ביטול הרשאות ב-Privileged Access Manager

אחרי שגורם ראשי מבקש הרשאה בהצלחה להשתמש בהרשאה מסוימת, וההרשאה פעילה, גורמים ראשיים עם הרשאת privilegedaccessmanager.grants.revoke יכולים לבטל את ההרשאה. אי אפשר לבטל הרשאות שאין להן סטטוס פעיל.

לפני שמתחילים

חשוב לוודא שהפעלתם את Privileged Access Manager והגדרתם לו הרשאות.

ביטול הרשאות באמצעות מסוף Google Cloud

כדי לבטל הרשאה ספציפית שניתנה לזכאות, פועלים לפי ההוראות הבאות:

  1. עוברים לדף Privileged Access Manager.

    כניסה ל-Privileged Access Manager

  2. בוחרים את הארגון, התיקייה או הפרויקט שבהם רוצים לבטל את ההרשאות.

  3. לוחצים על הכרטיסייה הרשאות ואז על הכרטיסייה הרשאות לכל המשתמשים. הדוח הזה מכיל את כל ההרשאות לכל המבקשים, את הסטטוסים של ההרשאות ואת פרטי הזכאות שמשויכים להן.

  4. בטבלה, לוחצים על אפשרויות נוספות באותה שורה של ההרשאה שרוצים לבטל.

  5. כדי לבטל הרשאה פעילה, לוחצים על ביטול ההרשאה.

כדי לבטל את כל בקשות הגישה הפעילות שניתנו להרשאה, פועלים לפי ההוראות הבאות:

  1. עוברים לדף Privileged Access Manager.

    כניסה ל-Privileged Access Manager

  2. לוחצים על הכרטיסייה זכויות גישה ואז על הכרטיסייה זכויות גישה לכל המשתמשים. כאן אפשר לראות את ההרשאות הזמינות, את התפקידים שהן מעניקות ואת המבקשים והמאשרים שלהן.

  3. בטבלה, לוחצים על אפשרויות נוספות באותה שורה של ההרשאה שרוצים לבטל.

  4. לוחצים על ביטול כל ההרשאות.

ביטול הרשאות באופן פרוגרמטי

gcloud

הפקודה gcloud pam grants revoke מבטלת הרשאה פעילה.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • GRANT_ID: המזהה של ההרשאה שרוצים לבטל. אפשר לאחזר את המזהה על ידי צפייה בהרשאות.
  • ENTITLEMENT_ID: המזהה של ההרשאה שאליה שייכת ההענקה.
  • REVOKE_REASON: הסיבה לשלילת הגישה.
  • RESOURCE_TYPE: אופציונלי. סוג המשאב שאליו שייכת ההרשאה. אפשר להשתמש בערך organization,‏ folder או project.
  • RESOURCE_ID: משמש עם RESOURCE_TYPE. המזהה של הפרויקט, התיקייה או הארגון שרוצים לנהל את ההרשאות שלהם. Google Cloudמזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.

מריצים את הפקודה הבאה:

‫Linux,‏ macOS או Cloud Shell

gcloud pam grants revoke \
     GRANT_ID \
    --entitlement=ENTITLEMENT_ID \
    --reason="REVOKE_REASON" \
    --location=global \
    --RESOURCE_TYPE=RESOURCE_ID

‏Windows (PowerShell)

gcloud pam grants revoke `
     GRANT_ID `
    --entitlement=ENTITLEMENT_ID `
    --reason="REVOKE_REASON" `
    --location=global `
    --RESOURCE_TYPE=RESOURCE_ID

Windows‏ (cmd.exe)

gcloud pam grants revoke ^
     GRANT_ID ^
    --entitlement=ENTITLEMENT_ID ^
    --reason="REVOKE_REASON" ^
    --location=global ^
    --RESOURCE_TYPE=RESOURCE_ID

אמורים לקבל תגובה שדומה לזו:

auditTrail:
  accessGrantTime: '2024-04-05T00:29:16.703069535Z'
  accessRemoveTime: '2024-04-05T00:29:55.815041079Z'
createTime: '2024-04-05T00:27:43.822053968Z'
justification:
  unstructuredJustification: Renaming a file to mitigate issue #312
name: projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID
privilegedAccess:
  gcpIamAccess:
    resource: //cloudresourcemanager.googleapis.com/projects/my-project
    resourceType: cloudresourcemanager.googleapis.com/Project
    roleBindings:
    - role: roles/storage.admin
requestedDuration: 2700s
requester: cruz@example.com
state: REVOKED
timeline:
  events:
  - eventTime: '2024-04-05T00:27:44.014277946Z'
    requested:
      expireTime: '2024-04-06T00:27:44.014277946Z'
  - approved:
      actor: alex@example.com
      reason: Access allowed under existing policy
    eventTime: '2024-04-05T00:29:14.921828714Z'
  - eventTime: '2024-04-05T00:29:14.921763008Z'
    scheduled:
      scheduledActivationTime: '2024-04-05T00:29:14.921763008Z'
  - activated: {}
    eventTime: '2024-04-05T00:29:16.703069535Z'
  - eventTime: '2024-04-05T00:29:55.815041079Z'
    revoked:
      actor: alex@example.com
      reason: Revoking due to new access policy

REST

ה-method revokeGrant של Privileged Access Manager API מבטלת הרשאה פעילה.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • SCOPE: הארגון, התיקייה או הפרויקט שבהם נמצאת הזכאות, בפורמט organizations/ORGANIZATION_ID,‏ folders/FOLDER_ID או projects/PROJECT_ID. מזהי פרויקטים הם מחרוזות אלפאנומריות, כמו my-project. מזהי תיקיות וארגונים מכילים רק ספרות, למשל 123456789012.
  • ENTITLEMENT_ID: המזהה של ההרשאה שאליה שייכת ההענקה.
  • GRANT_ID: המזהה של ההרשאה שרוצים לבטל. אפשר לאחזר את המזהה על ידי צפייה בהרשאות.
  • REVOKE_REASON: הסיבה לשלילת הגישה.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID:revoke

תוכן בקשת JSON: 

{
  "reason": "REVOKE_REASON"
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "projects/my-project/locations/global/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1.OperationMetadata",
    "createTime": "2024-03-06T23:07:48.716396505Z",
    "target": "projects/my-project/locations/global/entitlements/ENTITLEMENT_ID/grants/GRANT_ID",
    "verb": "update",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

כדי לבדוק את התקדמות הפעולה של ביטול הגישה, אפשר לשלוח בקשת GET לנקודת הקצה הבאה: 

https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations/OPERATION_ID

כדי לראות רשימה של כל הפעולות, שולחים בקשת GET לנקודת הקצה הבאה:

https://privilegedaccessmanager.googleapis.com/v1/SCOPE/locations/global/operations