Halaman ini diterjemahkan oleh Cloud Translation API.

Menyetujui permintaan Persetujuan Akses

Dokumen ini menjelaskan cara menyetujui permintaan Persetujuan Akses.

Sebelum memulai

Pastikan Anda memahami konsep di halaman Ringkasan.
Berikan peran IAM Access Approval Approver (roles/accessapproval.approver) pada project, folder, atau organisasi kepada prinsipal yang Anda inginkan agar dapat melakukan persetujuan. Anda dapat memberikan peran IAM Access Approval Approver kepada pengguna individual, akun layanan, atau grup Google.

Jika menggunakan kunci penandatanganan kustom, Anda juga harus memberikan peran IAM Penandatangan/Pemverifikasi CryptoKey Cloud KMS (roles/cloudkms.signerVerifier) ke akun layanan Persetujuan Akses untuk resource Anda. Jika menggunakan kunci penandatanganan yang dikelola Google, Anda tidak perlu memberikan izin lain.

Untuk mengetahui informasi tentang cara memberikan peran IAM, lihat Memberikan satu peran.

Mengonfigurasi setelan untuk menerima notifikasi

Anda memiliki opsi berikut untuk menerima permintaan Persetujuan Akses:

Menerima permintaan melalui email.
Menerima permintaan melalui Pub/Sub.

Anda dapat memilih kedua opsi ini dengan mengikuti petunjuk di bagian Menyiapkan notifikasi email dan Pub/Sub.

Menyetujui permintaan Persetujuan Akses

Setelah Anda mendaftarkan beberapa pengguna sebagai pemberi persetujuan, pengguna tersebut akan menerima semua permintaan akses.

Konsol

Untuk menyetujui permintaan Persetujuan Akses menggunakan konsol Google Cloud, lakukan hal berikut:

Untuk melihat semua permintaan persetujuan yang tertunda, buka halaman Access Approval di konsol Google Cloud.

Buka Access Approval

Jika memilih untuk menerima permintaan Persetujuan Akses melalui email, Anda juga dapat membuka halaman ini dengan mengklik link di email yang dikirimkan kepada Anda dengan permintaan persetujuan.

Catatan: Anda hanya dapat melihat permintaan Persetujuan Akses yang tertunda untuk tingkat hierarki yang telah Anda pilih. Misalnya, jika telah memilih folder, Anda hanya dapat melihat permintaan Persetujuan Akses yang dibuat untuk resource level folder, bukan semua project dalam folder tersebut.
Untuk menyetujui permintaan, klik Setujui.

Anda juga memiliki opsi untuk menolak permintaan tersebut. Menolak permintaan bersifat opsional karena akses akan terus ditolak meskipun Anda tidak menolak permintaan tersebut.

Jika Anda tidak menyetujui permintaan akses karyawan Google dalam waktu 14 hari atau sebelum masa berlaku permintaan berakhir, permintaan akan otomatis ditutup.
Di kotak dialog yang terbuka, pilih tanggal dan waktu saat Anda ingin akses berakhir.

Catatan: Opsi setujui secara massal tidak memungkinkan Anda memilih tanggal dan waktu habis masa berlaku.
Pilih Setujui untuk menyetujui akses hingga tanggal dan waktu habis masa berlaku yang ditetapkan.
Opsional: Untuk memvalidasi tanda tangan pada permintaan setelah menyetujuinya, ikuti langkah-langkah yang diberikan di Memvalidasi tanda tangan permintaan.

cURL

Untuk menyetujui permintaan Persetujuan Akses menggunakan cURL, lakukan hal berikut:

Ambil nama approvalRequest dari pesan Pub/Sub.

Lakukan panggilan API untuk menyetujui atau menutup approvalRequest tersebut.

 # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

Anda dapat membalas permintaan dengan salah satu opsi berikut:

Tindakan	Efek	Status akses Google
`:approve`	Menyetujui permintaan.	Ditolak sebelum persetujuan, disetujui setelah persetujuan.
`:dismiss`	Menolak permintaan persetujuan. Sebaiknya tutup permintaan akses, bukan tidak mengambil tindakan apa pun. Menolak permintaan akses akan meminta karyawan Google untuk menindaklanjuti.	Ditolak sebelum pemecatan, ditolak setelah pemecatan.
Tidak ada tindakan	Akses karyawan Google masih ditolak. Karyawan Google harus membuka permintaan baru untuk mengakses resource setelah waktu `requestedExpiration` berlalu.	Ditolak sebelum tidak ada tindakan, ditolak setelah waktu habis masa berlaku.

Setelah Anda menyetujui permintaan, status permintaan akan berubah menjadi Approved. Setiap karyawan Google dengan karakteristik yang cocok dengan cakupan persetujuan dapat membuat akses dalam jangka waktu yang disetujui. Karakteristik pencocokan ini mencakup justifikasi, lokasi, atau lokasi meja yang sama.

Persetujuan Akses tidak memberikan peran IAM atau izin baru kepada karyawan Google yang meminta akses.

Jika Anda tidak menyetujui permintaan akses karyawan Google, akses akan ditolak untuk karyawan Google tersebut. Menolak permintaan hanya akan menghapusnya dari daftar permintaan yang tertunda. Jika Anda gagal menolak permintaan persetujuan, akses akan terus ditolak.

Setelah diaktifkan, Transparansi Akses akan mencatat semua akses ke konten inti pelanggan yang Anda setujui.

Akses ke personel Google diizinkan hingga masa berlaku persetujuan berakhir atau justifikasi untuk akses tidak lagi valid. Misalnya, akses akan berakhir jika kasus dukungan yang aksesnya diminta oleh personel Google ditutup.

Langkah selanjutnya

Pelajari tindakan oleh personel Google yang dikecualikan dari notifikasi Persetujuan Akses.
Pelajari kolom dalam permintaan Persetujuan Akses.