Solicitar o acesso temporário elevado com o Privileged Access Manager

Para aumentar temporariamente os privilégios, solicite uma concessão de um direito no Privileged Access Manager (PAM) por um período fixo.

Um direito de acesso contém papéis que são concedidos a você depois que o pedido de concessão é aprovado. Essas funções são removidas pelo Privileged Access Manager quando o acesso é encerrado.

Considere o seguinte ao solicitar uma concessão para um direito de acesso:

  • Só é possível solicitar permissões para direitos de acesso a que você foi adicionado. Para ser adicionado a um direito de acesso, entre em contato com o principal que administra o direito.

  • Um usuário pode ter no máximo 10 concessões abertas por direito por vez. Essas concessões podem estar no estado Active, Scheduled ou Approval awaited.

  • Não é possível solicitar um benefício com o mesmo escopo de um benefício no estado Active, Scheduled ou Approval awaited.

  • Não é possível ter duas concessões programadas no mesmo direito se os escopos e os horários de ativação se sobrepuserem. Além disso, não é possível programar um benefício para começar antes do término de um benefício ativo com o mesmo escopo.

  • Dependendo da configuração, uma solicitação de concessão pode exigir aprovação para ser concedida.

  • Se uma solicitação de concessão precisar de aprovação, ela deverá ser aprovada ou negada antes de expirar. O prazo depende do tipo de ativação:

    • Ativação imediata: em até 24 horas após a solicitação.
    • Ativação programada: antes do horário de ativação programado.

    Se uma solicitação não for aprovada ou negada até o prazo, o status dela mudará para Expired.

  • As solicitações de concessão bem-sucedidas podem levar alguns minutos para entrar em vigor.

Solicitar um benefício

Console

  1. Acesse a página Privileged Access Manager.

    Acessar o Privileged Access Manager

  2. Selecione a organização, a pasta ou o projeto em que você quer solicitar um benefício.

  3. Na guia Meus direitos, encontre o direito a ser solicitado e clique em Solicitar concessão na mesma linha.

    Para direitos herdados de uma pasta ou organização mãe, o escopo da concessão é ajustado automaticamente para a organização, pasta ou projeto selecionado. É possível solicitar uma concessão para o direito herdado no nível do recurso filho. Esse recurso está disponível em pré-lançamento.

  4. Se o nível Security Command Center Premium ou Enterprise estiver ativado, você poderá personalizar o escopo da solicitação de concessão para incluir apenas algumas funções e recursos específicos. Esse recurso está disponível em pré-lançamento.

    1. Ative a opção Personalizar escopo.
    2. Adicione os filtros de recursos necessários. É possível adicionar até cinco filtros de recursos.
    3. Selecione as funções necessárias.

  5. Forneça os seguintes detalhes:

    • A duração necessária para a concessão, até a duração máxima definida no direito.

    • Opcional: para agendar a concessão para um momento posterior, clique em Programar concessões e especifique um horário de ativação com até sete dias de antecedência. Se você não programar a concessão, ela será ativada imediatamente após a criação ou aprovação.

    • Se necessário, uma justificativa para a concessão.

    • Opcional: endereços de e-mail para notificações.

      As identidades do Google associadas ao direito de acesso, como aprovadores e solicitantes, são notificadas automaticamente. No entanto, se você quiser notificar outras pessoas, adicione os endereços de e-mail delas. Isso é especialmente útil se você estiver usando identidades de colaboradores em vez de Contas do Google.

  6. Clique em Solicitar concessão.

gcloud

Você pode solicitar um benefício usando uma das seguintes opções:

Solicitar um benefício de direito

O comando gcloud alpha pam grants create solicita uma concessão.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ENTITLEMENT_ID: o ID do direito a que o acesso será concedido.
  • GRANT_DURATION: a duração solicitada da concessão, em segundos.
  • SCHEDULED_ACTIVATION_TIME: opcional. O horário em que a concessão precisa ser ativada, no formato RFC 3339. Se não for especificado, a concessão será ativada imediatamente após a criação ou aprovação.
  • JUSTIFICATION: a justificativa para solicitar a concessão.
  • EMAIL_ADDRESS: opcional. Outros endereços de e-mail para receber a solicitação de concessão. As identidades do Google associadas aos aprovadores são notificadas automaticamente. No entanto, você pode notificar um conjunto diferente de endereços de e-mail, especialmente se estiver usando a federação de identidade de colaboradores.
  • RESOURCE_TYPE: opcional. O tipo de recurso ao qual o direito de acesso pertence. Use o valor organization, folder ou project.
  • RESOURCE_ID: usada com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização do Cloud de Confiance que você quer gerenciar os direitos de acesso. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

Você receberá uma resposta semelhante a esta:

Created [GRANT_ID].

Solicitar uma concessão em um recurso secundário de um direito

O comando gcloud alpha pam grants create solicita uma concessão.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ENTITLEMENT_ID: o ID do direito a que o acesso será concedido.
  • GRANT_DURATION: a duração solicitada da concessão, em segundos.
  • SCHEDULED_ACTIVATION_TIME: opcional. O horário em que a concessão precisa ser ativada, no formato RFC 3339. Se não for especificada, a concessão será ativada imediatamente após a criação ou aprovação.
  • JUSTIFICATION: a justificativa para solicitar a concessão.
  • EMAIL_ADDRESS: opcional. Outros endereços de e-mail para receber a solicitação de concessão. As identidades do Google associadas aos aprovadores são notificadas automaticamente. No entanto, você pode notificar um conjunto diferente de endereços de e-mail, especialmente se estiver usando a federação de identidade de colaboradores.
  • RESOURCE_TYPE: opcional. O tipo de recursos Cloud de Confiance a serem concedidos. Isso é usado para personalizar o escopo da concessão para um recurso filho.
  • RESOURCE_ID: usada com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização do Cloud de Confiance que você quer gerenciar os direitos de acesso. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
  • REQUESTED_RESOURCE: opcional. Os recursos Cloud de Confiance a que você quer ter acesso. Isso é usado para personalizar o escopo da concessão para um recurso filho. Formato: RESOURCE_TYPE/RESOURCE_ID. Exemplo: projects/PROJECT_ID, folders/FOLDER_ID ou organizations/ORGANIZATION_ID.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-resources=REQUESTED_RESOURCE

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-resources=REQUESTED_RESOURCE

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-resources=REQUESTED_RESOURCE

Você receberá uma resposta semelhante a esta:

Created [GRANT_ID].

Solicitar uma concessão com escopo refinado

O comando gcloud alpha pam grants create solicita uma concessão.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ENTITLEMENT_ID: o ID do direito a que o acesso será concedido.
  • GRANT_DURATION: a duração solicitada da concessão, em segundos.
  • SCHEDULED_ACTIVATION_TIME: opcional. O horário em que a concessão precisa ser ativada, no formato RFC 3339. Se não for especificada, a concessão será ativada imediatamente após a criação ou aprovação.
  • JUSTIFICATION: a justificativa para solicitar a concessão.
  • EMAIL_ADDRESS: opcional. Outros endereços de e-mail para receber a solicitação de concessão. As identidades do Google associadas aos aprovadores são notificadas automaticamente. No entanto, você pode notificar um conjunto diferente de endereços de e-mail, especialmente se estiver usando a federação de identidade de colaboradores.
  • ENTITLEMENT_ROLE_BINDING_ID: opcional. O ID da vinculação de função do papel a ser concedido pelo direito.
  • ACCESS_RESTRICTION_NAME: opcional. Os nomes de recursos para restringir o acesso. Para informações sobre o formato, consulte Formato de nome de recurso.
  • ACCESS_RESTRICTION_PREFIX: opcional. Os prefixos de nome de recurso para restringir o acesso. Para informações sobre o formato, consulte Formato de nome de recurso.
  • RESOURCE_TYPE: opcional. O tipo de recurso ao qual o direito de acesso pertence. Use o valor organization, folder ou project.
  • RESOURCE_ID: usada com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização do Cloud de Confiance que você quer gerenciar os direitos de acesso. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
  • REQUESTED_RESOURCE_TYPE: opcional. O tipo de recursos Cloud de Confiance a serem concedidos. Isso é usado para personalizar o escopo da concessão para um recurso filho.
  • REQUESTED_RESOURCE: opcional. Os recursos Cloud de Confiance a que você quer ter acesso. Isso é usado para personalizar o escopo da concessão para um recurso filho. Formato: RESOURCE_TYPE/RESOURCE_ID. Exemplo: projects/PROJECT_ID, folders/FOLDER_ID ou organizations/ORGANIZATION_ID.

Salve o conteúdo a seguir em um arquivo chamado requested-scope.yaml : 

- gcpIamAccess:
    resource: REQUESTED_RESOURCE
    resourceType: REQUESTED_RESOURCE_TYPE
    roleBindings:
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_1
      accessRestrictions:
        resourceNames:
        - ACCESS_RESTRICTION_NAME_1
        - ACCESS_RESTRICTION_NAME_2
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_2
      accessRestrictions:
        resourceNamePrefixes:
        - ACCESS_RESTRICTION_PREFIX_1
        - ACCESS_RESTRICTION_PREFIX_2

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-access-from-file=requested-scope.yaml

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-access-from-file=requested-scope.yaml

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-access-from-file=requested-scope.yaml

Você receberá uma resposta semelhante a esta:

Created [GRANT_ID].

REST

  1. Pesquisar direitos de acesso que você pode solicitar.

    O método searchEntitlements da API Privileged Access Manager com o tipo de acesso de autor da chamada GRANT_REQUESTER procura direitos que podem ser usados para solicitar uma concessão.

    Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

    • SCOPE: a organização, a pasta ou o projeto em que o direito de acesso está, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
    • FILTER: opcional. Retorna os direitos de acesso cujos valores de campo correspondem a uma expressão AIP-160.
    • PAGE_SIZE: opcional. O número de itens a serem retornados em uma resposta.
    • PAGE_TOKEN: opcional. A página em que a resposta vai começar, usando um token de página retornado em uma resposta anterior.

    Método HTTP e URL: 

    GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

    Para enviar a solicitação, expanda uma destas opções:

    Você receberá uma resposta JSON semelhante a esta:

    {
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}
  2. Solicite uma concessão de um direito.

    O método createGrant da API Privileged Access Manager solicita uma concessão.

    Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

    • SCOPE: a organização, a pasta ou o projeto em que o direito de acesso está, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
    • ENTITLEMENT_ID: o ID do direito a que o acesso será concedido.
    • REQUEST_ID: opcional. Precisa ser um UUID diferente de zero. Se o servidor receber uma solicitação com um ID, ele vai verificar se outra solicitação com esse ID já foi concluída nos últimos 60 minutos. Nesse caso, a nova solicitação será ignorada.
    • GRANT_DURATION: a duração solicitada da concessão, em segundos.
    • SCHEDULED_ACTIVATION_TIME: opcional. O horário em que a concessão precisa ser ativada, no formato RFC 3339. Se não for especificado, a concessão será ativada imediatamente após a criação ou aprovação.
    • JUSTIFICATION: a justificativa para solicitar a concessão.
    • EMAIL_ADDRESS: opcional. Outros endereços de e-mail para receber a solicitação de concessão. As identidades do Google associadas aos aprovadores são notificadas automaticamente. No entanto, você pode notificar um conjunto diferente de endereços de e-mail, especialmente se estiver usando a federação de identidade de colaboradores.
    • ENTITLEMENT_ROLE_BINDING_ID: opcional. O ID da vinculação de função do papel a ser concedido pelo direito.
    • ACCESS_RESTRICTION_NAME: opcional. Os nomes de recursos para restringir o acesso. Para informações sobre o formato, consulte Formato de nome de recurso.
    • ACCESS_RESTRICTION_PREFIX: opcional. Os prefixos de nome de recurso para restringir o acesso. Para informações sobre o formato, consulte Formato de nome de recurso.

    Método HTTP e URL: 

    POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

    Corpo JSON da solicitação:

    {
  "requestedDuration": "GRANT_DURATIONs",
  "activationTrigger": {
    "requestedActivationTime": "SCHEDULED_ACTIVATION_TIME"
  },
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
  ],
  "requestedPrivilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "REQUESTED_RESOURCE_TYPE",
      "resource": "REQUESTED_RESOURCE",
      "roleBindings": [
        {
          "entitlementRoleBindingId": "ENTITLEMENT_ROLE_BINDING_ID",
          "accessRestrictions": {
            "resourceNames": [
              "ACCESS_RESTRICTION_NAME"
            ],
            "resourceNamePrefixes": [
              "ACCESS_RESTRICTION_PREFIX"
            ],
          },
        }
      ],
    }
  },
}

    Para enviar a solicitação, expanda uma destas opções:

    Você receberá uma resposta JSON semelhante a esta:

    {
   "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
   "createTime": "2024-03-06T03:08:49.330577625Z",
   "updateTime": "2024-03-06T03:08:49.625874598Z",
   "requester": "alex@example.com",
   "requestedDuration": "3600s",
   "justification": {
     "unstructuredJustification": "Emergency service for outage"
   },
   "state": "APPROVAL_AWAITED",
   "timeline": {
     "events": [
       {
         "eventTime": "2024-03-06T03:08:49.462765846Z",
         "requested": {
           "expireTime": "2024-03-07T03:08:49.462765846Z"
         }
       }
     ]
   },
   "privilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "id": "hwqrt_1",
           "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
         }
       ]
     }
   },
   "requestedPrivilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "entitlementRoleBindingId": "hwqrt_1",
           "accessRestrictions": {
             "resourceNames": [
"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
             ],
             "resourceNamePrefixes": [                  "//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
             ]
           }
         }
       ]
     }
   },
   "additionalEmailRecipients": [
     "bola@google.com"
   ]
}

Verificar o status da solicitação de concessão

Console

  1. Acesse a página Privileged Access Manager.

    Acessar o Privileged Access Manager

  2. Selecione a organização, a pasta ou o projeto em que você quer visualizar as concessões.

  3. Na guia Concessões, clique em Minhas concessões.

    Sua concessão pode ter um dos seguintes status:

    Status Descrição
    Ativando A concessão está sendo ativada.
    Falha na ativação O Privileged Access Manager não concedeu as funções devido a um erro não recuperável.
    Ativo A concessão está ativa e o principal tem acesso aos recursos permitidos pelos papéis.
    Aguardando aprovação A solicitação de concessão está aguardando uma decisão de um aprovador.
    Negado A solicitação de concessão foi negada por um aprovador.
    Finalizada A concessão foi encerrada e as funções foram removidas do principal.
    Expirado O pedido de concessão expirou porque a aprovação não foi concedida em 24 horas ou até o horário de ativação programado.
    Revogado A concessão é revogada, e o participante não tem mais acesso aos recursos permitidos pelas funções.
    Revogando A concessão está em processo de revogação.
    Agendado para DATE A concessão é programada e ativada no horário de ativação escolhido, desde que todas as aprovações (se necessário) sejam recebidas até lá.
    Cancelamento em andamento A concessão está em processo de revogação.
    Cancelado A concessão é retirada, e o principal não tem mais acesso aos recursos permitidos pelos papéis.

gcloud

O comando gcloud alpha pam grants search usado com a relação de chamador had-created procura as permissões que você criou. Para verificar o status, procure o campo state na resposta.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ENTITLEMENT_ID: o ID do direito de acesso a que o acesso pertence.
  • RESOURCE_TYPE: opcional. O tipo de recurso ao qual o direito de acesso pertence. Use o valor organization, folder ou project.
  • RESOURCE_ID: usada com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização do Cloud de Confiance que você quer gerenciar os direitos de acesso. Os IDs do projeto são strings alfanuméricas, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Você receberá uma resposta semelhante a esta:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
      conditionExpression: resource.name == "//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1" && resource.name.startsWith("//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms")
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
      accessRestrictions:
        resourceNames:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1
        resourceNamePrefixes:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

As doações podem ter os seguintes status:

Status Descrição
ACTIVATING A concessão está sendo ativada.
ACTIVATION_FAILED O Privileged Access Manager não concedeu as funções devido a um erro não recuperável.
ACTIVE A concessão está ativa e o principal tem acesso aos recursos permitidos pelos papéis.
APPROVAL_AWAITED A solicitação de concessão está aguardando uma decisão de um aprovador.
DENIED A solicitação de concessão foi negada por um aprovador.
ENDED A concessão foi encerrada e as funções foram removidas do principal.
EXPIRADO O pedido de concessão expirou porque a aprovação não foi concedida em 24 horas ou até o horário de ativação programado.
REVOKED A concessão é revogada, e o participante não tem mais acesso aos recursos permitidos pelas funções.
REVOKING A concessão está em processo de revogação.
PROGRAMADO A concessão é programada e ativada no horário de ativação escolhido, desde que todas as aprovações (se necessário) sejam recebidas até lá.
SACANDO A concessão está em processo de revogação.
CANCELADO A concessão é retirada, e o principal não tem mais acesso aos recursos permitidos pelos papéis.

REST

O método searchGrants da API Privileged Access Manager usado com a relação de autor da chamada HAD_CREATED procura permissões que você criou. Para verificar o status, procure o campo state na resposta.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • SCOPE: a organização, a pasta ou o projeto em que o direito de acesso está, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
  • ENTITLEMENT_ID: o ID do direito de acesso a que o acesso pertence.
  • FILTER: opcional. Retorna as concessões cujos valores de campo correspondem a uma expressão AIP-160.
  • PAGE_SIZE: opcional. O número de itens a serem retornados em uma resposta.
  • PAGE_TOKEN: opcional. A página em que a resposta vai começar, usando um token de página retornado em uma resposta anterior.

Método HTTP e URL: 

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Para enviar a solicitação, expanda uma destas opções:

Você receberá uma resposta JSON semelhante a esta:

{
  "grants": [
    {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": ["//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": ["//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Os status de concessão estão detalhados na tabela a seguir.

Status Descrição
ACTIVATING A concessão está sendo ativada.
ACTIVATION_FAILED O Privileged Access Manager não concedeu as funções devido a um erro não recuperável.
ACTIVE A concessão está ativa e o principal tem acesso aos recursos permitidos pelos papéis.
APPROVAL_AWAITED A solicitação de concessão está aguardando uma decisão de um aprovador.
DENIED A solicitação de concessão foi negada por um aprovador.
ENDED A concessão foi encerrada e as funções foram removidas do principal.
EXPIRADO O pedido de concessão expirou porque a aprovação não foi concedida em 24 horas ou até o horário de ativação programado.
REVOKED A concessão é revogada, e o participante não tem mais acesso aos recursos permitidos pelas funções.
REVOKING A concessão está em processo de revogação.
PROGRAMADO A concessão é programada e ativada no horário de ativação escolhido, desde que todas as aprovações (se necessário) sejam recebidas até lá.
SACANDO A concessão está em processo de revogação.
CANCELADO A concessão é retirada, e o principal não tem mais acesso aos recursos permitidos pelos papéis.