בקשה לגישה זמנית עם הרשאות מורחבות באמצעות Privileged Access Manager

המסוף

1. עוברים לדף Privileged Access Manager.

   כניסה ל-Privileged Access Manager

2. בוחרים את הארגון, התיקייה או הפרויקט שבהם רוצים לבקש מענק.

3. בכרטיסייה ההרשאות שלי, מאתרים את ההרשאה שרוצים לבקש ולוחצים על בקשת הענקה באותה שורה.

   לזכויות גישה שעוברות בירושה מתיקייה או מארגון ברמת ההורה, היקף ההרשאה מותאם אוטומטית לארגון, לתיקייה או לפרויקט שנבחרו. אפשר לבקש מענק על הזכאות שהועברה בירושה ברמת משאב הצאצא. התכונה הזו זמינה בגרסת טרום-השקה.

4. אם רמת השירות Security Command Center Premium או Enterprise מופעלת, אפשר להתאים אישית את היקף בקשת ההרשאה כך שתכלול רק חלק מהתפקידים והמשאבים הספציפיים. התכונה הזו זמינה בגרסת טרום-השקה.

   1. מעבירים את לחצן החלפת המצב התאמה אישית של ההיקף למצב מופעל.
   2. מוסיפים את מסנני המשאבים הנדרשים. אפשר להוסיף עד חמישה מסננים של משאבים.
   3. בוחרים את התפקידים הנדרשים.

5. צריך לספק את הפרטים הבאים:

   • משך הגישה הנדרש, עד למשך המקסימלי שמוגדר בהרשאה.

   • אופציונלי: כדי לתזמן את הענקת הגישה למועד מאוחר יותר, לוחצים על תזמון הענקת גישה ומציינים את זמן ההפעלה עד שבעה ימים מראש. אם לא תגדירו תזמון, הגישה תוענק מייד לאחר היצירה או האישור.

   • אם נדרש, הסבר לבקשת הגישה.

   • אופציונלי: כתובות אימייל לקבלת התראות.

     זהויות ב-Google שמשויכות להרשאה, כמו מאשרים ומבקשים, מקבלות התראה אוטומטית. אבל אם רוצים לשלוח הודעה לאנשים נוספים, אפשר להוסיף את כתובות האימייל שלהם. האפשרות הזו שימושית במיוחד אם אתם משתמשים בזהויות של כוח העבודה במקום בחשבונות Google.

6. לוחצים על בקשת מענק.

gcloud

אפשר לבקש מענק באחת מהדרכים הבאות:

• שליחת בקשה להרשאה (grant) על סמך זכאות
• בקשת הרשאה במשאב צאצא של זכאות
• שליחת בקשת גישה עם היקף הרשאות מפורט

שליחת בקשה להרשאה (משך הזמן המקסימלי שלה הוא {maxDuration})

הפקודה gcloud alpha pam grants create מבקשת הרשאה.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫ENTITLEMENT_ID: מזהה ההרשאה שרוצים ליצור את ההרשאה עבורה.
• ‫GRANT_DURATION: משך ההרשאה המבוקש, בשניות.
• ‫SCHEDULED_ACTIVATION_TIME: אופציונלי. השעה שבה צריך להפעיל את המענק, בפורמט RFC 3339. אם לא מוגדר תזמון, הגישה מוענקת מייד לאחר היצירה או האישור.
• JUSTIFICATION: ההצדקה לבקשת ההרשאה.
• ‫EMAIL_ADDRESS: אופציונלי. כתובות אימייל נוספות שיישלחו אליהן הודעות על בקשת המענק. הודעה נשלחת אוטומטית לזהויות ב-Google שמשויכות למאשרים. עם זאת, יכול להיות שתרצו לשלוח את ההודעה לסט אחר של כתובות אימייל, במיוחד אם אתם משתמשים ב איחוד שירותי אימות הזהות של כוח העבודה.
• ‫RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערך organization,‏ folder או project.
• ‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Cloud de Confianceמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.

מריצים את הפקודה הבאה:

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

אמורים לקבל תגובה שדומה לזו:

Created [GRANT_ID].

בקשה למענק על משאב צאצא של זכאות

הפקודה gcloud alpha pam grants create מבקשת הרשאה.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫ENTITLEMENT_ID: מזהה ההרשאה שרוצים ליצור את ההרשאה עבורה.
• ‫GRANT_DURATION: משך ההרשאה המבוקש, בשניות.
• ‫SCHEDULED_ACTIVATION_TIME: אופציונלי. השעה שבה צריך להפעיל את המענק, בפורמט RFC 3339. אם לא מוגדר תזמון, הגישה מוענקת מייד לאחר היצירה או האישור.
• JUSTIFICATION: ההצדקה לבקשת ההרשאה.
• ‫EMAIL_ADDRESS: אופציונלי. כתובות אימייל נוספות שיישלחו אליהן הודעות על בקשת המענק. הודעה נשלחת אוטומטית לזהויות ב-Google שמשויכות למאשרים. עם זאת, יכול להיות שתרצו לשלוח את ההודעה לסט אחר של כתובות אימייל, במיוחד אם אתם משתמשים ב איחוד שירותי אימות הזהות של כוח העבודה.
• ‫RESOURCE_TYPE: אופציונלי. הסוג של Cloud de Confiance המשאבים שרוצים להעניק להם גישה. ההרשאה הזו משמשת להתאמה אישית של היקף ההרשאה למשאב צאצא.
• ‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Cloud de Confianceמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• ‫REQUESTED_RESOURCE: אופציונלי. Cloud de Confiance המשאבים שרוצים להעניק להם גישה. ההרשאה הזו משמשת להתאמה אישית של היקף ההרשאה למשאב צאצא. פורמט: RESOURCE_TYPE/RESOURCE_ID. דוגמה: projects/PROJECT_ID,‏ folders/FOLDER_ID או organizations/ORGANIZATION_ID.

מריצים את הפקודה הבאה:

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-resources=REQUESTED_RESOURCE

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-resources=REQUESTED_RESOURCE

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-resources=REQUESTED_RESOURCE

אמורים לקבל תגובה שדומה לזו:

Created [GRANT_ID].

בקשה למענק עם היקף הרשאות מפורט

הפקודה gcloud alpha pam grants create מבקשת הרשאה.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫ENTITLEMENT_ID: מזהה ההרשאה שרוצים ליצור את ההרשאה עבורה.
• ‫GRANT_DURATION: משך ההרשאה המבוקש, בשניות.
• ‫SCHEDULED_ACTIVATION_TIME: אופציונלי. השעה שבה צריך להפעיל את המענק, בפורמט RFC 3339. אם לא מוגדר תזמון, הגישה מוענקת מייד לאחר היצירה או האישור.
• JUSTIFICATION: ההצדקה לבקשת ההרשאה.
• ‫EMAIL_ADDRESS: אופציונלי. כתובות אימייל נוספות שיישלחו אליהן הודעות על בקשת המענק. הודעה נשלחת אוטומטית לזהויות ב-Google שמשויכות למאשרים. עם זאת, יכול להיות שתרצו לשלוח את ההודעה לסט אחר של כתובות אימייל, במיוחד אם אתם משתמשים ב איחוד שירותי אימות הזהות של כוח העבודה.
• ‫ENTITLEMENT_ROLE_BINDING_ID: אופציונלי. מזהה הקישור בין התפקידים של התפקיד שיוקצה מההרשאה.
• ‫ACCESS_RESTRICTION_NAME: אופציונלי. שמות המשאבים שרוצים להגביל את הגישה אליהם. מידע על הפורמט מופיע במאמר פורמט השמות של המשאבים.
• ‫ACCESS_RESTRICTION_PREFIX: אופציונלי. התחיליות של שמות המשאבים שאליהם רוצים להגביל את הגישה. מידע על הפורמט מופיע במאמר פורמט השמות של המשאבים.
• ‫RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערך organization,‏ folder או project.
• ‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Cloud de Confianceמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• ‫REQUESTED_RESOURCE_TYPE. אופציונלי. הסוג של Cloud de Confiance המשאבים שרוצים להעניק להם גישה. ההרשאה הזו משמשת להתאמה אישית של היקף ההרשאה למשאב צאצא.
• ‫REQUESTED_RESOURCE: אופציונלי. Cloud de Confiance המשאבים שרוצים להעניק להם גישה. ההרשאה הזו משמשת להתאמה אישית של היקף ההרשאה למשאב צאצא. פורמט: RESOURCE_TYPE/RESOURCE_ID. דוגמה: projects/PROJECT_ID,‏ folders/FOLDER_ID או organizations/ORGANIZATION_ID.

שומרים את התוכן הבא בקובץ בשם requested-scope.yaml :

- gcpIamAccess:
    resource: REQUESTED_RESOURCE
    resourceType: REQUESTED_RESOURCE_TYPE
    roleBindings:
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_1
      accessRestrictions:
        resourceNames:
        - ACCESS_RESTRICTION_NAME_1
        - ACCESS_RESTRICTION_NAME_2
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_2
      accessRestrictions:
        resourceNamePrefixes:
        - ACCESS_RESTRICTION_PREFIX_1
        - ACCESS_RESTRICTION_PREFIX_2

מריצים את הפקודה הבאה:

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-access-from-file=requested-scope.yaml

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-access-from-file=requested-scope.yaml

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-access-from-file=requested-scope.yaml

אמורים לקבל תגובה שדומה לזו:

Created [GRANT_ID].

REST

1. מחפשים זכויות גישה שאפשר לבקש.
   

   השיטה searchEntitlements של Privileged Access Manager API עם סוג הגישה של המתקשר GRANT_REQUESTER מחפשת הרשאות שאפשר לבקש להעניק.

   לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

   • ‫SCOPE: הארגון, התיקייה או הפרויקט שבהם נמצאת הזכאות, בפורמט organizations/ORGANIZATION_ID,‏ folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
   • ‫FILTER: אופציונלי. הפונקציה מחזירה זכויות גישה שערכי השדות שלהן תואמים ל ביטוי AIP-160.
   • ‫PAGE_SIZE: אופציונלי. מספר הפריטים שיוחזרו בתשובה.
   • ‫PAGE_TOKEN: אופציונלי. מספר הדף שממנו רוצים להתחיל את התשובה, באמצעות טוקן דף שהוחזר בתשובה קודמת.

   ה-method של ה-HTTP וכתובת ה-URL:

   GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

   כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

   ‫Curl (Linux,‏ macOS או Cloud Shell)

   מריצים את הפקודה הבאה:

   curl -X GET \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

   ‎PowerShell (Windows)

   מריצים את הפקודה הבאה:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method GET `
       -Headers $headers `
       -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

   ‫APIs Explorer (דפדפן)

   פותחים את דף העזר של ה-method. החלונית של API Explorer תיפתח בצד שמאל של הדף. אפשר להשתמש בכלי הזה כדי לשלוח בקשות. ממלאים את כל שדות החובה ולוחצים על Execute.

   אתם אמורים לקבל תגובת JSON שדומה לזו:

   {
     "name": "SCOPE/locations/global/operations/OPERATION_ID",
     "metadata": {
       "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
       "createTime": "2024-03-05T03:35:14.596739353Z",
       "target": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID",
       "verb": "create",
       "requestedCancellation": false,
       "apiVersion": "v1beta"
     },
     "done": false
   }
   
   

2. שליחת בקשה למענק כנגד הרשאה.
   

   ה-method createGrant של Privileged Access Manager API מבקשת הענקת הרשאה.

   לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

   • ‫SCOPE: הארגון, התיקייה או הפרויקט שבהם נמצאת הזכאות, בפורמט organizations/ORGANIZATION_ID,‏ folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
   • ‫ENTITLEMENT_ID: מזהה ההרשאה שרוצים ליצור את ההרשאה עבורה.
   • ‫REQUEST_ID: אופציונלי. חייב להיות UUID שונה מאפס. אם השרת מקבל בקשה עם מזהה בקשה, הוא בודק אם בקשה אחרת עם אותו מזהה כבר הושלמה ב-60 הדקות האחרונות. אם כן, המערכת מתעלמת מהבקשה החדשה.
   • ‫GRANT_DURATION: משך ההרשאה המבוקש, בשניות.
   • ‫SCHEDULED_ACTIVATION_TIME: אופציונלי. השעה שבה צריך להפעיל את המענק, בפורמט RFC 3339. אם לא מוגדר תזמון, הגישה מוענקת מייד לאחר היצירה או האישור.
   • JUSTIFICATION: ההצדקה לבקשת ההרשאה.
   • ‫EMAIL_ADDRESS: אופציונלי. כתובות אימייל נוספות שיישלחו אליהן הודעות על בקשת המענק. הודעה נשלחת אוטומטית לזהויות ב-Google שמשויכות למאשרים. עם זאת, יכול להיות שתרצו לשלוח את ההודעה לכתובות אימייל אחרות, במיוחד אם אתם משתמשים ב איחוד שירותי אימות הזהות של כוח העבודה.
   • ‫ENTITLEMENT_ROLE_BINDING_ID: אופציונלי. מזהה הקישור בין התפקידים של התפקיד שיוקצה מההרשאה.
   • ‫ACCESS_RESTRICTION_NAME: אופציונלי. שמות המשאבים שרוצים להגביל את הגישה אליהם. מידע על הפורמט מופיע במאמר פורמט השמות של המשאבים.
   • ‫ACCESS_RESTRICTION_PREFIX: אופציונלי. התחיליות של שמות המשאבים שרוצים להגביל את הגישה אליהם. מידע על הפורמט מופיע במאמר פורמט השמות של המשאבים.

   ה-method של ה-HTTP וכתובת ה-URL:

   POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

   תוכן בקשת JSON:

   {
     "requestedDuration": "GRANT_DURATIONs",
     "activationTrigger": {
       "requestedActivationTime": "SCHEDULED_ACTIVATION_TIME"
     },
     "justification": {
       "unstructuredJustification": "JUSTIFICATION"
     },
     "additionalEmailRecipients": [
       "EMAIL_ADDRESS_1",
       "EMAIL_ADDRESS_2",
     ],
     "requestedPrivilegedAccess": {
       "gcpIamAccess": {
         "resourceType": "REQUESTED_RESOURCE_TYPE",
         "resource": "REQUESTED_RESOURCE",
         "roleBindings": [
           {
             "entitlementRoleBindingId": "ENTITLEMENT_ROLE_BINDING_ID",
             "accessRestrictions": {
               "resourceNames": [
                 "ACCESS_RESTRICTION_NAME"
               ],
               "resourceNamePrefixes": [
                 "ACCESS_RESTRICTION_PREFIX"
               ],
             },
           }
         ],
       }
     },
   }
   

   כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

   ‫Curl (Linux,‏ macOS או Cloud Shell)

   שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID"

   ‎PowerShell (Windows)

   שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID" | Select-Object -Expand Content

   ‫APIs Explorer (דפדפן)

   מעתיקים את גוף הבקשה ופותחים את דף העזר של השיטה. החלונית של API Explorer תיפתח בצד שמאל של הדף. אפשר להשתמש בכלי הזה כדי לשלוח בקשות. מדביקים את גוף הבקשה בכלי הזה, ממלאים את כל שדות החובה ולוחצים על Execute.

   אתם אמורים לקבל תגובת JSON שדומה לזו:

   {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": [
   "//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": [                  "//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
   }
   
   

המסוף

1. עוברים לדף Privileged Access Manager.

   כניסה ל-Privileged Access Manager

2. בוחרים את הארגון, התיקייה או הפרויקט שבהם רוצים לראות את ההרשאות.

3. בכרטיסייה Grants (מענקים), לוחצים על My grants (המענקים שלי).

   המענק שלכם יכול להיות באחד מהסטטוסים הבאים:

   סטטוס	תיאור
   הפעלה	המענק נמצא בתהליך הפעלה.
   ההפעלה נכשלה	לא הייתה אפשרות להעניק את התפקידים ב-Privileged Access Manager בגלל שגיאה שלא ניתן לתקן.
   פעיל	ההרשאה פעילה ולחשבון המשתמש יש גישה למשאבים שהתפקידים מאפשרים.
   בהמתנה לאישור	בקשת הגישה ממתינה להחלטה של גורם מאשר.
   נדחתה	הבקשה למתן הרשאה נדחתה על ידי מאשר.
   הסתיים	ההרשאה הסתיימה והתפקידים הוסרו מחשבון המשתמש.
   פג תוקף	תוקף בקשת הגישה פג כי לא ניתן אישור תוך 24 שעות או עד למועד ההפעלה שנקבע.
   בוטל	ההרשאה מבוטלת, ולחשבון הראשי אין יותר גישה למשאבים שהתפקידים מאפשרים.
   ביטול	המענק נמצא בתהליך ביטול.
   מתוזמן ל-DATE	המענק מתוזמן ומופעל בזמן ההפעלה שנבחר, בתנאי שעד אז יתקבלו כל האישורים (אם נדרשים).
   מבצע משיכה…	המענק נמצא בתהליך ביטול.
   בוטל עקב פרישה	ההרשאה מבוטלת, ולחשבון המשתמש אין יותר גישה למשאבים שהתפקידים מאפשרים.

gcloud

הפקודה gcloud alpha pam grants search שמשמשת עם קשר הגומלין had-created caller מחפשת מענקים שיצרתם. כדי לבדוק את הסטטוס שלהם, מחפשים את השדה state בתשובה.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

• ‫ENTITLEMENT_ID: המזהה של ההרשאה שאליה שייכת ההענקה.
• ‫RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערך organization,‏ folder או project.
• ‫RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Cloud de Confianceמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.

מריצים את הפקודה הבאה:

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

אמורים לקבל תגובה שדומה לזו:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
      conditionExpression: resource.name == "//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1" && resource.name.startsWith("//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms")
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
      accessRestrictions:
        resourceNames:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1
        resourceNamePrefixes:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

המענקים יכולים להיות באחד מהסטטוסים הבאים:

REST

השיטה של Privileged Access Manager API‏ searchGrants שמשמשת עם הקשר HAD_CREATED caller מחפשת הרשאות שיצרתם. כדי לבדוק את הסטטוס שלהם, מחפשים את השדה state בתשובה.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

• ‫SCOPE: הארגון, התיקייה או הפרויקט שבהם נמצאת הזכאות, בפורמט organizations/ORGANIZATION_ID,‏ folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
• ‫ENTITLEMENT_ID: המזהה של ההרשאה שאליה שייכת ההענקה.
• ‫FILTER: אופציונלי. הפונקציה מחזירה הרשאות שערכי השדות שלהן תואמים ל ביטוי AIP-160.
• ‫PAGE_SIZE: אופציונלי. מספר הפריטים שיוחזרו בתשובה.
• ‫PAGE_TOKEN: אופציונלי. מספר הדף שממנו רוצים להתחיל את התשובה, באמצעות טוקן דף שהוחזר בתשובה קודמת.

ה-method של ה-HTTP וכתובת ה-URL:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "grants": [
    {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": ["//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": ["//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

בטבלה הבאה מפורטים הסטטוסים של המענקים.