Pode ver o estado e o histórico de uma concessão ou revogar uma concessão para outros diretores se estiver ativa. O histórico de concessões está disponível durante 30 dias após o fim de uma concessão.
Antes de começar
Certifique-se de que ativou o Gestor de acesso privilegiado e configurou as respetivas autorizações.
Veja as concessões através da Trusted Cloud consola
Para ver uma subvenção, siga estas instruções:
Aceda à página Gestor de acesso privilegiado.
Selecione a organização, a pasta ou o projeto no qual quer ver as concessões.
Clique no separador Concessões e, de seguida, no separador Concessões para todos os utilizadores. Este separador contém todas as concessões, os requerentes dessas concessões e o estado das concessões. As concessões podem ter os seguintes estados:
Estado Descrição A activar A concessão está em processo de ativação. A ativação falhou O Privileged Access Manager não conseguiu conceder as funções devido a um erro não repetível. Ativo A concessão está ativa e o principal tem acesso aos recursos permitidos pelas funções. Aprovação aguardada O pedido de concessão está a aguardar uma decisão de um aprovador. Recusado O pedido de concessão foi recusado por um aprovador. Terminado A concessão terminou e as funções foram removidas do principal. Expirado O pedido de concessão expirou porque não foi dada aprovação no prazo de 24 horas. Revogado A concessão é revogada e o principal deixa de ter acesso aos recursos permitidos pelas funções. Revogação A concessão está em processo de revogação. Etiquetas de estado
Além destes estados, as subvenções podem ter as seguintes etiquetas de estado apresentadas junto ao respetivo estado, que indicam condições especiais:
Modificado através do IAM
As associações de políticas de IAM associadas a esta autorização foram modificadas diretamente através da IAM. Para ver detalhes sobre as associações modificadas, consulte a página do IAM naTrusted Cloud consola. Quando uma concessão modificada é revogada ou termina, o Privileged Access Manager remove apenas as associações que criou e que não foram modificadas através do IAM.
A modificação do título ou da expressão da condição do IAM, ou a remoção do acesso do requerente à função concedida, é tratada como uma modificação externa. A adição ou a modificação da descrição da condição da IAM não é considerada uma modificação externa.
O Gestor de acesso privilegiado verifica se existem modificações externas às concessões a cada 5 minutos. Estas alterações podem demorar até 5 minutos a refletirem-se. As alterações transitórias feitas e revertidas neste período de 5 minutos podem não ser detetadas pelo Gestor de acesso privilegiado.
Na tabela, clique em Mais opções na mesma linha que uma autorização que quer inspecionar.
Para ver os detalhes da subvenção, incluindo o respetivo histórico, clique em Ver detalhes. Também pode revogar uma concessão a partir deste painel.
Para revogar uma concessão ativa, clique em Revogar concessão.
Também pode ver as funções concedidas temporariamente na página IAM na Trusted Cloud consola. No separador Ver por principais, as funções concedidas temporariamente têm a condição Criado por: PAM.
Veja concessões através de programação
Para ver as concessões de forma programática, pode pesquisá-las, listá-las e obtê-las.
Pesquise subvenções
gcloud
O comando
gcloud pam grants search
pesquisa uma concessão que criou, que pode aprovar ou
recusar, ou que já aprovou ou recusou. Este método não requer autorizações específicas do
gestor de acesso privilegiado para utilização.
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence. Pode obter o ID ao ver as concessões.-
CALLER_RELATIONSHIP_TYPE: use um dos seguintes valores:had-created: devolve as autorizações que o autor da chamada criou.had-approved: devolve as concessões que o autor da chamada aprovou ou recusou.can-approve: devolve concessões que o autor da chamada pode aprovar ou recusar.
RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valororganization,folderouproject.RESOURCE_ID: usado comRESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Trusted CloudOs IDs dos projetos são strings alfanuméricas, comomy-project. Os IDs das pastas e das organizações são numéricos, como123456789012.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud pam grants search \ --entitlement=ENTITLEMENT_ID \ --caller-relationship=CALLER_RELATIONSHIP_TYPE \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud pam grants search ` --entitlement=ENTITLEMENT_ID ` --caller-relationship=CALLER_RELATIONSHIP_TYPE ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud pam grants search ^ --entitlement=ENTITLEMENT_ID ^ --caller-relationship=CALLER_RELATIONSHIP_TYPE ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Deve receber uma resposta semelhante à seguinte:
additionalEmailRecipients:
- bola@example.com
createTime: '2024-03-07T00:34:32.557017289Z'
justification:
unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/my-project
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
requestedDuration: 3600s
requester: cruz@example.com
state: DENIED
timeline:
events:
- eventTime: '2024-03-07T00:34:32.793769042Z'
requested:
expireTime: '2024-03-08T00:34:32.793769042Z'
- denied:
actor: alex@example.com
reason: Issue has already been resolved
eventTime: '2024-03-07T00:36:08.309116203Z'
updateTime: '2024-03-07T00:34:32.926967128Z'
REST
O método
searchGrants
da API Privileged Access Manager pesquisa uma concessão que criou, pode aprovar ou
recusar, ou já aprovou ou recusou. Este método não requer autorizações específicas do
gestor de acesso privilegiado para utilização.
Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:
SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato deorganizations/ORGANIZATION_ID,folders/FOLDER_IDouprojects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, comomy-project. Os IDs das pastas e das organizações são numéricos, como123456789012.ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence. Pode obter o ID ao ver as concessões.RELATIONSHIP_TYPE: os valores válidos são:HAD_CREATED: devolve as autorizações que o autor da chamada criou.HAD_APPROVED: devolve as concessões que o autor da chamada aprovou ou recusou anteriormente.CAN_APPROVE: devolve concessões que o autor da chamada pode aprovar ou recusar.
FILTER: opcional. Devolve concessões cujos valores de campo correspondem a uma expressão AIP-160.PAGE_SIZE: opcional. O número de itens a devolver numa resposta.PAGE_TOKEN: opcional. A partir de que página deve começar a resposta, usando um token de página devolvido numa resposta anterior.
Método HTTP e URL:
GET https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants:search?callerRelationship=RELATIONSHIP_TYPE&filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Para enviar o seu pedido, expanda uma destas opções:
Deve receber uma resposta JSON semelhante à seguinte:
{
"grants": [
{
"name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
"roleBindings": [
{
"role": "roles/storage.admin"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
Liste as concessões
gcloud
O comando
gcloud pam grants list
lista as concessões que pertencem a um direito específico.
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence. Pode obter o ID ao ver as concessões.RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valororganization,folderouproject.RESOURCE_ID: usado comRESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Trusted CloudOs IDs dos projetos são strings alfanuméricas, comomy-project. Os IDs das pastas e das organizações são numéricos, como123456789012.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud pam grants list \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud pam grants list ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud pam grants list ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Deve receber uma resposta semelhante à seguinte:
createTime: '2024-03-25T23:10:16.952789492Z'
justification:
unstructuredJustification: Adding missing file for service to work properly
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/my-project
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
requestedDuration: 1800s
requester: alex@example.com
state: EXPIRED
timeline:
events:
- eventTime: '2024-03-25T23:10:17.155612987Z'
requested:
expireTime: '2024-03-26T23:10:17.155612987Z'
- eventTime: '2024-03-26T23:10:17.279777370Z'
expired: {}
updateTime: '2024-03-25T23:10:17.273416257Z'
REST
O método listGrants
da API Privileged Access Manager
lista as concessões que pertencem a um direito específico.
Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:
SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato deorganizations/ORGANIZATION_ID,folders/FOLDER_IDouprojects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, comomy-project. Os IDs das pastas e das organizações são numéricos, como123456789012.ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence. Pode obter o ID ao ver as concessões.FILTER: opcional. Devolve concessões cujos valores de campo correspondem a uma expressão AIP-160.PAGE_SIZE: opcional. O número de itens a devolver numa resposta.PAGE_TOKEN: opcional. A partir de que página deve começar a resposta, usando um token de página devolvido numa resposta anterior.
Método HTTP e URL:
GET https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID?filter=FILTER&pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Para enviar o seu pedido, expanda uma destas opções:
Deve receber uma resposta JSON semelhante à seguinte:
{
"grants": [
{
"name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
"roleBindings": [
{
"role": "roles/storage.admin"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}
]
}
Receba subvenções
gcloud
O comando
gcloud pam grants describe
obtém uma concessão específica.
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
GRANT_ID: o ID da concessão cujos detalhes quer consultar.ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence.RESOURCE_TYPE: opcional. O tipo de recurso ao qual a concessão pertence. Use o valororganization,folderouproject.RESOURCE_ID: usado comRESOURCE_TYPE. O ID do projeto, da pasta ou da organização para os quais quer gerir autorizações. Trusted CloudOs IDs dos projetos são strings alfanuméricas, comomy-project. Os IDs das pastas e das organizações são numéricos, como123456789012.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud pam grants describe \ GRANT_ID \ --entitlement=ENTITLEMENT_ID \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud pam grants describe ` GRANT_ID ` --entitlement=ENTITLEMENT_ID ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud pam grants describe ^ GRANT_ID ^ --entitlement=ENTITLEMENT_ID ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID
Deve receber uma resposta semelhante à seguinte:
createTime: '2024-03-25T23:10:16.952789492Z'
justification:
unstructuredJustification: Adding missing file for service to work properly
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
gcpIamAccess:
resource: //cloudresourcemanager.googleapis.com/projects/my-project
resourceType: cloudresourcemanager.googleapis.com/Project
roleBindings:
- role: roles/storage.admin
requestedDuration: 1800s
requester: alex@example.com
state: EXPIRED
timeline:
events:
- eventTime: '2024-03-25T23:10:17.155612987Z'
requested:
expireTime: '2024-03-26T23:10:17.155612987Z'
- eventTime: '2024-03-26T23:10:17.279777370Z'
expired: {}
updateTime: '2024-03-25T23:10:17.273416257Z'
REST
O método getGrant
da API Privileged Access Manager
obtém uma concessão específica.
Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:
SCOPE: a organização, a pasta ou o projeto em que a concessão se encontra, no formato deorganizations/ORGANIZATION_ID,folders/FOLDER_IDouprojects/PROJECT_ID. Os IDs dos projetos são strings alfanuméricas, comomy-project. Os IDs das pastas e das organizações são numéricos, como123456789012.ENTITLEMENT_ID: o ID da concessão de direitos a que a concessão pertence.GRANT_ID: o ID da subvenção para a qual quer os detalhes.
Método HTTP e URL:
GET https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
Para enviar o seu pedido, expanda uma destas opções:
Deve receber uma resposta JSON semelhante à seguinte:
{
"name": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
"createTime": "2024-03-06T03:08:49.330577625Z",
"updateTime": "2024-03-06T03:08:49.625874598Z",
"requester": "alex@example.com",
"requestedDuration": "3600s",
"justification": {
"unstructuredJustification": "Emergency service for outage"
},
"state": "APPROVAL_AWAITED",
"timeline": {
"events": [
{
"eventTime": "2024-03-06T03:08:49.462765846Z",
"requested": {
"expireTime": "2024-03-07T03:08:49.462765846Z"
}
}
]
},
"privilegedAccess": {
"gcpIamAccess": {
"resourceType": "cloudresourcemanager.googleapis.com/Project",
"resource": "//cloudresourcemanager.googleapis.com/projects/my-project",
"roleBindings": [
{
"role": "roles/storage.admin"
}
]
}
},
"additionalEmailRecipients": [
"bola@google.com"
]
}