Bevor Sie Berechtigungen und Genehmigungen für Privileged Access Manager erstellen, ändern oder verwalten können, müssen Ihre Hauptkonten die entsprechenden Berechtigungen haben. Der Dienst muss auch auf Organisations-, Ordner- oder Projektebene eingerichtet sein.
Hauptkonten, die Erteilungen anfordern und Erteilungen genehmigen oder ablehnen, benötigen keine Privileged Access Manager-spezifischen Berechtigungen.
Hinweise
Sie benötigen die erforderlichen IAM-Berechtigungen (Identity and Access Management), um Privileged Access Manager-Berechtigungen einzurichten und zu verwalten.
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation, den Ordner oder das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie für die Arbeit mit Berechtigungen und Erteilungen benötigen:
-
So erstellen, aktualisieren und löschen Sie Berechtigungen für eine Organisation:
Privileged Access Manager Admin (
roles/privilegedaccessmanager.admin) und Security Admin (roles/iam.securityAdmin) -
So erstellen, aktualisieren und löschen Sie Berechtigungen für einen Ordner:
Privileged Access Manager Admin und Folder IAM Admin (
roles/resourcemanager.folderAdmin) -
So erstellen, aktualisieren und löschen Sie Berechtigungen für ein Projekt:
Privileged Access Manager Admin und Project IAM Admin (
roles/resourcemanager.projectIamAdmin) -
So rufen Sie Berechtigungen und Erteilungen auf:
Privileged Access Manager Viewer (
roles/privilegedaccessmanager.viewer) -
So rufen Sie Audit-Logs auf:
Logbetrachter (
roles/logs.viewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Arbeiten mit Berechtigungen und Erteilungen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um mit Berechtigungen und Erteilungen zu arbeiten:
-
So aktivieren Sie Privileged Access Manager auf Organisationsebene:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
serviceusage.services.enable
-
-
So verwalten Sie Berechtigungen und Erteilungen für eine Organisation:
-
resourcemanager.organizations.get -
resourcemanager.organizations.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
So rufen Sie Berechtigungen und Erteilungen für eine Organisation auf:
-
resourcemanager.organizations.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
So aktivieren Sie Privileged Access Manager auf Ordnerebene:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
serviceusage.services.enable
-
-
So verwalten Sie Berechtigungen und Erteilungen für einen Ordner:
-
resourcemanager.folders.get -
resourcemanager.folders.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
So rufen Sie Berechtigungen und Erteilungen für einen Ordner auf:
-
resourcemanager.folders.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
So aktivieren Sie Privileged Access Manager auf Projektebene:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy -
serviceusage.services.enable
-
-
So verwalten Sie Berechtigungen und Erteilungen für ein Projekt:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
So rufen Sie Berechtigungen und Erteilungen für ein Projekt auf:
-
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
- So sehen Sie Audit-Logs ein:
logging.logEntries.list
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Privileged Access Manager aktivieren
Um Privileged Access Manager zu aktivieren, müssen Sie dem Privileged Access Manager-Dienst-Agent für Ihre Organisation, Ihren Ordner oder Ihr Projekt die Rolle Privileged Access Manager Service Agent zuweisen.
So weisen Sie dem Dienst-Agent diese Rolle zu:
Rufen Sie die Seite Privileged Access Manager auf.
Wählen Sie die Organisation, den Ordner oder das Projekt aus, für die Sie Privileged Access Manager aktivieren möchten.
Klicken Sie auf PAM einrichten, um mit der Einrichtung zu beginnen.
Wenn Sie dem Privileged Access Manager-Dienst-Agent die Rolle Privileged Access Manager-Dienst-Agent erteilen möchten, um Berechtigungseskalierungen zu verwalten, klicken Sie auf Rolle gewähren.
Prüfen Sie, ob der Dienst-Agent von Privileged Access Manager den folgenden Sicherheitskontrollen hinzugefügt wurde:
Ablehnungsrichtlinien: Fügen Sie den Dienst-Agent von Privileged Access Manager dem Feld
exceptionPrincipalsIhrer Richtlinien hinzu.VPC Service Controls: Fügen Sie den Dienstagent von Privileged Access Manager den entsprechenden Zugriffsebenen hinzu oder fügen Sie dem Perimeter eine Eingangsregel hinzu, um den Dienstagent zuzulassen.
Klicken Sie auf Einrichtung abschließen.
E‑Mail-Adresse von Privileged Access Manager zulassen
Fügen Sie pam-noreply@google.com Ihren Zulassungslisten für E-Mail-Konten und -Gruppen hinzu, die E-Mail-Benachrichtigungen von Privileged Access Manager erhalten, damit die E-Mail nicht blockiert wird.