Aprueba solicitudes de aprobación de acceso
En este documento, se explica cómo aprobar una solicitud de Aprobación de acceso.
Antes de comenzar
Asegúrate de comprender los conceptos Descripción general.
Otorga el rol de IAM Autorizador de aprobación de acceso (
roles/accessapproval.approver
) en el proyecto, la carpeta o la organización al principal que deseas que pueda realizar las aprobaciones. Puedes otorgar el rol de IAM de Aprobador de aprobaciones de acceso a un usuario individual, a una cuenta de servicio o a un Grupo de Google.Si usas una clave de firma personalizada, también debe otorgar al verificador/firmante de CryptoKey de Cloud KMS (
roles/cloudkms.signerVerifier
) rol de IAM al Cuenta de servicio de Aprobación de acceso para tu recurso. Si usas una clave de firma administrada por Google, no necesitas proporcionar ningún otro permiso.Para obtener información sobre cómo otorgar un rol de IAM, consulta un solo rol.
Configura la configuración para recibir notificaciones
Tienes las siguientes opciones para recibir solicitudes de aprobación de acceso:
- Recibir solicitudes por correo electrónico
- Recibir solicitudes a través de Pub/Sub
Para elegir ambas opciones, sigue las instrucciones que se indican en Cómo configurar el correo electrónico y Pub/Sub notificaciones.
Aprueba solicitudes de aprobación de acceso
Después de inscribir a algunos usuarios como revisores, estos recibirán todas las solicitudes de acceso.
Console
Para aprobar una solicitud de acceso mediante la consola de Google Cloud, haz lo siguiente:
Para ver todas tus solicitudes de aprobación pendientes, ve a la página Aprobación de acceso en la consola de Google Cloud.
Si habilitaste la recepción de solicitudes de aprobación de acceso por correo electrónico, también puedes ir a esta página haciendo clic en el vínculo del correo electrónico que recibiste con la solicitud de aprobación.
Para aprobar una solicitud, haz clic en Aprobar.
También puedes descartar la solicitud. Descartar la solicitud es opcional, ya que el acceso seguirá denegándose aunque no la descartes.
Si no apruebas la solicitud de acceso del empleado de Google en un plazo de 14 días o antes de que venza, se descartará automáticamente.
En el cuadro de diálogo que se abre, selecciona la fecha y la hora en las que quieres que venza el acceso.
Selecciona Aprobar para aprobar el acceso hasta la fecha de vencimiento establecida y tiempo.
Opcional: Para validar la firma de una solicitud después de aprobarla, sigue los pasos que se indican en Cómo validar la firma de una solicitud.
cURL
Para aprobar una solicitud de Aprobación de acceso con cURL, haz lo siguiente:
- Anota el nombre de
approvalRequest
del mensaje de Pub/Sub. Realiza una llamada a la API para aprobar o descartar esa
approvalRequest
.# HTTP POST request with empty body (an effect of using -d '') # service-account-credential.json is attained by going to the # IAM -> Service Accounts menu in the cloud console and creating # a service account. curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \ -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve
Puedes responder una solicitud con una de las siguientes opciones:
Acción Efecto Estado del acceso a Google :approve
Aprueba la solicitud. Denegado antes de la aprobación, aprobado después de la aprobación. :dismiss
Descarta la solicitud de aprobación. Te recomendamos que descartes la solicitud de acceso en lugar de no realizar ninguna acción. Si descartas la solicitud de acceso, se le pedirá al empleado de Google que realice un seguimiento. Denegado antes del descarte, aprobado después del descarte Sin acción El acceso de los empleados de Google sigue denegado. El empleado de Google debe abrir una solicitud nueva para acceder al recurso una vez que se cumpla el tiempo de requestedExpiration
.Antes alguna acción: Denegado. Después de la fecha de vencimiento: Denegado
Después de aprobar la solicitud, el estado cambiará a Approved
. Cualquier empleado de Google que tenga características que coincidan con el alcance de la aprobación puede acceder en el plazo aprobado. Estas características de coincidencia incluyen
la misma justificación, ubicación o ubicación del escritorio.
La Aprobación de acceso no proporciona ningún rol de IAM ni nuevo permiso al empleado de Google que solicitó acceso.
Si no apruebas la solicitud de acceso del empleado de Google, se le denegará el acceso. Si descartas la solicitud, solo se quitará de tu lista de solicitudes pendientes. Si no descartas una solicitud de aprobación, el acceso continuará que debe rechazarse.
Después de habilitarla, la Transparencia de acceso registra todos los accesos al contenido principal de los clientes que apruebas.
El acceso al personal de Google se permite hasta que venza la aprobación o la justificación para el acceso deje de ser válida. Por ejemplo, el acceso vence si caso de asistencia para el que el personal de Google solicitó acceso está cerrado.
¿Qué sigue?
- Obtén información sobre las acciones del personal de Google que se excluyen de las notificaciones de Aprobación de acceso.
- Obtén información sobre los campos de una solicitud de Aprobación de acceso.