Cette page a été traduite par l'API Cloud Translation.

Approuver les demandes Access Approval

Ce document explique comment approuver une demande Access Approval.

Avant de commencer

Assurez-vous de bien comprendre les concepts du Vue d'ensemble.
Accorder l'approbation de l'approbateur Access Approval (roles/accessapproval.approver) un rôle IAM sur le projet, le dossier ou organisation au compte principal que vous voulez pouvoir effectuer des approbations. Vous pouvez attribuer le rôle IAM "Approbateur de l'approbation des accès" à un utilisateur individuel, à un compte de service ou à un groupe Google.

Si vous utilisez une clé de signature personnalisée, vous devez également accorder le rôle IAM "Signataire/Validateur de CryptoKeys Cloud KMS" (roles/cloudkms.signerVerifier) au compte de service d'approbation des accès de votre ressource. Si vous utilisez un Clé de signature gérée par Google, vous n'avez pas besoin de fournir d'autres autorisations.

Pour en savoir plus sur l'attribution d'un rôle IAM, consultez la section Attribuer un rôle unique.

Configurer les paramètres pour recevoir des notifications

Vous disposez des options suivantes pour recevoir des demandes d'approbation d'accès :

recevoir des demandes par e-mail ;
Recevoir des requêtes via Pub/Sub

Vous pouvez choisir ces deux options en suivant les instructions fournies dans l'article Configurer la messagerie et Pub/Sub notifications.

Approuver les demandes Access Approval

Une fois que vous avez inscrit des utilisateurs en tant qu'approbateurs, ils reçoivent toutes les demandes d'accès.

Console

Pour approuver une demande Access Approval à l'aide de la console Google Cloud, procédez comme suit:

Pour afficher toutes vos demandes d'approbation en attente, accédez à la page Access Approval (Approbation des accès) dans la console Google Cloud.

Accéder à Access Approval

Si vous avez choisi de recevoir les demandes d'approbation d'accès par e-mail, vous pouvez également accéder à cette page en cliquant sur le lien figurant dans l'e-mail qui vous a été envoyé avec la demande d'approbation.

Remarque :Vous ne pouvez consulter que les demandes Access Approval en attente pour au niveau de hiérarchie que vous avez sélectionné. Par exemple, si vous avez sélectionné vous ne pouvez voir que les demandes Access Approval envoyées pour ressources au niveau d'un dossier, et non de tous les projets de ces dossiers.
Pour approuver une demande, cliquez sur Approuver.

Vous avez également la possibilité d'ignorer la demande. Fermeture du est facultative, car l'accès continue d'être refusé même si vous ne rejetez pas la demande.

Si vous n'approuvez pas la demande d'accès de l'employé de Google sous 14 jours ou avant son expiration, la demande est automatiquement ignoré.
Dans la boîte de dialogue qui s'affiche, sélectionnez la date et l'heure souhaitées. que l'accès expire.

Remarque : L'option d'approbation groupée ne vous permet pas de sélectionner la date et l'heure d'expiration.
Sélectionnez Approuver pour approuver l'accès jusqu'à la date et l'heure d'expiration définies.
Facultatif: Pour valider la signature d'une demande après l'avoir approuvée, suivez les étapes décrites dans Valider une signature de requête

cURL

Pour approuver une demande d'approbation d'accès à l'aide de cURL, procédez comme suit:

Récupérez le nom approvalRequest du message Pub/Sub.

Faites un appel d'API pour approuver ou rejeter cette approvalRequest.

 # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

Vous pouvez répondre à une demande en utilisant l'une des options suivantes :

Action	Effet	État de l'accès à Google
`:approve`	Approuve la demande.	Refusé avant approbation, approuvé après approbation.
`:dismiss`	Ignore la demande d'approbation. Nous vous recommandons d'ignorer la demande d'accès au lieu de ne prendre aucune mesure. Lorsqu'il ignore la demande d'accès, l'employé de Google est invité à effectuer un suivi.	Refusé avant suppression, refusé après suppression.
Aucune action	L'accès des employés de Google est toujours refusé. L'employé de Google doit ouvrir une nouvelle demande d'accès à la ressource une fois le délai `requestedExpiration` écoulé.	Refusé avant l'absence d'action, refusé une fois le délai d'expiration écoulé.

Une fois la demande approuvée, son état passe à Approved. Tout employé de Google dont les caractéristiques correspondent au champ d'application de l'approbation peut accéder aux ressources pendant la période approuvée. Ces caractéristiques de correspondance incluent la même justification, le même emplacement ou le même emplacement de bureau.

Access Approval ne fournit aucun rôle IAM une nouvelle autorisation à l’employé de Google qui a demandé l’accès.

Si vous n'acceptez pas la demande d'accès de l'employé de Google, l'accès à l'employé de Google. En ignorant la demande, vous la supprimez seulement de votre liste de demandes en attente. Si vous omettez de rejeter une demande d'approbation, l'accès sera toujours refusé.

Une fois activé, Access Transparency consigne tous les accès aux contenus client principaux que vous approuvez.

L'accès au personnel Google est autorisé jusqu'à l'expiration de l'approbation ou jusqu'à ce que la justification de l'accès ne soit plus valide. Par exemple, l'accès expire si la demande d'assistance pour laquelle le personnel Google a demandé l'accès est clôturée.

Étape suivante

En savoir plus sur les actions du personnel de Google qui sont exclues de Notifications Access Approval
Découvrez les champs d'une demande d'approbation d'accès.