Privileged Access Manager 設定の管理者は、承認ワークフローと通知設定に関する追加の設定を構成できます。
組織レベルまたはフォルダレベルで構成した設定は、子リソース レベルで明示的にオーバーライドしない限り、子リソースに自動的に適用されます。
サービス アカウントを承認者として有効にできます。この設定により、管理者は利用資格の作成または変更時に、サービス アカウントと Workload Identity プール内の ID を承認者として追加できます。
特定イベントと特定のペルソナの通知を無効にするか、すべての通知を無効にすることで、さまざまな Privileged Access Manager イベントのリソース全体の通知設定をカスタマイズできます。
始める前に
Privileged Access Manager の設定を構成するために必要な権限を取得するには、次の IAM ロールを付与するよう管理者に依頼してください。
-
プロジェクト、フォルダ、組織の設定を構成する: 組織に対する PAM 設定管理者 (
roles/privilegedaccessmanager.settingsAdmin) -
プロジェクト、フォルダ、組織の設定を表示する: プロジェクト、フォルダ、組織に対する PAM 設定閲覧者 (
roles/privilegedaccessmanager.settingsViewer)
これらの事前定義ロールには、Privileged Access Manager の設定に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
Privileged Access Manager の設定を構成するには、次の権限が必要です。
-
設定を構成します。
privilegedaccessmanager.settings.update -
設定を表示する:
-
privilegedaccessmanager.settings.get -
privilegedaccessmanager.settings.fetchEffective
-
承認者としてサービス アカウントを有効にする
コンソール
[Privileged Access Manager] ページに移動します。
組織、フォルダ、プロジェクトを選択します。
[設定] タブをクリックします。[設定のソース] セクションでは、デフォルトで [親から継承] が選択されています。
子リソースで親リソースから継承された設定をオーバーライドするには、[承認者としてのサービス アカウント] セクションで [継承をオーバーライド] を選択します。
承認者としてサービス アカウントを有効にする設定を有効にするには、[承認者としてサービス アカウントを有効にする] 切り替えボタンをオンにして、[保存] をクリックします。
gcloud
gcloud alpha pam settings update コマンドは、追加の Privileged Access Manager を構成します。
後述のコマンドデータを使用する前に、次のように置き換えます。
RESOURCE_TYPE: 省略可。設定を更新するリソースタイプ。値organization、folder、またはprojectを使用します。RESOURCE_ID:RESOURCE_TYPEとともに使用します。利用資格を管理する Google Cloudプロジェクト、フォルダ、または組織の ID。プロジェクト ID は英数字からなる文字列です(例:my-project)。フォルダ ID と組織 ID は数値です(例:123456789012)。SA_AS_APPROVER: サービス アカウントが権限付与を承認できるかどうかを示すserviceAccountApproverSettingsフィールドのブール値。デフォルト値はfalseです。serviceAccountApproverSettingsフィールドに値を指定すると、その設定がリソースに適用されます。serviceAccountApproverSettingsフィールドを指定しても空のままにすると、デフォルト設定がリソースに適用されます。serviceAccountApproverSettingsフィールドをまったく指定しない場合、リソースは親リソースから設定を継承します。
この設定を無効にすると、サービス アカウントからの承認が必要な権限付与は承認されません。利用資格の承認者がサービス アカウントのみの場合、その利用資格は有効になりません。
request.json: 変更された設定を含むファイル。このファイルを作成するには、既存の設定を取得し、request.jsonという名前のファイルに保存します。次に、このファイルを更新リクエストの本文として使用するように変更します。最新バージョンの設定を更新するには、本文に ETAG を含める必要があります。
次の内容を filename.yaml という名前のファイルに保存します。
emailNotificationSettings: customNotificationBehavior: adminNotifications: grantActivated: NOTIFICATION_MODE_1 grantActivationFailed: DISABLED grantEnded: ENABLED grantExternallyModified: ENABLED approverNotifications: pendingApproval: NOTIFICATION_MODE_2 requesterNotifications: entitlementAssigned: ENABLED grantActivated: ENABLED grantExpired: NOTIFICATION_MODE_3 grantRevoked: ENABLED etag:'"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md"' name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings serviceAccountApproverSettings: enabled: SA_AS_APPROVER
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud alpha pam settings update \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID \ --settings-file FILENAME.yaml
Windows(PowerShell)
gcloud alpha pam settings update ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID ` --settings-file FILENAME.yaml
Windows(cmd.exe)
gcloud alpha pam settings update ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID ^ --settings-file FILENAME.yaml
次のようなレスポンスが返されます。
Parsed [location] resource: RESOURCE_TYPE/RESOURCE_ID/locations/global
Request issued for: [global]
Updated location [global].
createTime: '2025-05-18T10:10:10.101010101Z'
emailNotificationSettings:
customNotificationBehavior:
adminNotifications:
grantActivated: ENABLED
grantActivationFailed: DISABLED
grantEnded: ENABLED
grantExternallyModified: ENABLED
approverNotifications:
pendingApproval: ENABLED
requesterNotifications:
entitlementAssigned: ENABLED
grantActivated: ENABLED
grantExpired: ENABLED
grantRevoked: ENABLED
etag: "ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md1"
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings
serviceAccountApproverSettings:
enabled: true
updateTime: '2025-05-18T10:10:40.101010101Z'
REST
Privileged Access Manager API の updateSettings メソッドは、追加の Privileged Access Manager を構成します。
リクエストのデータを使用する前に、次のように置き換えます。
SCOPE: 設定を更新する組織、フォルダ、またはプロジェクト。organizations/ORGANIZATION_ID、folders/FOLDER_ID、またはprojects/PROJECT_IDの形式で指定します。プロジェクト ID は英数字からなる文字列です(例:my-project)。フォルダ ID と組織 ID は数値です(例:123456789012)。UPDATED_FIELDS: 設定で更新する必要があるフィールドのカンマ区切りリスト。例:emailNotificationSettings,serviceAccountApproverSettings変更可能なすべてのフィールドを更新するには、更新マスクを
*に設定します。SA_AS_APPROVER: サービス アカウントが権限付与を承認できるかどうかを示すserviceAccountApproverSettingsフィールドのブール値。デフォルト値はfalseです。serviceAccountApproverSettingsフィールドに値を指定すると、その設定がリソースに適用されます。serviceAccountApproverSettingsフィールドを指定しても空のままにすると、デフォルト設定がリソースに適用されます。serviceAccountApproverSettingsフィールドをまったく指定しない場合、リソースは親リソースから設定を継承します。
この設定を無効にすると、サービス アカウントからの承認が必要な権限付与は承認されません。利用資格の承認者がサービス アカウントのみの場合、その利用資格は有効になりません。
request.json: 変更された設定を含むファイル。このファイルを作成するには、既存の設定を取得し、request.jsonという名前のファイルに保存します。次に、このファイルを更新リクエストの本文として使用するように変更します。最新バージョンの設定を更新するには、本文に ETAG を含める必要があります。
HTTP メソッドと URL:
PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS
リクエストの本文(JSON):
{
"emailNotificationSettings": {
"customNotificationBehavior": {
"adminNotifications": {
"grantActivated": "NOTIFICATION_MODE_1",
"grantActivationFailed": "DISABLED",
"grantEnded": "ENABLED",
"grantExternallyModified": "ENABLED"
},
"approverNotifications": {
"pendingApproval": "NOTIFICATION_MODE_2"
},
"requesterNotifications": {
"entitlementAssigned": "ENABLED",
"grantActivated": "ENABLED",
"grantExpired": "NOTIFICATION_MODE_3",
"grantRevoked": "ENABLED"
}
}
},
"etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
"name": "SCOPE/locations/global/settings",
"serviceAccountApproverSettings": {
"enabled": SA_AS_APPROVER
}
}
リクエストを送信するには、次のいずれかのオプションを展開します。
次のような JSON レスポンスが返されます。
{
"name": "SCOPE/locations/global/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
"createTime": "2024-03-25T01:55:02.544562950Z",
"target": "SCOPE/locations/global/settings",
"verb": "update",
"requestedCancellation": false,
"apiVersion": "v1beta"
},
"done": false
}
更新オペレーションの進行状況を確認するには、次のエンドポイントに GET リクエストを送信します。
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID
次のエンドポイントに GET リクエストを送信して、すべてのオペレーションのリストを取得します。
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations
通知設定をカスタマイズする
コンソール
[Privileged Access Manager] ページに移動します。
組織、フォルダ、プロジェクトを選択します。
[Settings] タブをクリックします。
[通知] セクションでは、デフォルトで [親から継承] が選択されています。
次の表に、デフォルトの通知設定を示します。
イベント 管理者 リクエスト元 承認者 利用資格が割り当てられました - ✓ - 権限付与には承認が必要です - - ✓ 付与が有効になった ✓ ✓ - 権限付与が拒否される - ✓ - 付与の有効期限が切れている - ✓ - 付与が終了しました ✓ ✓ - 権限付与が取り消される - ✓ - 権限付与が外部で変更されている ✓ ✓ - 権限付与を有効にできませんでした ✓ ✓ - 親からの設定の継承をオーバーライドするには、[次のイベントの通知を送信する] 切り替えをオンにします。
必要な PAM イベントとペルソナの通知を無効にするには、対応するチェックボックスをオフにして、[保存] をクリックします。
すべての通知を無効にするには、[次のイベントの通知を送信する] をオフにして、[保存] をクリックします。
gcloud
gcloud alpha pam settings update コマンドは、追加の Privileged Access Manager を構成します。
後述のコマンドデータを使用する前に、次のように置き換えます。
RESOURCE_TYPE: 省略可。設定を更新するリソースタイプ。値organization、folder、またはprojectを使用します。RESOURCE_ID:RESOURCE_TYPEとともに使用します。利用資格を管理する Google Cloudプロジェクト、フォルダ、または組織の ID。プロジェクト ID は英数字からなる文字列です(例:my-project)。フォルダ ID と組織 ID は数値です(例:123456789012)。NOTIFICATION_MODE:emailNotificationSettingsフィールドで、ENABLEDを使用してイベントの通知メールを送信するか、DISABLEDを使用して送信しないようにします。emailNotificationSettingsフィールドに値を指定すると、その設定がリソースに適用されます。emailNotificationSettingsフィールドを指定しても空のままにすると、デフォルト設定がリソースに適用されます。emailNotificationSettingsフィールドをまったく指定しない場合、リソースは親リソースから設定を継承します。
request.json: 変更された設定を含むファイル。このファイルを作成するには、既存の設定を取得し、request.jsonという名前のファイルに保存します。次に、このファイルを更新リクエストの本文として使用するように変更します。最新バージョンの設定を更新するには、本文に ETAG を含める必要があります。
次の内容を filename.yaml という名前のファイルに保存します。
emailNotificationSettings: customNotificationBehavior: adminNotifications: grantActivated: NOTIFICATION_MODE_1 grantActivationFailed: DISABLED grantEnded: ENABLED grantExternallyModified: ENABLED approverNotifications: pendingApproval: NOTIFICATION_MODE_2 requesterNotifications: entitlementAssigned: ENABLED grantActivated: ENABLED grantExpired: NOTIFICATION_MODE_3 grantRevoked: ENABLED etag:'"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md"' name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings serviceAccountApproverSettings: enabled: SA_AS_APPROVER
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud alpha pam settings update \ --location=global \ --RESOURCE_TYPE=RESOURCE_ID \ --settings-file FILENAME.yaml
Windows(PowerShell)
gcloud alpha pam settings update ` --location=global ` --RESOURCE_TYPE=RESOURCE_ID ` --settings-file FILENAME.yaml
Windows(cmd.exe)
gcloud alpha pam settings update ^ --location=global ^ --RESOURCE_TYPE=RESOURCE_ID ^ --settings-file FILENAME.yaml
次のようなレスポンスが返されます。
Parsed [location] resource: RESOURCE_TYPE/RESOURCE_ID/locations/global
Request issued for: [global]
Updated location [global].
createTime: '2025-05-18T10:10:10.101010101Z'
emailNotificationSettings:
customNotificationBehavior:
adminNotifications:
grantActivated: ENABLED
grantActivationFailed: DISABLED
grantEnded: ENABLED
grantExternallyModified: ENABLED
approverNotifications:
pendingApproval: ENABLED
requesterNotifications:
entitlementAssigned: ENABLED
grantActivated: ENABLED
grantExpired: ENABLED
grantRevoked: ENABLED
etag: "ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md1"
name: RESOURCE_TYPE/RESOURCE_ID/locations/global/settings
serviceAccountApproverSettings:
enabled: true
updateTime: '2025-05-18T10:10:40.101010101Z'
REST
Privileged Access Manager API の updateSettings メソッドは、追加の Privileged Access Manager を構成します。
リクエストのデータを使用する前に、次のように置き換えます。
SCOPE: 設定を更新する組織、フォルダ、またはプロジェクト。organizations/ORGANIZATION_ID、folders/FOLDER_ID、またはprojects/PROJECT_IDの形式で指定します。プロジェクト ID は英数字からなる文字列です(例:my-project)。フォルダ ID と組織 ID は数値です(例:123456789012)。UPDATED_FIELDS: 設定で更新する必要があるフィールドのカンマ区切りリスト。例:emailNotificationSettings,serviceAccountApproverSettings変更可能なすべてのフィールドを更新するには、更新マスクを
*に設定します。NOTIFICATION_MODE:emailNotificationSettingsフィールドで、ENABLEDを使用してイベントの通知メールを送信するか、DISABLEDを使用して送信しないようにします。-
emailNotificationSettingsフィールドに値を指定すると、その設定がリソースに適用されます。 emailNotificationSettingsフィールドを指定しても空のままにすると、デフォルト設定がリソースに適用されます。emailNotificationSettingsフィールドをまったく指定しない場合、リソースは親リソースから設定を継承します。
-
request.json: 変更された設定を含むファイル。このファイルを作成するには、既存の設定を取得し、request.jsonという名前のファイルに保存します。次に、このファイルを更新リクエストの本文として使用するように変更します。最新バージョンの設定を更新するには、本文に ETAG を含める必要があります。
HTTP メソッドと URL:
PATCH https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/settings?updateMask=UPDATED_FIELDS
リクエストの本文(JSON):
{
"emailNotificationSettings": {
"customNotificationBehavior": {
"adminNotifications": {
"grantActivated": "NOTIFICATION_MODE_1",
"grantActivationFailed": "DISABLED",
"grantEnded": "ENABLED",
"grantExternallyModified": "ENABLED"
},
"approverNotifications": {
"pendingApproval": "NOTIFICATION_MODE_2"
},
"requesterNotifications": {
"entitlementAssigned": "ENABLED",
"grantActivated": "ENABLED",
"grantExpired": "NOTIFICATION_MODE_3",
"grantRevoked": "ENABLED"
}
}
},
"etag": "\"ZjlkNWZlMWUtNDlhYS00YjJjAYlzNWYtZWFkNGVjOWU3NWMkBwYRsottW5Md\"",
"name": "SCOPE/locations/global/settings",
"serviceAccountApproverSettings": {
"enabled": SA_AS_APPROVER
}
}
リクエストを送信するには、次のいずれかのオプションを展開します。
次のような JSON レスポンスが返されます。
{
"name": "SCOPE/locations/global/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/google.cloud.privilegedaccessmanager.v1beta.OperationMetadata",
"createTime": "2024-03-25T01:55:02.544562950Z",
"target": "SCOPE/locations/global/settings",
"verb": "update",
"requestedCancellation": false,
"apiVersion": "v1beta"
},
"done": false
}
更新オペレーションの進行状況を確認するには、次のエンドポイントに GET リクエストを送信します。
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations/OPERATION_ID
次のエンドポイントに GET リクエストを送信して、すべてのオペレーションのリストを取得します。
https://privilegedaccessmanager.googleapis.com/v1beta/SCOPE/locations/global/operations