批准 Access Approval 请求
本文档介绍如何批准访问权限审批请求。
准备工作
请确保您了解概览页面中的概念。
将项目、文件夹或组织的 Access Approval Approver (
roles/accessapproval.approver
) IAM 角色授予您希望能够执行批准的主账号。您可以将 Access Approval Approver IAM 角色 个人用户、服务账号或 Google 群组。如果您使用的是自定义签名密钥,则需要 还必须授予 Cloud KMS CryptoKey Signer/Verifier (
roles/cloudkms.signerVerifier
) IAM 角色分配给 您的资源的 Access Approval 服务账号。如果您使用的是 Google 管理的签名密钥,则无需提供任何其他权限。如需了解如何授予 IAM 角色,请参阅授予单个角色。
配置设置以接收通知
您可以通过以下选项接收访问权限审批请求:
- 通过电子邮件接收请求。
- 通过 Pub/Sub 接收请求。
您可以按照设置电子邮件和 Pub/Sub 通知中的说明,同时选择这两种选项。
批准 Access Approval 请求
您将部分用户注册为审批人后,这些用户将获得所有 权限申请。
控制台
要使用 Google Cloud 控制台中,请执行以下操作:
如需查看所有待审批请求,请前往 Google Cloud 控制台中的 Access Approval 页面。
如果您已选择通过电子邮件接收访问权限审批请求,也可以点击发送给您的电子邮件中包含相应审批请求的链接,前往此页面。
要批准申请,请点击批准。
您也可以选择拒绝请求。忽略请求是可选操作,因为即使您不忽略请求,访问也会被拒绝。
如果您没有在 14 天内批准 Google 员工的访问请求, 天或请求过期前,系统会自动 已关闭。
在随即打开的对话框中,选择您希望访问权限失效的日期和时间。
选择批准可在设定的到期日期之前批准访问权限, 。
可选:如需在批准请求后验证其签名,请按照验证请求签名中的步骤操作。
cURL
如需使用 c网址 批准 Access Approval 请求,请执行以下操作:
- 从 Pub/Sub 消息中获取
approvalRequest
名称。 进行 API 调用以批准或拒绝该
approvalRequest
。# HTTP POST request with empty body (an effect of using -d '') # service-account-credential.json is attained by going to the # IAM -> Service Accounts menu in the cloud console and creating # a service account. curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \ -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve
您可以使用以下任一选项回复请求:
操作 影响 Google 访问状态 :approve
批准请求。 在批准前处于已拒绝状态,在批准后处于已批准状态。 :dismiss
拒绝要批准的请求。我们建议您拒绝该访问权限请求,而不是采取任何措施。如果关闭访问权限请求,系统会提示 Google 员工进行跟进。 在拒绝前处理已拒绝状态,在拒绝后处于已拒绝状态。 无操作 Google 员工访问仍被拒绝。 requestedExpiration
时间过后,Google 员工需要提出新的资源访问请求。在未采取任何操作之前处于已拒绝状态,在到期时间之后处于已拒绝状态。
您批准请求后,请求状态会更改为 Approved
。特征与批准范围相符的任何 Google 员工都可以在批准的时间范围内进行访问。这些匹配特征包括
相同的理由、位置或办公桌位置。
Access Approval 不会向请求访问权限的 Google 员工提供任何 IAM 角色或任何新权限。
如果您不批准 Google 员工的访问请求,系统会拒绝 Google 员工的访问。拒绝请求只会将其从 待处理的请求。如果您未拒绝批准请求,用户将继续拥有访问权限 将被拒绝。
启用后,Access Transparency 会记录对您批准的核心客户内容的所有访问。
在批准过期或 访问理由已失效。例如,如果 Google 员工请求访问的支持请求已关闭。