Se usó la API de Cloud Translation para traducir esta página.

Aprueba solicitudes de aprobación de acceso

En este documento, se explica cómo aprobar una solicitud de Aprobación de acceso.

Antes de comenzar

Asegúrate de comprender los conceptos Descripción general.
Otorga el rol de IAM Autorizador de aprobación de acceso (roles/accessapproval.approver) en el proyecto, la carpeta o la organización al principal que deseas que pueda realizar las aprobaciones. Puedes otorgar el rol de IAM de Aprobador de aprobaciones de acceso a un usuario individual, a una cuenta de servicio o a un Grupo de Google.

Si usas una clave de firma personalizada, también debe otorgar al verificador/firmante de CryptoKey de Cloud KMS (roles/cloudkms.signerVerifier) rol de IAM al Cuenta de servicio de Aprobación de acceso para tu recurso. Si usas una clave de firma administrada por Google, no necesitas proporcionar ningún otro permiso.

Para obtener información sobre cómo otorgar un rol de IAM, consulta un solo rol.

Configura la configuración para recibir notificaciones

Tienes las siguientes opciones para recibir solicitudes de aprobación de acceso:

Recibir solicitudes por correo electrónico
Recibir solicitudes a través de Pub/Sub

Para elegir ambas opciones, sigue las instrucciones que se indican en Cómo configurar el correo electrónico y Pub/Sub notificaciones.

Aprueba solicitudes de aprobación de acceso

Después de inscribir a algunos usuarios como revisores, estos recibirán todas las solicitudes de acceso.

Console

Para aprobar una solicitud de acceso mediante la consola de Google Cloud, haz lo siguiente:

Para ver todas tus solicitudes de aprobación pendientes, ve a la página Aprobación de acceso en la consola de Google Cloud.

Ir a Aprobación de acceso

Si habilitaste la recepción de solicitudes de aprobación de acceso por correo electrónico, también puedes ir a esta página haciendo clic en el vínculo del correo electrónico que recibiste con la solicitud de aprobación.

Nota: Solo puedes ver las solicitudes de aprobación de acceso pendientes de el nivel de jerarquía que seleccionaste. Por ejemplo, si seleccionaste un en una carpeta, solo puedes ver las solicitudes de aprobación de acceso que se hicieron para recursos a nivel de carpeta, no todos los proyectos dentro de ellas.
Para aprobar una solicitud, haz clic en Aprobar.

También puedes descartar la solicitud. Descartar la solicitud es opcional, ya que el acceso seguirá denegándose aunque no la descartes.

Si no apruebas la solicitud de acceso del empleado de Google en un plazo de 14 días o antes de que venza, se descartará automáticamente.
En el cuadro de diálogo que se abre, selecciona la fecha y la hora en las que quieres que venza el acceso.

Nota: La opción de aprobación masiva no te permite seleccionar el vencimiento. fecha y hora.
Selecciona Aprobar para aprobar el acceso hasta la fecha de vencimiento establecida y tiempo.
Opcional: Para validar la firma de una solicitud después de aprobarla, sigue los pasos que se indican en Cómo validar la firma de una solicitud.

cURL

Para aprobar una solicitud de Aprobación de acceso con cURL, haz lo siguiente:

Anota el nombre de approvalRequest del mensaje de Pub/Sub.

Realiza una llamada a la API para aprobar o descartar esa approvalRequest.

 # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

Puedes responder una solicitud con una de las siguientes opciones:

Acción	Efecto	Estado del acceso a Google
`:approve`	Aprueba la solicitud.	Denegado antes de la aprobación, aprobado después de la aprobación.
`:dismiss`	Descarta la solicitud de aprobación. Te recomendamos que descartes la solicitud de acceso en lugar de no realizar ninguna acción. Si descartas la solicitud de acceso, se le pedirá al empleado de Google que realice un seguimiento.	Denegado antes del descarte, aprobado después del descarte
Sin acción	El acceso de los empleados de Google sigue denegado. El empleado de Google debe abrir una solicitud nueva para acceder al recurso una vez que se cumpla el tiempo de `requestedExpiration`.	Antes alguna acción: Denegado. Después de la fecha de vencimiento: Denegado

Después de aprobar la solicitud, el estado cambiará a Approved. Cualquier empleado de Google que tenga características que coincidan con el alcance de la aprobación puede acceder en el plazo aprobado. Estas características de coincidencia incluyen la misma justificación, ubicación o ubicación del escritorio.

La Aprobación de acceso no proporciona ningún rol de IAM ni nuevo permiso al empleado de Google que solicitó acceso.

Si no apruebas la solicitud de acceso del empleado de Google, se le denegará el acceso. Si descartas la solicitud, solo se quitará de tu lista de solicitudes pendientes. Si no descartas una solicitud de aprobación, el acceso continuará que debe rechazarse.

Después de habilitarla, la Transparencia de acceso registra todos los accesos al contenido principal de los clientes que apruebas.

El acceso al personal de Google se permite hasta que venza la aprobación o la justificación para el acceso deje de ser válida. Por ejemplo, el acceso vence si caso de asistencia para el que el personal de Google solicitó acceso está cerrado.

¿Qué sigue?

Obtén información sobre las acciones del personal de Google que se excluyen de las notificaciones de Aprobación de acceso.
Obtén información sobre los campos de una solicitud de Aprobación de acceso.