如要開始建立、修改或管理 Privileged Access Manager 權利和授權,主體必須具備適當的權限。服務也必須在機構、資料夾或專案層級設定。
要求授權和核准或拒絕授權的主體,都不需要任何 Privileged Access Manager 專屬權限。
事前準備
確認您具備設定及管理 Privileged Access Manager 權限所需的 Identity and Access Management (IAM) 權限。
如要取得使用權利和授權所需的權限,請要求管理員在機構、資料夾或專案中授予下列 IAM 角色:
-
如要建立、更新及刪除機構的授權:
Privileged Access Manager 管理員 (
roles/privilegedaccessmanager.admin) 和安全管理員 (roles/iam.securityAdmin) -
如要建立、更新及刪除資料夾的權利,請確認您具備下列角色:
Privileged Access Manager 管理員和資料夾 IAM 管理員 (
roles/resourcemanager.folderAdmin) -
如要建立、更新及刪除專案的權利,請指派下列角色:
Privileged Access Manager 管理員和專案 IAM 管理員 (
roles/resourcemanager.projectIamAdmin) -
如要查看權利和授權:
Privileged Access Manager 檢視者 (
roles/privilegedaccessmanager.viewer) -
如要查看稽核記錄,請按照下列步驟操作:
「記錄檢視器」 (
roles/logs.viewer)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
這些預先定義的角色具備處理授權和授予項目所需的權限。如要查看確切的必要權限,請展開「必要權限」部分:
所需權限
如要使用授權和授予功能,必須具備下列權限:
-
如要在機構層級啟用 Privileged Access Manager,請按照下列步驟操作:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.organizations.get -
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy -
serviceusage.services.enable
-
-
如要管理機構的授權和補助,請按照下列步驟操作:
-
resourcemanager.organizations.get -
resourcemanager.organizations.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
如要查看機構的權利和授權:
-
resourcemanager.organizations.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
如要在資料夾層級啟用 Privileged Access Manager,請按照下列步驟操作:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.folders.get -
resourcemanager.folders.getIamPolicy -
resourcemanager.folders.setIamPolicy -
serviceusage.services.enable
-
-
如要管理資料夾的權利和授權:
-
resourcemanager.folders.get -
resourcemanager.folders.setIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
如要查看資料夾的權利和授權:
-
resourcemanager.folders.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
如要在專案層級啟用 Privileged Access Manager,請按照下列步驟操作:
-
privilegedaccessmanager.locations.checkOnboardingStatus -
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
resourcemanager.projects.setIamPolicy -
serviceusage.services.enable
-
-
如要管理專案的權利和授權:
-
resourcemanager.projects.get -
resourcemanager.projects.getIamPolicy -
privilegedaccessmanager.entitlements.create -
privilegedaccessmanager.entitlements.delete -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.entitlements.setIamPolicy -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.grants.revoke -
privilegedaccessmanager.operations.delete -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
如要查看專案的授權和授予項目:
-
resourcemanager.projects.get -
privilegedaccessmanager.entitlements.get -
privilegedaccessmanager.entitlements.list -
privilegedaccessmanager.grants.get -
privilegedaccessmanager.grants.list -
privilegedaccessmanager.operations.get -
privilegedaccessmanager.operations.list
-
-
如要查看稽核記錄,請按照下列步驟操作:
logging.logEntries.list
啟用 Privileged Access Manager
如要啟用 Privileged Access Manager,您必須將Privileged Access Manager 服務代理角色授予機構、資料夾或專案的 Privileged Access Manager 服務代理。
如要將這個角色授予服務代理,請按照下列步驟操作:
前往「Privileged Access Manager」頁面。
選取要啟用 Privileged Access Manager 的機構、資料夾或專案。
按一下「設定 PAM」即可開始設定程序。
如要授予 Privileged Access Manager 服務代理角色給 Privileged Access Manager 服務代理,讓對方管理權限提升作業,請按一下「授予角色」。
確認已將 Privileged Access Manager 服務代理新增至下列安全控制項:
拒絕政策:將 Privileged Access Manager 服務代理程式新增至政策的
exceptionPrincipals欄位。VPC Service Controls:將 Privileged Access Manager 服務代理程式新增至適當的存取層級,或在服務範圍中新增輸入規則,允許服務代理程式存取。
按一下「完成設定」。
允許 Privileged Access Manager 電子郵件地址
如果電子郵件帳戶和群組會收到 Privileged Access Manager 電子郵件通知,請將 pam-noreply@google.com 加入允許清單,確保電子郵件不會遭到封鎖。