透過 Privileged Access Manager 要求暫時提升的存取權

如要暫時提升權限,您可以在 Privileged Access Manager (PAM) 中,針對授權要求固定時間的授權。

授權包含在授權要求成功後授予您的角色。授權結束時,Privileged Access Manager 會移除這些角色。

如要針對授權要求授予權限,請注意下列事項:

  • 您只能針對已新增的權利要求授權。 如要新增至授權,請與管理授權的主體聯絡。

  • 一位使用者最多可同時為每個授權開啟 10 個授權。 這些授權可處於 ActiveScheduledApproval awaited 狀態。

  • 您無法要求授予與 ActiveScheduledApproval awaited 狀態中現有授權相同的範圍。

  • 如果兩個授權的範圍和啟用時間重疊,則無法在同一項權利中排定這兩個授權。此外,您無法安排在相同範圍的有效補助結束前,開始發放補助。

  • 視設定方式而定,授權要求可能需要經過核准才能授予。

  • 如果補助金申請需要核准,就必須在到期前核准或拒絕。截止期限取決於啟用類型:

    • 立即啟用:提出要求後 24 小時內。
    • 排定啟用時間:在排定的啟用時間前。

    如果要求未在期限內獲得核准或遭到拒絕,狀態就會變更為 Expired

  • 成功授予存取權後,可能需要幾分鐘的時間才會生效。

要求授予項目

控制台

  1. 前往「Privileged Access Manager」頁面。

    前往 Privileged Access Manager

  2. 選取要申請補助的組織、資料夾或專案。

  3. 在「我的權利」分頁中,找出要提出要求的權利,然後點選同一列中的「要求授權」

    如果是從上層資料夾或組織繼承的授權,系統會自動將授予項目的範圍調整為所選組織、資料夾或專案。您可以在子資源層級,針對繼承的權利要求授予權限。這項功能為預先發布版

  4. 如果啟用 Security Command Center Premium 或 Enterprise 級,您可以自訂授權要求範圍,只納入部分特定角色和資源。這項功能為預先發布版

    1. 開啟「自訂範圍」切換按鈕。
    2. 新增必要的資源篩選條件。 最多可新增五個資源篩選器。
    3. 選取必要角色。

  5. 請提供下列詳細資料:

    • 授予項目的必要時間長度,最長不得超過授權設定的時間長度上限。

    • 選用:如要排定授予項目在稍後啟用,請按一下「排定授予項目」,然後指定啟用時間 (最多可提前七天)。如未排定時間,則會在建立或核准後立即啟用。

    • 如有需要,請提供授權理由。

    • 選用:接收通知的電子郵件地址。

      系統會自動通知與授權相關聯的 Google 身分,例如核准者和要求者。不過,如要通知其他使用者,可以新增對方的電子郵件地址。如果您使用員工身分而非 Google 帳戶,這項功能就特別實用。

  6. 按一下「要求授予權限」

gcloud

你可以透過下列任一方式申請補助:

要求授予權限

這項指令會要求授權。gcloud alpha pam grants create

使用下列任何指令資料之前,請先替換以下項目:

  • ENTITLEMENT_ID:要建立授權的權利 ID。
  • GRANT_DURATION:要求的授權時間長度,以秒為單位。
  • SCHEDULED_ACTIVATION_TIME:選用。授權必須啟用的時間,採用 RFC 3339 格式。如未指定時間,則會在建立或核准後立即啟用。
  • JUSTIFICATION:要求授權的理由。
  • EMAIL_ADDRESS:選用。要接收授權要求通知的其他電子郵件地址。系統會自動通知與核准者相關聯的 Google 身分。不過,您可能想通知一組不同的電子郵件地址,特別是使用 員工身分聯盟時。
  • RESOURCE_TYPE:選用。授權所屬的資源類型。請使用 organizationfolderproject 值。
  • RESOURCE_ID:與 RESOURCE_TYPE 一起使用。要管理權限的 Cloud de Confiance專案、資料夾或機構的 ID。專案 ID 為英數字串,例如 my-project。 資料夾和機構 ID 為數字,例如 123456789012

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID

您應該會收到類似以下的回應:

Created [GRANT_ID].

要求授予權限給授權的子項資源

這項指令會要求授權。gcloud alpha pam grants create

使用下列任何指令資料之前,請先替換以下項目:

  • ENTITLEMENT_ID:要建立授權的權利 ID。
  • GRANT_DURATION:要求的授權時間長度,以秒為單位。
  • SCHEDULED_ACTIVATION_TIME:選用。授權必須啟用的時間,採用 RFC 3339 格式。如未指定時間,則會在建立或核准後立即啟用。
  • JUSTIFICATION:要求授權的理由。
  • EMAIL_ADDRESS:選用。要接收授權要求通知的其他電子郵件地址。系統會自動通知與核准者相關聯的 Google 身分。不過,您可能想通知一組不同的電子郵件地址,特別是使用 員工身分聯盟時。
  • RESOURCE_TYPE:選用。要授予存取權的 Cloud de Confiance 資源類型。這項設定可用於自訂授予子項資源的範圍。
  • RESOURCE_ID:與 RESOURCE_TYPE 一起使用。要管理權限的 Cloud de Confiance專案、資料夾或機構的 ID。專案 ID 為英數字串,例如 my-project。 資料夾和機構 ID 為數字,例如 123456789012
  • REQUESTED_RESOURCE:選用。您希望獲得存取權的 Cloud de Confiance 資源。這項設定可用於自訂授予子項資源的範圍。格式:RESOURCE_TYPE/RESOURCE_ID。例如:projects/PROJECT_IDfolders/FOLDER_IDorganizations/ORGANIZATION_ID

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-resources=REQUESTED_RESOURCE

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-resources=REQUESTED_RESOURCE

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-resources=REQUESTED_RESOURCE

您應該會收到類似以下的回應:

Created [GRANT_ID].

要求授予精細範圍的權限

這項指令會要求授權。gcloud alpha pam grants create

使用下列任何指令資料之前,請先替換以下項目:

  • ENTITLEMENT_ID:要建立授權的權利 ID。
  • GRANT_DURATION:要求的授權時間長度,以秒為單位。
  • SCHEDULED_ACTIVATION_TIME:選用。授權必須啟用的時間,採用 RFC 3339 格式。如未指定時間,則會在建立或核准後立即啟用。
  • JUSTIFICATION:要求授權的理由。
  • EMAIL_ADDRESS:選用。要接收授權要求通知的其他電子郵件地址。系統會自動通知與核准者相關聯的 Google 身分。不過,您可能想通知一組不同的電子郵件地址,特別是使用 員工身分聯盟時。
  • ENTITLEMENT_ROLE_BINDING_ID:選用。要從授權授予的角色繫結 ID。
  • ACCESS_RESTRICTION_NAME:選用。要限制存取權的資源名稱。如要瞭解格式,請參閱「資源名稱格式」。
  • ACCESS_RESTRICTION_PREFIX:選用。要限制存取權的資源名稱前置字元。如要瞭解格式,請參閱「資源名稱格式」。
  • RESOURCE_TYPE:選用。授權所屬的資源類型。請使用 organizationfolderproject 值。
  • RESOURCE_ID:與 RESOURCE_TYPE 一起使用。要管理權限的 Cloud de Confiance專案、資料夾或機構的 ID。專案 ID 為英數字串,例如 my-project。 資料夾和機構 ID 為數字,例如 123456789012
  • REQUESTED_RESOURCE_TYPE。選用。要授予存取權的 Cloud de Confiance 資源類型。這項設定可用於自訂授予子項資源的範圍。
  • REQUESTED_RESOURCE:選用。您希望獲得存取權的 Cloud de Confiance 資源。這項設定可用於自訂授予子項資源的範圍。格式:RESOURCE_TYPE/RESOURCE_ID。例如:projects/PROJECT_IDfolders/FOLDER_IDorganizations/ORGANIZATION_ID

將下列內容儲存到名為 requested-scope.yaml 的檔案: 

- gcpIamAccess:
    resource: REQUESTED_RESOURCE
    resourceType: REQUESTED_RESOURCE_TYPE
    roleBindings:
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_1
      accessRestrictions:
        resourceNames:
        - ACCESS_RESTRICTION_NAME_1
        - ACCESS_RESTRICTION_NAME_2
    - entitlementRoleBindingId: ENTITLEMENT_ROLE_BINDING_ID_2
      accessRestrictions:
        resourceNamePrefixes:
        - ACCESS_RESTRICTION_PREFIX_1
        - ACCESS_RESTRICTION_PREFIX_2

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud alpha pam grants create \
    --entitlement=ENTITLEMENT_ID \
    --requested-duration="GRANT_DURATIONs" \
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] \
    --justification="JUSTIFICATION" \
    --location=global \
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] \
    --RESOURCE_TYPE=RESOURCE_ID \
    --requested-access-from-file=requested-scope.yaml

Windows (PowerShell)

gcloud alpha pam grants create `
    --entitlement=ENTITLEMENT_ID `
    --requested-duration="GRANT_DURATIONs" `
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] `
    --justification="JUSTIFICATION" `
    --location=global `
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] `
    --RESOURCE_TYPE=RESOURCE_ID `
    --requested-access-from-file=requested-scope.yaml

Windows (cmd.exe)

gcloud alpha pam grants create ^
    --entitlement=ENTITLEMENT_ID ^
    --requested-duration="GRANT_DURATIONs" ^
    [--scheduled-activation-time=SCHEDULED_ACTIVATION_TIME] ^
    --justification="JUSTIFICATION" ^
    --location=global ^
    [--additional-email-recipients=EMAIL_ADDRESS_1, EMAIL_ADDRESS_2] ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --requested-access-from-file=requested-scope.yaml

您應該會收到類似以下的回應:

Created [GRANT_ID].

REST

  1. 搜尋符合資格的授權。

    Privileged Access Manager API 的 searchEntitlements 方法會使用 GRANT_REQUESTER 呼叫端存取類型,搜尋您可以要求授權的授權。

    使用任何要求資料之前,請先修改下列項目的值:

    • SCOPE:授權所在的機構、資料夾或專案,格式為 organizations/ORGANIZATION_IDfolders/FOLDER_IDprojects/PROJECT_ID。專案 ID 為英數字串,例如 my-project。資料夾和機構 ID 都是數字,例如 123456789012
    • FILTER:選用。傳回欄位值符合 AIP-160 運算式的授權。
    • PAGE_SIZE:選用。要在回應中傳回的項目數。
    • PAGE_TOKEN:選用。要從哪個頁面開始回應,使用先前回應中傳回的頁面權杖。

    HTTP 方法和網址:

    GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements:search?callerAccessType=GRANT_REQUESTER&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

    請展開以下其中一個選項,以傳送要求:

    您應該會收到如下的 JSON 回覆:

    {
  "name": "SCOPE/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
    "createTime": "2024-03-05T03:35:14.596739353Z",
    "target": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1beta"
  },
  "done": false
}
  2. 要求授予授權。

    Privileged Access Manager API 的 createGrant 方法會要求授予權限。

    使用任何要求資料之前,請先修改下列項目的值:

    • SCOPE:授權所在的機構、資料夾或專案,格式為 organizations/ORGANIZATION_IDfolders/FOLDER_IDprojects/PROJECT_ID。專案 ID 為英數字串,例如 my-project。資料夾和機構 ID 都是數字,例如 123456789012
    • ENTITLEMENT_ID:要建立授權的權利 ID。
    • REQUEST_ID:選用。必須為非零 UUID。 如果伺服器收到含有要求 ID 的要求,會檢查過去 60 分鐘內是否已完成具有該 ID 的其他要求。如果是,系統會忽略新要求。
    • GRANT_DURATION:要求的授權時間長度,以秒為單位。
    • SCHEDULED_ACTIVATION_TIME:選用。授權必須啟用的時間,採用 RFC 3339 格式。如未指定時間,則會在建立或核准後立即啟用。
    • JUSTIFICATION:要求授權的理由。
    • EMAIL_ADDRESS:選用。要接收授權要求通知的其他電子郵件地址。系統會自動通知與核准者相關聯的 Google 身分。不過,您可能想通知不同的電子郵件地址組合,特別是使用 員工身分聯盟時。
    • ENTITLEMENT_ROLE_BINDING_ID:選用。要從授權授予的角色繫結 ID。
    • ACCESS_RESTRICTION_NAME:選用。要限制存取權的資源名稱。如要瞭解格式,請參閱「資源名稱格式」。
    • ACCESS_RESTRICTION_PREFIX:選用。要限制存取權的資源名稱前置字串。如要瞭解格式,請參閱「資源名稱格式」。

    HTTP 方法和網址:

    POST https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants?requestId=REQUEST_ID

    JSON 要求主體:

    {
  "requestedDuration": "GRANT_DURATIONs",
  "activationTrigger": {
    "requestedActivationTime": "SCHEDULED_ACTIVATION_TIME"
  },
  "justification": {
    "unstructuredJustification": "JUSTIFICATION"
  },
  "additionalEmailRecipients": [
    "EMAIL_ADDRESS_1",
    "EMAIL_ADDRESS_2",
  ],
  "requestedPrivilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "REQUESTED_RESOURCE_TYPE",
      "resource": "REQUESTED_RESOURCE",
      "roleBindings": [
        {
          "entitlementRoleBindingId": "ENTITLEMENT_ROLE_BINDING_ID",
          "accessRestrictions": {
            "resourceNames": [
              "ACCESS_RESTRICTION_NAME"
            ],
            "resourceNamePrefixes": [
              "ACCESS_RESTRICTION_PREFIX"
            ],
          },
        }
      ],
    }
  },
}

    請展開以下其中一個選項,以傳送要求:

    您應該會收到如下的 JSON 回覆:

    {
   "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
   "createTime": "2024-03-06T03:08:49.330577625Z",
   "updateTime": "2024-03-06T03:08:49.625874598Z",
   "requester": "alex@example.com",
   "requestedDuration": "3600s",
   "justification": {
     "unstructuredJustification": "Emergency service for outage"
   },
   "state": "APPROVAL_AWAITED",
   "timeline": {
     "events": [
       {
         "eventTime": "2024-03-06T03:08:49.462765846Z",
         "requested": {
           "expireTime": "2024-03-07T03:08:49.462765846Z"
         }
       }
     ]
   },
   "privilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "id": "hwqrt_1",
           "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
         }
       ]
     }
   },
   "requestedPrivilegedAccess": {
     "gcpIamAccess": {
       "resourceType": "cloudresourcemanager.googleapis.com/Project",
       "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
       "roleBindings": [
         {
           "role": "roles/storage.admin",
           "entitlementRoleBindingId": "hwqrt_1",
           "accessRestrictions": {
             "resourceNames": [
"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
             ],
             "resourceNamePrefixes": [                  "//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
             ]
           }
         }
       ]
     }
   },
   "additionalEmailRecipients": [
     "bola@google.com"
   ]
}

查看補助申請狀態

控制台

  1. 前往「Privileged Access Manager」頁面。

    前往 Privileged Access Manager

  2. 選取要查看補助金的機構、資料夾或專案。

  3. 在「補助金」分頁中,按一下「我的補助金」

    補助金可能處於下列其中一種狀態:

    狀態 說明
    啟用中 正在啟用補助金。
    啟用失敗 發生無法重試的錯誤,因此 Privileged Access Manager 無法授予角色。
    有效 授權有效,且主體可存取角色允許的資源。
    等待核准 授予要求正在等待核准者做出決定。
    已拒絕 核准者已拒絕授權要求。
    已結束 授權已終止,且主體已移除角色。
    已過期 由於未在 24 小時內或排定的啟用時間前核准,因此授權要求已過期。
    已撤銷 授權遭撤銷,主體無法再存取角色允許的資源。
    正在撤銷 系統正在撤銷授予項目。
    排定傳送時間:DATE 系統會排定補助金的啟用時間,並在您選擇的時間啟用補助金,前提是我們已收到所有核准 (如有需要)。
    提款 系統正在撤銷授權。
    已撤銷 授權已撤銷,主體無法再存取角色允許的資源。

gcloud

搭配 had-created 呼叫端關係使用的 gcloud alpha pam grants search 指令會搜尋您建立的授權。如要查看狀態,請在回應中尋找 state 欄位。

使用下列任何指令資料之前,請先替換以下項目:

  • ENTITLEMENT_ID:授權所屬的權利 ID。
  • RESOURCE_TYPE:選用。授權所屬的資源類型。請使用 organizationfolderproject 值。
  • RESOURCE_ID:與 RESOURCE_TYPE 一起使用。要管理權限的 Cloud de Confiance專案、資料夾或機構的 ID。專案 ID 為英數字串,例如 my-project。 資料夾和機構 ID 為數字,例如 123456789012

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud alpha pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=had-created \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud alpha pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=had-created `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud alpha pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=had-created ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

您應該會收到類似以下的回應:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      id: hwqrt_1
      conditionExpression: resource.name == "//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1" && resource.name.startsWith("//cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms")
requestedPrivilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
      entitlementRoleBindingId: hwqrt_1
      accessRestrictions:
        resourceNames:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/buckets/bucket-1
        resourceNamePrefixes:
        - //cloudresourcemanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/compute/vms
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

補助金可能處於下列狀態:

狀態 說明
啟用 正在啟用補助金。
ACTIVATION_FAILED 發生無法重試的錯誤,因此 Privileged Access Manager 無法授予角色。
ACTIVE 授權有效,且主體可存取角色允許的資源。
APPROVAL_AWAITED 授予要求正在等待核准者做出決定。
禁止所有人使用 核准者已拒絕授權要求。
已結束 授權已終止,且主體已移除角色。
已過期 由於未在 24 小時內或排定的啟用時間前核准,因此授權要求已過期。
已撤銷 授權遭撤銷,主體無法再存取角色允許的資源。
撤銷 系統正在撤銷授予項目。
已排定 系統會排定補助金的啟用時間,並在您選擇的時間啟用補助金,前提是我們已收到所有核准 (如有需要)。
提款 系統正在撤銷授權。
已退出計畫 授權已撤銷,主體無法再存取角色允許的資源。

REST

Privileged Access Manager API 的 searchGrants 方法會搭配 HAD_CREATED 呼叫端關係使用,搜尋您建立的授權。如要查看狀態,請在回應中尋找 state 欄位。

使用任何要求資料之前,請先修改下列項目的值:

  • SCOPE:授權所在的機構、資料夾或專案,格式為 organizations/ORGANIZATION_IDfolders/FOLDER_IDprojects/PROJECT_ID。專案 ID 為英數字串,例如 my-project。資料夾和機構 ID 都是數字,例如 123456789012
  • ENTITLEMENT_ID:授權所屬的權利 ID。
  • FILTER:選用。傳回欄位值符合 AIP-160 運算式的授權。
  • PAGE_SIZE:選用。要在回應中傳回的項目數。
  • PAGE_TOKEN:選用。要從哪個頁面開始回應,使用先前回應中傳回的頁面權杖。

HTTP 方法和網址:

GET https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=HAD_CREATED&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

請展開以下其中一個選項,以傳送要求:

您應該會收到如下的 JSON 回覆:

{
  "grants": [
    {
      "name": "SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "id": "hwqrt_1",
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
              "conditionExpression": "resource.name == \"//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1\" && resource.name.startsWith(\"//cloudresourcemanager.googleapis.com/SCOPE/compute/vms\")"
            }
          ]
        }
      },
      "requestedPrivilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/SCOPE",
          "roleBindings": [
            {
              "role": "roles/storage.admin",
              "entitlementRoleBindingId": "hwqrt_1",
              "accessRestrictions": {
                "resourceNames": ["//cloudresourcemanager.googleapis.com/SCOPE/buckets/bucket-1"
                ],
                "resourceNamePrefixes": ["//cloudresourcemanager.googleapis.com/SCOPE/compute/vms"
                ]
              }
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

下表詳細說明瞭補助金狀態。

狀態 說明
啟用 正在啟用補助金。
ACTIVATION_FAILED 發生無法重試的錯誤,因此 Privileged Access Manager 無法授予角色。
ACTIVE 授權有效,且主體可存取角色允許的資源。
APPROVAL_AWAITED 授予要求正在等待核准者做出決定。
禁止所有人使用 核准者已拒絕授權要求。
已結束 授權已終止,且主體已移除角色。
已過期 由於未在 24 小時內或排定的啟用時間前核准,因此授權要求已過期。
已撤銷 授權遭撤銷,主體無法再存取角色允許的資源。
撤銷 系統正在撤銷授予項目。
已排定 系統會排定補助金的啟用時間,並在您選擇的時間啟用補助金,前提是我們已收到所有核准 (如有需要)。
提款 系統正在撤銷授權。
已退出計畫 授權已撤銷,主體無法再存取角色允許的資源。