Puedes ver el estado y el historial de una concesión, o revocar una concesión para otras entidades si está activa. El historial de concesiones está disponible durante 30 días después de que finalice una concesión.
Antes de empezar
Comprueba que hayas habilitado Gestor de acceso privilegiado y configurado los permisos correspondientes.
Ver las concesiones con la Trusted Cloud consola
Para ver una concesión, sigue estas instrucciones:
Ve a la página Privileged Access Manager.
Selecciona la organización, la carpeta o el proyecto en el que quieras ver las concesiones.
Haga clic en la pestaña Concesiones y, a continuación, en la pestaña Concesiones para todos los usuarios. Esta pestaña contiene todas las concesiones, los solicitantes de esas concesiones y el estado de las concesiones. Las subvenciones pueden tener los siguientes estados:
Estado Descripción Activando La concesión está en proceso de activación. Error de activación Privileged Access Manager no ha podido conceder los roles debido a un error no recuperable. Activo La concesión está activa y la entidad principal tiene acceso a los recursos permitidos por los roles. Esperando aprobación La solicitud de concesión está pendiente de la decisión de un aprobador. Rechazado Un aprobador ha denegado la solicitud de concesión. Finalización La concesión ha finalizado y los roles se han quitado de la entidad principal. Caducado La solicitud de concesión ha caducado porque no se ha concedido la aprobación en un plazo de 24 horas. Revocado Se revoca la concesión y la entidad principal ya no tiene acceso a los recursos permitidos por los roles. Revocando La concesión se está revocando. Etiquetas de estado
Además de estos estados, las subvenciones pueden tener las siguientes etiquetas de estado que se muestran junto a su estado, que indican condiciones especiales:
Modificado mediante la gestión de identidades y accesos
Los enlaces de políticas de gestión de identidades y accesos asociados a esta concesión se han modificado directamente a través de la gestión de identidades y accesos. Para obtener información sobre los enlaces modificados, consulta la página Gestión de identidades y accesos de la consolaTrusted Cloud . Cuando se revoca o finaliza una concesión modificada, Privileged Access Manager solo elimina las vinculaciones que ha creado y que no se han modificado a través de IAM.
Si se modifica el título o la expresión de la condición de gestión de identidades y accesos, o se elimina el acceso del solicitante al rol concedido, se considera una modificación externa. Añadir o modificar la descripción de la condición de gestión de identidades y accesos no se considera una modificación externa.
Privileged Access Manager comprueba si hay modificaciones externas en las concesiones cada 5 minutos. Estos cambios pueden tardar hasta 5 minutos en reflejarse. Es posible que Privileged Access Manager no detecte los cambios transitorios que se hayan realizado y revertido en este periodo de 5 minutos.
En la tabla, haz clic en Más opciones en la misma fila que el derecho que quieras inspeccionar.
Para ver los detalles de la concesión, incluido su historial, haz clic en Ver detalles. También puedes revocar un permiso desde este panel.
Para revocar una concesión activa, haz clic en Revocar concesión.
También puedes ver los roles concedidos temporalmente en la página Gestión de identidades y accesos de la Trusted Cloud consola. En la pestaña Ver por principales, los roles concedidos temporalmente tienen la condición Creado por: PAM.
Ver concesiones mediante programación
Para ver las concesiones de forma programática, puedes buscarlas, enumerarlas y obtenerlas.
Buscar subvenciones
gcloud
El comando
gcloud pam grants search
busca una concesión que hayas creado, que puedas aprobar o
rechazar, o que ya hayas aprobado o rechazado. Este método no requiere permisos específicos de Gestor de acceso privilegiado para usarse.
Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
ENTITLEMENT_ID: ID del derecho al que pertenece la concesión. Puedes obtener el ID consultando los derechos.-
CALLER_RELATIONSHIP_TYPE: usa uno de los siguientes valores:had-created: devuelve las concesiones que ha creado el llamador.had-approved: devuelve las concesiones que el llamante ha aprobado o denegado.can-approve: las devoluciones permiten que la persona que llama apruebe o rechace la solicitud.
RESOURCE_TYPE: opcional. El tipo de recurso al que pertenece el derecho. Usa el valororganization,folderoproject.RESOURCE_ID: se usa conRESOURCE_TYPE. El ID del proyecto, la carpeta o la organización Trusted Cloud para los que quieres gestionar los derechos. Los IDs de proyecto son cadenas alfanuméricas, comomy-project. Los IDs de carpetas y organizaciones son numéricos, como123456789012.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud pam grants search \ --entitlement=ENTITLEMENT_ID \ --caller-relationship=CALLER_RELATIONSHIP_TYPE \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud pam grants search ` --entitlement=ENTITLEMENT_ID ` --caller-relationship=CALLER_RELATIONSHIP_TYPE ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud pam grants search ^ --entitlement=ENTITLEMENT_ID ^ --caller-relationship=CALLER_RELATIONSHIP_TYPE ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Deberías recibir una respuesta similar a la siguiente:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/my-project
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
El método searchGrants
de la API Privileged Access Manager busca una concesión que hayas creado, que puedas aprobar o
rechazar, o que ya hayas aprobado o rechazado. Este método no requiere permisos específicos de Gestor de acceso privilegiado para usarse.
Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
SCOPE: la organización, la carpeta o el proyecto en el que se encuentra el derecho, con el formatoorganizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Los IDs de proyecto son cadenas alfanuméricas, comomy-project. Los IDs de carpetas y organizaciones son numéricos, como123456789012.ENTITLEMENT_ID: ID del derecho al que pertenece la concesión. Puedes obtener el ID consultando los derechos.RELATIONSHIP_TYPE: los valores válidos son los siguientes:HAD_CREATED: devuelve las concesiones que ha creado el llamador.HAD_APPROVED: devuelve las concesiones que el llamante ha aprobado o denegado previamente.CAN_APPROVE: las devoluciones permiten que la persona que llama apruebe o rechace la solicitud.
FILTER: opcional. Devuelve las concesiones cuyos valores de campo coinciden con una expresión AIP-160.PAGE_SIZE: opcional. Número de elementos que se van a devolver en una respuesta.PAGE_TOKEN: opcional. Página desde la que se inicia la respuesta, mediante un token de página devuelto en una respuesta anterior.
Método HTTP y URL:
GET https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Para enviar tu solicitud, despliega una de estas opciones:
Deberías recibir una respuesta JSON similar a la siguiente:
{
"grants": [
{
"name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
"roleBindings": [
{
"role": "roles/storage.admin"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
Mostrar concesiones
gcloud
El comando
gcloud pam grants list
muestra las concesiones que pertenecen a un derecho específico.
Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
ENTITLEMENT_ID: ID del derecho al que pertenece la concesión. Puedes obtener el ID consultando los derechos.RESOURCE_TYPE: opcional. El tipo de recurso al que pertenece el derecho. Usa el valororganization,folderoproject.RESOURCE_ID: se usa conRESOURCE_TYPE. El ID del proyecto, la carpeta o la organización Trusted Cloud para los que quieres gestionar los derechos. Los IDs de proyecto son cadenas alfanuméricas, comomy-project. Los IDs de carpetas y organizaciones son numéricos, como123456789012.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud pam grants list \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud pam grants list ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud pam grants list ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Deberías recibir una respuesta similar a la siguiente:
createTime: '2024-03-25T23:10:16.952789492Z'
justification:
unstructuredJustification: Adding missing file for service to work properly
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/my-project
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
requestedDuration: 1800s
requester: alex@example.com
state: EXPIRED
timeline:
events:
- eventTime: '2024-03-25T23:10:17.155612987Z'
requested:
expireTime: '2024-03-26T23:10:17.155612987Z'
- eventTime: '2024-03-26T23:10:17.279777370Z'
expired: {}
updateTime: '2024-03-25T23:10:17.273416257Z'
REST
El método listGrants
de la API Privileged Access Manager
muestra las concesiones que pertenecen a un
derecho específico.
Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
SCOPE: la organización, la carpeta o el proyecto en el que se encuentra el derecho, con el formatoorganizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Los IDs de proyecto son cadenas alfanuméricas, comomy-project. Los IDs de carpetas y organizaciones son numéricos, como123456789012.ENTITLEMENT_ID: ID del derecho al que pertenece la concesión. Puedes obtener el ID consultando los derechos.FILTER: opcional. Devuelve las concesiones cuyos valores de campo coinciden con una expresión AIP-160.PAGE_SIZE: opcional. Número de elementos que se van a devolver en una respuesta.PAGE_TOKEN: opcional. Página desde la que se inicia la respuesta, mediante un token de página devuelto en una respuesta anterior.
Método HTTP y URL:
GET https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Para enviar tu solicitud, despliega una de estas opciones:
Deberías recibir una respuesta JSON similar a la siguiente:
{
"grants": [
{
"name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
"roleBindings": [
{
"role": "roles/storage.admin"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
Obtener subvenciones
gcloud
El comando
gcloud pam grants describe
obtiene una concesión específica.
Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
GRANT_ID: ID de la subvención de la que quieres obtener los detalles.ENTITLEMENT_ID: ID del derecho al que pertenece la concesión.RESOURCE_TYPE: opcional. El tipo de recurso al que pertenece el derecho. Usa el valororganization,folderoproject.RESOURCE_ID: se usa conRESOURCE_TYPE. El ID del proyecto, la carpeta o la organización Trusted Cloud para los que quieres gestionar los derechos. Los IDs de proyecto son cadenas alfanuméricas, comomy-project. Los IDs de carpetas y organizaciones son numéricos, como123456789012.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud pam grants describe \ GRANT_ID \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud pam grants describe ` GRANT_ID ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud pam grants describe ^ GRANT_ID ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Deberías recibir una respuesta similar a la siguiente:
createTime: '2024-03-25T23:10:16.952789492Z'
justification:
unstructuredJustification: Adding missing file for service to work properly
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/my-project
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
requestedDuration: 1800s
requester: alex@example.com
state: EXPIRED
timeline:
events:
- eventTime: '2024-03-25T23:10:17.155612987Z'
requested:
expireTime: '2024-03-26T23:10:17.155612987Z'
- eventTime: '2024-03-26T23:10:17.279777370Z'
expired: {}
updateTime: '2024-03-25T23:10:17.273416257Z'
REST
El método getGrant
de la API Privileged Access Manager obtiene una concesión específica.
Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
SCOPE: la organización, la carpeta o el proyecto en el que se encuentra el derecho, con el formatoorganizations/ORGANIZATION_ID,folders/FOLDER_IDoprojects/PROJECT_ID. Los IDs de proyecto son cadenas alfanuméricas, comomy-project. Los IDs de carpetas y organizaciones son numéricos, como123456789012.ENTITLEMENT_ID: ID del derecho al que pertenece la concesión.GRANT_ID: ID de la concesión de la que quieres obtener los detalles.
Método HTTP y URL:
GET https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
Para enviar tu solicitud, despliega una de estas opciones:
Deberías recibir una respuesta JSON similar a la siguiente:
{
"name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
"roleBindings": [
{
"role": "roles/storage.admin"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}