Permisos y configuración de Privileged Access Manager

Antes de empezar a crear, modificar o gestionar derechos y concesiones de Privileged Access Manager, tus principales deben tener los permisos adecuados. El servicio también debe configurarse a nivel de organización, carpeta o proyecto.

Las entidades de seguridad que solicitan concesiones y las que aprueban o deniegan las concesiones no requieren ningún permiso específico de Privileged Access Manager.

Antes de empezar

Asegúrate de que tienes los permisos de Gestión de Identidades y Accesos (IAM) necesarios para configurar y gestionar los permisos de Privileged Access Manager.

Para obtener los permisos que necesitas para trabajar con derechos y concesiones, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en la organización, la carpeta o el proyecto:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para trabajar con derechos y concesiones. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para trabajar con derechos y concesiones, se necesitan los siguientes permisos:

  • Para habilitar Privileged Access Manager a nivel de organización, sigue estos pasos:
    • privilegedaccessmanager.locations.checkOnboardingStatus
    • resourcemanager.organizations.get
    • resourcemanager.organizations.getIamPolicy
    • resourcemanager.organizations.setIamPolicy
    • serviceusage.services.enable
  • Para gestionar los derechos y las concesiones de una organización, sigue estos pasos:
    • resourcemanager.organizations.get
    • resourcemanager.organizations.setIamPolicy
    • privilegedaccessmanager.entitlements.create
    • privilegedaccessmanager.entitlements.delete
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.entitlements.setIamPolicy
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.grants.revoke
    • privilegedaccessmanager.operations.delete
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • Para ver los derechos y las concesiones de una organización, sigue estos pasos:
    • resourcemanager.organizations.get
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • Para habilitar Privileged Access Manager a nivel de carpeta, sigue estos pasos:
    • privilegedaccessmanager.locations.checkOnboardingStatus
    • resourcemanager.folders.get
    • resourcemanager.folders.getIamPolicy
    • resourcemanager.folders.setIamPolicy
    • serviceusage.services.enable
  • Para gestionar los derechos y las concesiones de una carpeta, sigue estos pasos:
    • resourcemanager.folders.get
    • resourcemanager.folders.setIamPolicy
    • privilegedaccessmanager.entitlements.create
    • privilegedaccessmanager.entitlements.delete
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.entitlements.setIamPolicy
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.grants.revoke
    • privilegedaccessmanager.operations.delete
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • Para ver los derechos y las concesiones de una carpeta, sigue estos pasos:
    • resourcemanager.folders.get
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • Para habilitar Privileged Access Manager a nivel de proyecto, sigue estos pasos:
    • privilegedaccessmanager.locations.checkOnboardingStatus
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy
    • serviceusage.services.enable
  • Para gestionar los derechos y las concesiones de un proyecto, sigue estos pasos:
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • privilegedaccessmanager.entitlements.create
    • privilegedaccessmanager.entitlements.delete
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.entitlements.setIamPolicy
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.grants.revoke
    • privilegedaccessmanager.operations.delete
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • Para ver los derechos y las concesiones de un proyecto, sigue estos pasos:
    • resourcemanager.projects.get
    • privilegedaccessmanager.entitlements.get
    • privilegedaccessmanager.entitlements.list
    • privilegedaccessmanager.grants.get
    • privilegedaccessmanager.grants.list
    • privilegedaccessmanager.operations.get
    • privilegedaccessmanager.operations.list
  • Para ver los registros de auditoría, sigue estos pasos: logging.logEntries.list

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Habilitar Privileged Access Manager

Para habilitar Privileged Access Manager, debes asignar el rol Agente de servicio de Privileged Access Manager al agente de servicio de Privileged Access Manager de tu organización, carpeta o proyecto.

Para asignar este rol al agente de servicio, sigue estos pasos:

  1. Ve a la página Privileged Access Manager.

    Ir a Privileged Access Manager

  2. Selecciona la organización, la carpeta o el proyecto en el que quieras habilitar Privileged Access Manager.

  3. Haz clic en Configurar PAM para iniciar el proceso de configuración.

  4. Para conceder acceso al rol Agente de servicio de Privileged Access Manager al agente de servicio de Privileged Access Manager para gestionar las escaladas de privilegios, haz clic en Conceder rol.

  5. Asegúrate de que el agente de servicio de Privileged Access Manager se haya añadido a los siguientes controles de seguridad:

  6. Haz clic en Completar configuración.

Permitir la dirección de correo de Privileged Access Manager

En el caso de las cuentas y los grupos de correo que reciben notificaciones por correo de Gestor de acceso privilegiado, añade pam-noreply@google.com a tus listas de permitidos para que el correo no se bloquee.

Siguientes pasos