Prima di poter iniziare a creare, modificare o gestire i diritti e le concessioni di Privileged Access Manager, i tuoi principal devono disporre delle autorizzazioni appropriate. Il servizio deve essere configurato anche a livello di organizzazione, cartella o progetto.
Le entità che richiedono concessioni e quelle che approvano o negano le concessioni non richiedono autorizzazioni specifiche di Privileged Access Manager.
Prima di iniziare
Assicurati di disporre delle autorizzazioni IAM (Identity and Access Management) necessarie per configurare e gestire le autorizzazioni di Privileged Access Manager.
Per ottenere le autorizzazioni necessarie per lavorare con i diritti e le concessioni, chiedi all'amministratore di concederti i seguenti ruoli IAM nell'organizzazione, nella cartella o nel progetto:
-
Per creare, aggiornare ed eliminare i diritti per un'organizzazione:
Privileged Access Manager Admin (
roles/privilegedaccessmanager.admin) e Security Admin (roles/iam.securityAdmin) -
Per creare, aggiornare ed eliminare i diritti per una cartella:
Amministratore Privileged Access Manager e Amministratore IAM cartella (
roles/resourcemanager.folderAdmin) -
Per creare, aggiornare ed eliminare i diritti per un progetto:
Privileged Access Manager Admin e Project IAM Admin (
roles/resourcemanager.projectIamAdmin) -
Per visualizzare i diritti e le concessioni:
Privileged Access Manager Viewer (
roles/privilegedaccessmanager.viewer) -
Per visualizzare i log di controllo:
Logs Viewer (
roles/logs.viewer)
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questi ruoli predefiniti contengono le autorizzazioni necessarie per lavorare con i diritti e le concessioni. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per lavorare con i diritti e le concessioni sono necessarie le seguenti autorizzazioni:
-
Per attivare Privileged Access Manager a livello di organizzazione:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
serviceusage.services.enable
-
-
Per gestire i diritti e le sovvenzioni per un'organizzazione:
-
resourcemanager.organizations.get -
resourcemanager.organizations.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare i diritti e le concessioni per un'organizzazione:
-
resourcemanager.organizations.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per abilitare Privileged Access Manager a livello di cartella:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
serviceusage.services.enable
-
-
Per gestire i diritti e le concessioni per una cartella:
-
resourcemanager.folders.get -
resourcemanager.folders.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare i diritti e le concessioni per una cartella:
-
resourcemanager.folders.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per abilitare Privileged Access Manager a livello di progetto:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy -
serviceusage.services.enable
-
-
Per gestire i diritti e le sovvenzioni per un progetto:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare i diritti e le sovvenzioni per un progetto:
-
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
Per visualizzare gli audit log:
logging.logEntries.list
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Abilita il Gestore accessi con privilegi
Per attivare Privileged Access Manager, devi concedere il ruolo Privileged Access Manager Service Agent a Privileged Access Manager Service Agent per la tua organizzazione, cartella o progetto.
Per concedere questo ruolo all'agente di servizio:
Vai alla pagina Privileged Access Manager.
Seleziona l'organizzazione, la cartella o il progetto per cui vuoi attivare Privileged Access Manager.
Fai clic su Configura PAM per avviare la procedura di configurazione.
Per concedere l'accesso al ruolo Privileged Access Manager Service Agent all'agente di servizio Privileged Access Manager per gestire l'escalation dei privilegi, fai clic su Concedi ruolo.
Assicurati che l'agente di servizio Privileged Access Manager sia aggiunto ai seguenti controlli di sicurezza:
Criteri di negazione: aggiungi l'agente di servizio Privileged Access Manager al campo
exceptionPrincipalsdei tuoi criteri.Controlli di servizio VPC: aggiungi l'agente di servizio Privileged Access Manager ai livelli di accesso appropriati o aggiungi una regola di ingresso al perimetro per consentire l'agente di servizio.
Fai clic su Completa la configurazione.
Consenti l'indirizzo email di Privileged Access Manager
Per gli account email e i gruppi che ricevono notifiche email di Privileged Access Manager, aggiungi pam-noreply@google.com agli elenchi consentiti in modo che l'email non venga bloccata.