },
      ]
    }
  },
  "maxRequestDuration": "MAXIMUM_GRANT_DURATION",
  "eligibleUsers": [
    {
      "principals": [
        "REQUESTING_MEMBER_1",
        "REQUESTING_MEMBER_2",
        ...
      ]
    }
  ],
  "approvalWorkflow": {
    "manualApprovals": {
      "requireApproverJustification": true,
      "steps": [
        {
          "approvers": [
            {
              "principals": [
                "APPROVING_MEMBER_1",
                "APPROVING_MEMBER_2",
              ]
            }
          ],
          "approvalsNeeded": APPROVALS_NEEDED_1,
          "approverEmailRecipients": [
            "APPROVER_EMAIL_ADDRESSES_1",
            "APPROVER_EMAIL_ADDRESSES_2",
          ]
        },
        {
          "approvers": [
            {
              "principals": [
                "APPROVING_MEMBER_3",
                "APPROVING_MEMBER_4",
              ]
            }
          ],
          "approvalsNeeded": APPROVALS_NEEDED_2,
          "approverEmailRecipients": [
            "APPROVER_EMAIL_ADDRESSES_3",
            "APPROVER_EMAIL_ADDRESSES_4",
          ]
        }
      ]
    }
  },
  "requesterJustificationConfig": {
    "unstructured": {
    }
  },
  "additionalNotificationTargets": {
    "adminEmailRecipients": [
      "ADMIN_EMAIL_ADDRESS_1",
      "ADMIN_EMAIL_ADDRESS_2",
    ],
    "requesterEmailRecipients": [
      "REQUESTER_EMAIL_ADDRESS_1",
      "REQUESTER_EMAIL_ADDRESS_2",
    ]
  }
}

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements?entitlementId=ENTITLEMENT_ID" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:


{
  "name": "projects/PROJECT_ID/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "projects/PROJECT_ID/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}

Per controllare l'avanzamento di un'operazione di creazione, puoi inviare una richiesta GET al seguente endpoint:

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID

Invia una richiesta GET al seguente endpoint per elencare tutte le operazioni:

I diritti appena creati potrebbero richiedere alcuni minuti per la propagazione e diventare pronti per l'uso.

https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations

Terraform

Puoi utilizzare Terraform per creare diritti. Per saperne di più, consulta google_privileged_access_manager_entitlement nella documentazione di Terraform. La propagazione dei diritti appena creati potrebbe richiedere alcuni minuti prima che siano pronti per l'uso.

Config Connector

Puoi utilizzare Kubernetes Config Connector per creare diritti. Per ulteriori informazioni, consulta PrivilegedAccessManagerEntitlement nella documentazione di Config Connector. La propagazione dei diritti appena creati potrebbe richiedere alcuni minuti prima che siano pronti per l'uso.