Como aprovar solicitações do Access Approval

Neste documento, explicamos como aprovar uma solicitação do Access Approval.

Antes de começar

  • Verifique se você entendeu os conceitos Visão geral.

  • Conceder ao aprovador de aprovação de acesso (roles/accessapproval.approver) papel do IAM no projeto, na pasta ou da organização para o principal para quem você quer que realize as aprovações. É possível conceder Aprovador de acesso do IAM a um usuário individual, uma conta de serviço ou uma Grupo do Google.

    Se você usa uma chave de assinatura personalizada, também precisa conceder ao signatário/verificador de CryptoKey do Cloud KMS (roles/cloudkms.signerVerifier) do IAM para a Conta de serviço do Access Approval para o recurso. Se você estiver usando uma chave de assinatura gerenciada pelo Google, não vai precisar fornecer outras permissões.

    Para informações sobre como conceder um papel do IAM, consulte Conceder um único papel.

Defina as configurações para receber notificações

Você tem as seguintes opções para receber solicitações de aprovação de acesso:

  • Receber solicitações por e-mail.
  • Receber solicitações pelo Pub/Sub.

Você pode escolher ambas as opções seguindo as instruções em Como configurar o e-mail e o Pub/Sub notificações.

Aprovar solicitações de aprovação de acesso

Depois de inscrever alguns usuários como aprovadores, eles vão receber todas as solicitações de acesso.

Console

Para aprovar uma solicitação de Aprovação de acesso usando o Console do Google Cloud, faça o seguinte:

  1. Para conferir todas as solicitações de aprovação pendentes, acesse a página Access Approval no console do Google Cloud.

    Acessar o Access Approval

    Se você tiver optado por receber solicitações de aprovação de acesso por e-mail, também poderá acessar esta página clicando no link no e-mail enviado com a solicitação de aprovação.

  2. Para aprovar um pedido, clique em Aprovar.

    Você também tem a opção de dispensar a solicitação. Dispensar a solicitação é opcional, já que o acesso continua sendo negado mesmo que você não dispense a solicitação.

    Se você não aprovar a solicitação de acesso do funcionário do Google em até 14 dias ou antes de expirar, ela é automaticamente dispensada.

  3. Na caixa de diálogo que aparece, selecione a data e a hora em que você quer que o acesso expire.

  4. Selecione Aprovar para aprovar o acesso até a data de validade definida. tempo de resposta.

    Selecionar a data e a hora de expiração da solicitação de aprovação de acesso

  5. Opcional: para validar a assinatura em uma solicitação após a aprovação, siga as etapas em Validar a assinatura de uma solicitação.

cURL

Para aprovar uma solicitação de Access Approval usando cURL, faça o seguinte:

  1. Pegue o nome approvalRequest da mensagem do Pub/Sub.
  2. Faça uma chamada de API para aprovar ou recusar esse approvalRequest.

     # HTTP POST request with empty body (an effect of using -d '')
     # service-account-credential.json is attained by going to the
     # IAM -> Service Accounts menu in the cloud console and creating
     # a service account.
     curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
       -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve
    

    É possível responder a uma solicitação com uma das seguintes opções:

    Ação Efeito Estado de acesso do Google
    :approve Aprova a solicitação. Negado antes da aprovação, aprovado após a aprovação.
    :dismiss Rejeita a solicitação de aprovação. Recomendamos dispensar o pedido de acesso em vez de não fazer nada. Se você dispensar a solicitação de acesso, o funcionário do Google vai receber uma notificação para fazer o acompanhamento. Negado antes da recusa, negado após a recusa.
    Nenhuma ação O acesso de funcionários do Google ainda é negado. O funcionário do Google precisa abrir uma nova solicitação para acessar o recurso após o tempo de requestedExpiration. Negado antes de nenhuma ação, negado após o prazo de validade.

Depois que você aprovar o pedido, o status vai mudar para Approved. Qualquer um Um funcionário do Google com características que correspondem ao escopo da aprovação pode fazer acesso dentro do prazo aprovado. Essas características de correspondência incluem usando a mesma justificativa, local ou local de trabalho.

A aprovação de acesso não fornece nenhum papel do IAM nem nenhuma nova permissão ao funcionário do Google que solicitou o acesso.

Se você não aprovar a solicitação de acesso do funcionário do Google, o acesso será negado a ele. Dispensar a solicitação apenas a remove da sua lista de solicitações pendentes. Se você não dispensar uma solicitação de aprovação, o acesso continuará a ser negado.

Depois da ativação, clique em Transparência no acesso registra todos os acessos ao conteúdo principal do cliente aprovado.

O acesso ao pessoal do Google é permitido até que a aprovação expire ou a justificação para o acesso não seja mais válida. Por exemplo, o acesso expira se o caso de suporte para o qual a equipe do Google solicitou acesso for encerrado.

A seguir