이 페이지의 일부 또는 모든 정보는 Trusted Cloud by S3NS에 적용되지 않을 수 있습니다. 자세한 내용은 Google Cloud와의 차이점을 참조하세요.

Privileged Access Manager에서 권한 부여 취소

주 구성원이 사용 권한에 대해 권한 부여를 요청하여 활성 상태가 되면 privilegedaccessmanager.grants.revoke 권한을 가진 주 구성원이 권한 부여를 취소할 수 있습니다. 활성 상태가 아닌 권한 부여는 취소할 수 없습니다.

시작하기 전에

Privileged Access Manager를 사용 설정하고 권한을 설정했는지 확인합니다.

Google Cloud 콘솔을 사용하여 권한 부여 취소

사용 권한에 대해 수행된 특정 권한 부여를 취소하려면 다음 안내를 완료하세요.

Privileged Access Manager 페이지로 이동합니다.

Privileged Access Manager로 이동
권한 부여를 취소하려는 조직, 폴더, 프로젝트를 선택합니다.
권한 부여 탭과 모든 사용자의 권한 부여 탭을 차례로 클릭합니다. 여기에는 모든 요청자의 모든 권한 부여, 권한 부여 상태, 관련 사용 권한 세부정보가 포함됩니다.
표에서 취소하려는 권한 부여와 동일한 행에 있는 옵션 더보기를 클릭합니다.
활성 상태의 권한 부여를 취소하려면 권한 부여 취소를 클릭합니다.

사용 권한에 대해 수행된 모든 활성 권한 부여를 취소하려면 다음 안내를 따르세요.

Privileged Access Manager 페이지로 이동합니다.

Privileged Access Manager로 이동
사용 권한 탭을 클릭한 다음 모든 사용자를 위한 사용 권한 탭을 클릭합니다. 여기에서 사용 가능한 사용 권한, 부여되는 역할, 유효한 요청자와 승인자를 확인할 수 있습니다.
표에서 권한 부여를 취소하려는 사용 권한과 동일한 행에서 옵션 더보기를 클릭합니다.
모든 권한 부여 취소를 클릭합니다.

프로그래매틱 방식으로 권한 부여 취소

gcloud

gcloud pam grants revoke 명령어는 활성 상태의 권한 부여를 취소합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

GRANT_ID: 취소하려는 권한 부여의 ID입니다. 권한 부여를 확인하여 ID를 검색할 수 있습니다.
ENTITLEMENT_ID: 권한 부여가 속한 사용 권한의 ID입니다.
REVOKE_REASON: 권한 부여가 취소된 이유입니다.
RESOURCE_TYPE: 선택사항. 사용 권한이 속한 리소스 유형입니다. organization, folder 또는 project 값을 사용합니다.
RESOURCE_ID: RESOURCE_TYPE에 사용됩니다. 사용 권한을 관리하려는 Trusted Cloud프로젝트, 폴더, 조직의 ID입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud pam grants revoke \
     GRANT_ID \
    --entitlement=ENTITLEMENT_ID \
    --reason="REVOKE_REASON" \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows(PowerShell)

gcloud pam grants revoke `
     GRANT_ID `
    --entitlement=ENTITLEMENT_ID `
    --reason="REVOKE_REASON" `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows(cmd.exe)

gcloud pam grants revoke ^
     GRANT_ID ^
    --entitlement=ENTITLEMENT_ID ^
    --reason="REVOKE_REASON" ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

다음과 비슷한 응답이 표시됩니다.

auditTrail:
  accessGrantTime: '2024-04-05T00:29:16.703069535Z'
  accessRemoveTime: '2024-04-05T00:29:55.815041079Z'
createTime: '2024-04-05T00:27:43.822053968Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 2700s
requester: cruz@example.com
state: REVOKED
timeline:
  events:
  - eventTime: '2024-04-05T00:27:44.014277946Z'
    requested:
      expireTime: '2024-04-06T00:27:44.014277946Z'
  - approved:
      actor: alex@example.com
      reason: Access allowed under existing policy
    eventTime: '2024-04-05T00:29:14.921828714Z'
  - eventTime: '2024-04-05T00:29:14.921763008Z'
    scheduled:
      scheduledActivationTime: '2024-04-05T00:29:14.921763008Z'
  - activated: {}
    eventTime: '2024-04-05T00:29:16.703069535Z'
  - eventTime: '2024-04-05T00:29:55.815041079Z'
    revoked:
      actor: alex@example.com
      reason: Revoking due to new access policy

REST

Privileged Access Manager API의 revokeGrant 메서드는 활성 상태의 권한 부여를 취소합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

SCOPE: 사용 권한이 있는 조직, 폴더, 프로젝트로, organizations/ORGANIZATION_ID, folders/FOLDER_ID 또는 projects/PROJECT_ID 형식입니다. 프로젝트 ID는 my-project와 같은 영숫자 문자열입니다. 폴더 및 조직 ID는 123456789012와 같은 숫자입니다.
ENTITLEMENT_ID: 권한 부여가 속한 사용 권한의 ID입니다.
GRANT_ID: 취소하려는 권한 부여의 ID입니다. 권한 부여를 확인하여 ID를 검색할 수 있습니다.
REVOKE_REASON: 권한 부여가 취소된 이유입니다.

HTTP 메서드 및 URL:

POST https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke

JSON 요청 본문:

{
  "reason": "REVOKE_REASON"
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke"

PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "name": "projects/my-project/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1.OperationMetadata",
    "createTime": "2024-03-06T23:07:48.716396505Z",
    "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

취소 작업의 진행 상황을 확인하려면 다음 엔드포인트에 GET 요청을 전송하면 됩니다.

https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations/OPERATION_ID

다음 엔드포인트에 GET 요청을 전송하여 모든 작업을 나열합니다.

https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations