Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Revogue concessões no Gestor de acesso privilegiado

Depois de um principal ter pedido uma concessão com êxito contra uma autorização e esta estar ativa, os principais com a autorização privilegedaccessmanager.grants.revoke podem revogar a concessão. Não é possível revogar concessões que não tenham um estado ativo.

Antes de começar

Certifique-se de que ativou o Gestor de acesso privilegiado e configurou as respetivas autorizações.

Revogue concessões através da Trusted Cloud consola

Para revogar uma concessão específica feita contra um direito, conclua as seguintes instruções:

Aceda à página Gestor de acesso privilegiado.

Aceda ao Gestor de acesso privilegiado
Selecione a organização, a pasta ou o projeto no qual quer revogar concessões.
Clique no separador Concessões e, de seguida, no separador Concessões para todos os utilizadores. Contém todas as concessões em todos os requerentes, os estados das concessões e os detalhes de autorização associados.
Na tabela, clique em Mais opções na mesma linha que uma concessão que quer revogar.
Para revogar uma concessão ativa, clique em Revogar concessão.

Para revogar todas as concessões ativas feitas contra uma autorização, conclua as seguintes instruções:

Aceda à página Gestor de acesso privilegiado.

Aceda ao Gestor de acesso privilegiado
Clique no separador Direitos e, de seguida, no separador Direitos para todos os utilizadores. Aqui, pode encontrar as autorizações disponíveis, as funções que concedem e os respetivos requerentes e aprovadores válidos.
Na tabela, clique em Mais opções na mesma linha que uma autorização para a qual quer revogar as concessões.
Clique em Revogar todas as concessões.

Revogue concessões de forma programática

gcloud

O comando gcloud pam grants revoke revoga uma concessão ativa.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

GRANT_ID: o ID da concessão que quer revogar. Pode obter o ID ao ver as concessões.
ENTITLEMENT_ID: o ID da concessão a que a autorização pertence.
REVOKE_REASON: o motivo pelo qual a subvenção foi revogada.
RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valor organization, folder ou project.
RESOURCE_ID: usado com RESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Trusted CloudOs IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud pam grants revoke \
     GRANT_ID \
    --entitlement=ENTITLEMENT_ID \
    --reason="REVOKE_REASON" \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud pam grants revoke `
     GRANT_ID `
    --entitlement=ENTITLEMENT_ID `
    --reason="REVOKE_REASON" `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud pam grants revoke ^
     GRANT_ID ^
    --entitlement=ENTITLEMENT_ID ^
    --reason="REVOKE_REASON" ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Deve receber uma resposta semelhante à seguinte:

auditTrail:
  accessGrantTime: '2024-04-05T00:29:16.703069535Z'
  accessRemoveTime: '2024-04-05T00:29:55.815041079Z'
createTime: '2024-04-05T00:27:43.822053968Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 2700s
requester: cruz@example.com
state: REVOKED
timeline:
  events:
  - eventTime: '2024-04-05T00:27:44.014277946Z'
    requested:
      expireTime: '2024-04-06T00:27:44.014277946Z'
  - approved:
      actor: alex@example.com
      reason: Access allowed under existing policy
    eventTime: '2024-04-05T00:29:14.921828714Z'
  - eventTime: '2024-04-05T00:29:14.921763008Z'
    scheduled:
      scheduledActivationTime: '2024-04-05T00:29:14.921763008Z'
  - activated: {}
    eventTime: '2024-04-05T00:29:16.703069535Z'
  - eventTime: '2024-04-05T00:29:55.815041079Z'
    revoked:
      actor: alex@example.com
      reason: Revoking due to new access policy

REST

O método revokeGrant da API Privileged Access Manager revoga uma concessão ativa.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato de organizations/ORGANIZATION_ID, folders/FOLDER_ID ou projects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, como my-project. Os IDs das pastas e das organizações são numéricos, como 123456789012.
ENTITLEMENT_ID: o ID da concessão a que a autorização pertence.
GRANT_ID: o ID da concessão que quer revogar. Pode obter o ID ao ver as concessões.
REVOKE_REASON: o motivo pelo qual a concessão foi revogada.

Método HTTP e URL:

POST https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke

Corpo JSON do pedido:

{
  "reason": "REVOKE_REASON"
}

Para enviar o seu pedido, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Nota: O comando seguinte pressupõe que tem sessão iniciada na CLI gcloud com a sua conta de utilizador executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que inicia automaticamente sessão na CLI gcloud. Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke"

PowerShell (Windows)

Nota: O comando seguinte pressupõe que iniciou sessão na CLI do Google Cloud com a sua conta de utilizador executando gcloud init ou gcloud auth login .gcloud Pode verificar a conta atualmente ativa executando o comando gcloud auth list.

Guarde o corpo do pedido num ficheiro com o nome request.json, e execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke" | Select-Object -Expand Content

Deve receber uma resposta JSON semelhante à seguinte:

{
  "name": "projects/my-project/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1.OperationMetadata",
    "createTime": "2024-03-06T23:07:48.716396505Z",
    "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Para verificar o progresso de uma operação de revogação, pode enviar um pedido GET para o seguinte ponto final:

https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations/OPERATION_ID

Envie um pedido GET para o seguinte ponto final para apresentar uma lista de todas as operações:

https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations