Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS.

Questa pagina è stata tradotta dall'API Cloud Translation.

Revocare le concessioni in Privileged Access Manager

Dopo che un'entità ha richiesto una concessione per un diritto e questo è attivo, le entità con l'autorizzazione privilegedaccessmanager.grants.revoke possono revocare la concessione. Le concessioni che non hanno uno stato attivo non possono essere revocate.

Prima di iniziare

Assicurati di aver attivato Privileged Access Manager e configurato le relative autorizzazioni.

Revocare le concessioni utilizzando la console Trusted Cloud

Per revocare una concessione specifica effettuata in base a un diritto, completa le seguenti istruzioni:

Vai alla pagina Gestore degli accessi con privilegi.

Vai a Privileged Access Manager
Seleziona l'organizzazione, la cartella o il progetto in cui vuoi revocare le concessioni.
Fai clic sulla scheda Concessioni, quindi sulla scheda Concessioni per tutti gli utenti. Contiene tutte le concessioni per tutti i richiedenti, i relativi stati e i dettagli dei diritti associati.
Nella tabella, fai clic su Altre opzioni nella stessa riga della concessione che vuoi revocare.
Per revocare una concessione attiva, fai clic su Revoca concessione.

Per revocare tutte le concessioni attive effettuate rispetto a un diritto, completa le seguenti istruzioni:

Vai alla pagina Gestore degli accessi con privilegi.

Vai a Privileged Access Manager
Fai clic sulla scheda Diritti, quindi sulla scheda Diritti per tutti gli utenti. Qui puoi trovare i diritti disponibili, i ruoli che concedono e i richiedenti e gli approvatori validi.
Nella tabella, fai clic su Altre opzioni nella stessa riga di un diritto per cui vuoi revocare le concessioni.
Fai clic su Revoca tutte le concessioni.

Revocare le concessioni in modo programmatico

gcloud

Il comando gcloud pam grants revoke revoca una concessione attiva.

Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

GRANT_ID: L'ID della concessione che vuoi revocare. Puoi recuperare l'ID visualizzando le concessioni.
ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione.
REVOKE_REASON: il motivo per cui la concessione è stata revocata.
RESOURCE_TYPE: (Facoltativo). Il tipo di risorsa a cui appartiene il diritto. Utilizza il valore organization, folder o project.
RESOURCE_ID: Utilizzato con RESOURCE_TYPE. L'ID del progetto, della cartella o dell'organizzazione Trusted Cloudper cui vuoi gestire i diritti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.

Esegui questo comando:

Linux, macOS o Cloud Shell

gcloud pam grants revoke \
     GRANT_ID \
    --entitlement=ENTITLEMENT_ID \
    --reason="REVOKE_REASON" \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud pam grants revoke `
     GRANT_ID `
    --entitlement=ENTITLEMENT_ID `
    --reason="REVOKE_REASON" `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud pam grants revoke ^
     GRANT_ID ^
    --entitlement=ENTITLEMENT_ID ^
    --reason="REVOKE_REASON" ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Dovresti ricevere una risposta simile alla seguente:

auditTrail:
  accessGrantTime: '2024-04-05T00:29:16.703069535Z'
  accessRemoveTime: '2024-04-05T00:29:55.815041079Z'
createTime: '2024-04-05T00:27:43.822053968Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 2700s
requester: cruz@example.com
state: REVOKED
timeline:
  events:
  - eventTime: '2024-04-05T00:27:44.014277946Z'
    requested:
      expireTime: '2024-04-06T00:27:44.014277946Z'
  - approved:
      actor: alex@example.com
      reason: Access allowed under existing policy
    eventTime: '2024-04-05T00:29:14.921828714Z'
  - eventTime: '2024-04-05T00:29:14.921763008Z'
    scheduled:
      scheduledActivationTime: '2024-04-05T00:29:14.921763008Z'
  - activated: {}
    eventTime: '2024-04-05T00:29:16.703069535Z'
  - eventTime: '2024-04-05T00:29:55.815041079Z'
    revoked:
      actor: alex@example.com
      reason: Revoking due to new access policy

REST

Il metodo revokeGrant dell'API Privileged Access Manager revoca una concessione attiva.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

SCOPE: l'organizzazione, la cartella o il progetto in cui si trova il diritto, nel formato organizations/ORGANIZATION_ID, folders/FOLDER_ID o projects/PROJECT_ID. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
ENTITLEMENT_ID: l'ID del diritto a cui appartiene la concessione.
GRANT_ID: L'ID della concessione che vuoi revocare. Puoi recuperare l'ID visualizzando le concessioni.
REVOKE_REASON: il motivo per cui la concessione è stata revocata.

Metodo HTTP e URL:

POST https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke

Corpo JSON della richiesta:

{
  "reason": "REVOKE_REASON"
}

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke" | Select-Object -Expand Content

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "name": "projects/my-project/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1.OperationMetadata",
    "createTime": "2024-03-06T23:07:48.716396505Z",
    "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Per verificare lo stato di avanzamento di un'operazione di revoca, puoi inviare una richiesta GET al seguente endpoint:

https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations/OPERATION_ID

Invia una richiesta GET al seguente endpoint per elencare tutte le operazioni:

https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations