Beberapa atau semua informasi di halaman ini mungkin tidak berlaku untuk Trusted Cloud oleh S3NS.

Halaman ini diterjemahkan oleh Cloud Translation API.

Melihat pemberian akses di Privileged Access Manager

Anda dapat melihat status dan histori pemberian, atau mencabut pemberian untuk prinsipal lain jika aktif. Histori pemberian tersedia selama 30 hari setelah pemberian berakhir.

Sebelum memulai

Pastikan Anda telah mengaktifkan Privileged Access Manager dan menyiapkan izin untuknya.

Melihat hibah menggunakan konsol Trusted Cloud

Untuk melihat hibah, selesaikan petunjuk berikut:

Buka halaman Privileged Access Manager.

Buka Privileged Access Manager
Pilih organisasi, folder, atau project tempat Anda ingin melihat pemberian.

Klik tab Pemberian akses, lalu klik tab Pemberian akses untuk semua pengguna. Tab ini berisi semua pemberian, pemohon untuk pemberian tersebut, dan status pemberian. Hibah dapat memiliki status berikut:

Status	Deskripsi
Mengaktifkan	Hibah sedang dalam proses aktivasi.
Aktivasi gagal	Privileged Access Manager tidak dapat memberikan peran karena error yang tidak dapat dicoba lagi.
Aktif	Pemberian akses aktif dan akun utama memiliki akses ke resource yang diizinkan oleh peran.
Menunggu persetujuan	Permintaan pemberian sedang menunggu keputusan dari pemberi persetujuan.
Ditolak	Permintaan pemberian akses telah ditolak oleh pemberi persetujuan.
Berakhir	Pemberian telah berakhir dan peran telah dihapus dari akun utama.
Telah Berakhir	Masa berlaku permintaan pemberian telah berakhir, karena persetujuan tidak diberikan dalam waktu 24 jam.
Dicabut	Pemberian dicabut, dan akun utama tidak lagi memiliki akses ke resource yang diizinkan oleh peran.
Mencabut	Pemberian akses sedang dalam proses pencabutan.

Label Status

Selain status ini, hibah dapat memiliki label status berikut yang ditampilkan di samping statusnya, yang menunjukkan kondisi khusus:

Diubah melalui IAM

Binding kebijakan IAM yang terkait dengan pemberian ini telah diubah secara langsung melalui IAM. Untuk mengetahui detail tentang binding yang diubah, lihat halaman IAM di konsolTrusted Cloud . Jika pemberian akses yang diubah dicabut atau berakhir, Privileged Access Manager hanya menghapus binding yang telah dibuat dan belum diubah melalui IAM.

Mengubah judul atau ekspresi kondisi IAM, atau menghapus akses pemohon ke peran yang diberikan dianggap sebagai perubahan eksternal. Menambahkan atau mengubah deskripsi kondisi IAM tidak dianggap sebagai modifikasi eksternal.

Privileged Access Manager memeriksa modifikasi eksternal pada pemberian setiap 5 menit. Diperlukan waktu hingga 5 menit untuk menerapkan perubahan ini. Perubahan sementara yang dibuat dan dikembalikan dalam jangka waktu 5 menit ini mungkin tidak terdeteksi oleh Privileged Access Manager.

Pada tabel, klik Opsi lainnya di baris yang sama dengan hak yang ingin Anda periksa.
- Untuk melihat detail hibah termasuk historinya, klik Lihat detail. Anda juga dapat mencabut pemberian izin dari panel ini.
- Untuk mencabut pemberian aktif, klik Cabut pemberian.

Anda juga dapat melihat peran yang diberikan untuk sementara di halaman IAM di konsol Trusted Cloud . Pada tab Lihat menurut akun utama, peran yang diberikan untuk sementara memiliki kondisi Dibuat oleh: PAM.

Melihat pemberian secara terprogram

Untuk melihat hibah secara terprogram, Anda dapat menelusuri, membuat daftar, dan mendapatkannya.

Telusuri hibah

gcloud

Perintah gcloud pam grants search menelusuri pemberian yang telah Anda buat, dapat menyetujui atau menolak, atau telah menyetujui atau menolak. Metode ini tidak memerlukan izin Privileged Access Manager tertentu untuk digunakan.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

ENTITLEMENT_ID: ID hak yang memiliki pemberian. Anda dapat mengambil ID dengan melihat hak.
CALLER_RELATIONSHIP_TYPE: Gunakan salah satu nilai berikut:
- had-created: Menampilkan hibah yang telah dibuat oleh pemanggil.
- had-approved: Menampilkan pemberian yang telah disetujui atau ditolak oleh pemanggil.
- can-approve: Menampilkan pemberian yang dapat disetujui atau ditolak oleh pemanggil.
RESOURCE_TYPE: Opsional. Jenis resource yang haknya termasuk di dalamnya. Gunakan nilai organization, folder, atau project.
RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID Trusted Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud pam grants search \
    --entitlement=ENTITLEMENT_ID \
    --caller-relationship=CALLER_RELATIONSHIP_TYPE \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud pam grants search `
    --entitlement=ENTITLEMENT_ID `
    --caller-relationship=CALLER_RELATIONSHIP_TYPE `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud pam grants search ^
    --entitlement=ENTITLEMENT_ID ^
    --caller-relationship=CALLER_RELATIONSHIP_TYPE ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
  events:
  - eventTime: '2024-03-07T00:34:32.793769042Z'
    requested:
      expireTime: '2024-03-08T00:34:32.793769042Z'
  - denied:
      actor: alex@example.com
      reason: Issue has already been resolved
    eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'

REST

Metode searchGrants Privileged Access Manager API menelusuri pemberian akses yang telah Anda buat, dapat disetujui atau ditolak, atau telah disetujui atau ditolak. Metode ini tidak memerlukan izin Privileged Access Manager tertentu untuk digunakan.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
ENTITLEMENT_ID: ID hak yang memiliki pemberian. Anda dapat mengambil ID dengan melihat hak.
RELATIONSHIP_TYPE: Nilai yang valid adalah:
- HAD_CREATED: Menampilkan hibah yang telah dibuat oleh pemanggil.
- HAD_APPROVED: Menampilkan pemberian yang sebelumnya disetujui atau ditolak oleh pemanggil.
- CAN_APPROVE: Menampilkan pemberian yang dapat disetujui atau ditolak oleh pemanggil.
FILTER: Opsional. Menampilkan hibah yang nilai kolomnya cocok dengan ekspresi AIP-160.
PAGE_SIZE: Opsional. Jumlah item yang akan ditampilkan dalam respons.
PAGE_TOKEN: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.

Metode HTTP dan URL:

GET https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:

{
  "grants": [
    {
      "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
          "roleBindings": [
            {
              "role": "roles/storage.admin"
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Mencantumkan pemberian

gcloud

Perintah gcloud pam grants list mencantumkan pemberian yang termasuk dalam hak tertentu.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

ENTITLEMENT_ID: ID hak yang memiliki pemberian. Anda dapat mengambil ID dengan melihat hak.
RESOURCE_TYPE: Opsional. Jenis resource yang haknya termasuk di dalamnya. Gunakan nilai organization, folder, atau project.
RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID Trusted Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud pam grants list \
    --entitlement=ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud pam grants list `
    --entitlement=ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud pam grants list ^
    --entitlement=ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

createTime: '2024-03-25T23:10:16.952789492Z'
justification:
  unstructuredJustification: Adding missing file for service to work properly
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 1800s
requester: alex@example.com
state: EXPIRED
timeline:
  events:
  - eventTime: '2024-03-25T23:10:17.155612987Z'
    requested:
      expireTime: '2024-03-26T23:10:17.155612987Z'
  - eventTime: '2024-03-26T23:10:17.279777370Z'
    expired: {}
updateTime: '2024-03-25T23:10:17.273416257Z'

REST

Metode listGrants Privileged Access Manager API mencantumkan pemberian yang termasuk dalam hak tertentu.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
ENTITLEMENT_ID: ID hak yang memiliki pemberian. Anda dapat mengambil ID dengan melihat hak.
FILTER: Opsional. Menampilkan hibah yang nilai kolomnya cocok dengan ekspresi AIP-160.
PAGE_SIZE: Opsional. Jumlah item yang akan ditampilkan dalam respons.
PAGE_TOKEN: Opsional. Halaman mana yang akan memulai respons, menggunakan token halaman yang ditampilkan dalam respons sebelumnya.

Metode HTTP dan URL:

GET https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:

{
  "grants": [
    {
      "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
      "createTime": "2024-03-06T03:08:49.330577625Z",
      "updateTime": "2024-03-06T03:08:49.625874598Z",
      "requester": "alex@example.com",
      "requestedDuration": "3600s",
      "justification": {
        "unstructuredJustification": "Emergency service for outage"
      },
      "state": "APPROVAL_AWAITED",
      "timeline": {
        "events": [
          {
            "eventTime": "2024-03-06T03:08:49.462765846Z",
            "requested": {
              "expireTime": "2024-03-07T03:08:49.462765846Z"
            }
          }
        ]
      },
      "privilegedAccess": {
        "gcpIamAccess": {
          "resourceType": "cloudresourcemanager.googleapis.com/Project",
          "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
          "roleBindings": [
            {
              "role": "roles/storage.admin"
            }
          ]
        }
      },
      "additionalEmailRecipients": [
        "bola@google.com"
      ]
    }
  ]
}

Mendapatkan hibah

gcloud

Perintah gcloud pam grants describe mengambil pemberian tertentu.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

GRANT_ID: ID hibah yang detailnya ingin Anda ketahui.
ENTITLEMENT_ID: ID hak yang memiliki pemberian.
RESOURCE_TYPE: Opsional. Jenis resource yang haknya termasuk di dalamnya. Gunakan nilai organization, folder, atau project.
RESOURCE_ID: Digunakan dengan RESOURCE_TYPE. ID Trusted Cloud project, folder, atau organisasi yang ingin Anda kelola haknya. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud pam grants describe \
    GRANT_ID \
    --entitlement=ENTITLEMENT_ID \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

Windows (PowerShell)

gcloud pam grants describe `
    GRANT_ID `
    --entitlement=ENTITLEMENT_ID `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows (cmd.exe)

gcloud pam grants describe ^
    GRANT_ID ^
    --entitlement=ENTITLEMENT_ID ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

Anda akan melihat respons seperti berikut:

createTime: '2024-03-25T23:10:16.952789492Z'
justification:
  unstructuredJustification: Adding missing file for service to work properly
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 1800s
requester: alex@example.com
state: EXPIRED
timeline:
  events:
  - eventTime: '2024-03-25T23:10:17.155612987Z'
    requested:
      expireTime: '2024-03-26T23:10:17.155612987Z'
  - eventTime: '2024-03-26T23:10:17.279777370Z'
    expired: {}
updateTime: '2024-03-25T23:10:17.273416257Z'

REST

Metode getGrant Privileged Access Manager API mengambil hibah tertentu.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

SCOPE: Organisasi, folder, atau project tempat hak berada, dalam format organizations/ORGANIZATION_ID, folders/FOLDER_ID, atau projects/PROJECT_ID. Project ID adalah string alfanumerik, seperti my-project. Folder dan ID organisasi berupa numerik, seperti 123456789012.
ENTITLEMENT_ID: ID hak yang memiliki pemberian.
GRANT_ID: ID pemberian akses yang detailnya ingin Anda dapatkan.

Metode HTTP dan URL:

GET https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID" | Select-Object -Expand Content

Anda akan melihat respons JSON yang mirip seperti berikut:

{
  "name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
  "createTime": "2024-03-06T03:08:49.330577625Z",
  "updateTime": "2024-03-06T03:08:49.625874598Z",
  "requester": "alex@example.com",
  "requestedDuration": "3600s",
  "justification": {
    "unstructuredJustification": "Emergency service for outage"
  },
  "state": "APPROVAL_AWAITED",
  "timeline": {
    "events": [
      {
        "eventTime": "2024-03-06T03:08:49.462765846Z",
        "requested": {
          "expireTime": "2024-03-07T03:08:49.462765846Z"
        }
      }
    ]
  },
  "privilegedAccess": {
    "gcpIamAccess": {
      "resourceType": "cloudresourcemanager.googleapis.com/Project",
      "resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
      "roleBindings": [
        {
          "role": "roles/storage.admin"
        }
      ]
    }
  },
  "additionalEmailRecipients": [
    "bola@google.com"
  ]
}