Menyetujui permintaan Persetujuan Akses

Dokumen ini menjelaskan cara menyetujui permintaan Persetujuan Akses.

Sebelum memulai

  • Pastikan Anda memahami konsep di halaman Ringkasan.

  • Berikan peran IAM Access Approval Approval (roles/accessapproval.approver) di project, folder, atau organisasi kepada utama yang Anda inginkan untuk dapat melakukan persetujuan. Anda dapat memberikan peran IAM Access Approval Approval kepada pengguna individual, akun layanan, atau grup Google.

    Jika menggunakan kunci penandatanganan kustom, Anda juga harus memberikan peran IAM Penanda Tangan/Verifier (roles/cloudkms.signerVerifier) Cloud KMS ke akun layanan Persetujuan Akses untuk resource Anda. Jika menggunakan kunci penandatanganan yang dikelola Google, Anda tidak perlu memberikan izin lainnya.

    Untuk mengetahui informasi tentang cara memberikan peran IAM, lihat Memberikan satu peran.

Mengonfigurasi setelan untuk menerima notifikasi

Anda memiliki opsi berikut untuk menerima permintaan Persetujuan Akses:

  • Terima permintaan melalui email.
  • Menerima permintaan melalui Pub/Sub.

Anda dapat memilih kedua opsi ini dengan mengikuti petunjuk di Menyiapkan notifikasi email dan Pub/Sub.

Menyetujui permintaan Persetujuan Akses

Setelah Anda mendaftarkan beberapa pengguna sebagai pemberi persetujuan, pengguna tersebut akan menerima semua permintaan akses.

Konsol

Untuk menyetujui permintaan Persetujuan Akses menggunakan Google Cloud Console, lakukan hal berikut:

  1. Untuk melihat semua permintaan persetujuan yang menunggu persetujuan, buka halaman Persetujuan Akses di Konsol Google Cloud.

    Buka Access Approval

    Jika telah memilih untuk menerima permintaan Persetujuan Akses melalui email, Anda juga dapat membuka halaman ini dengan mengklik link dalam email berisi permintaan persetujuan.

  2. Untuk menyetujui permintaan, klik Setujui.

    Anda juga memiliki opsi untuk menolak permintaan tersebut. Menolak permintaan bersifat opsional karena akses akan terus ditolak meskipun Anda tidak menolak permintaan tersebut.

    Jika Anda tidak menyetujui permintaan akses karyawan Google tersebut dalam waktu 14 hari atau sebelum masa berlaku permintaan berakhir, permintaan tersebut akan otomatis ditutup.

  3. Di kotak dialog yang terbuka, pilih tanggal dan waktu berakhirnya akses yang Anda inginkan.

  4. Pilih Setujui untuk menyetujui akses hingga tanggal dan waktu habis masa berlaku yang ditetapkan.

    Pilih tanggal dan waktu habis masa berlaku untuk permintaan Persetujuan Akses

cURL

Untuk menyetujui permintaan Persetujuan Akses menggunakan cURL, lakukan hal berikut:

  1. Ambil nama approvalRequest dari pesan Pub/Sub.
  2. Lakukan panggilan API untuk menyetujui atau menolak approvalRequest tersebut.

     # HTTP POST request with empty body (an effect of using -d '')
     # service-account-credential.json is attained by going to the
     # IAM -> Service Accounts menu in the cloud console and creating
     # a service account.
     curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
       -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve
    

    Anda dapat membalas permintaan dengan salah satu opsi berikut:

    Tindakan Efek Status akses Google
    :approve Menyetujui permintaan. Ditolak sebelum persetujuan, disetujui setelah persetujuan.
    :dismiss Menolak permintaan persetujuan. Sebaiknya tolak permintaan akses tersebut daripada tidak mengambil tindakan apa pun. Menutup permintaan akses tersebut akan meminta karyawan Google untuk menindaklanjutinya. Ditolak sebelum penutupan, ditolak setelah penutupan.
    Tidak ada tindakan Akses karyawan Google masih ditolak. Karyawan Google perlu membuka permintaan baru untuk mengakses resource setelah waktu requestedExpiration berlalu. Ditolak sebelum tidak ada tindakan, ditolak setelah waktu habis masa berlaku.

Setelah Anda menyetujui permintaan, status permintaan berubah menjadi Approved. Setiap karyawan Google dengan karakteristik yang cocok dengan cakupan persetujuan dapat membuat akses dalam jangka waktu yang disetujui. Karakteristik yang cocok ini mencakup justifikasi, lokasi, atau lokasi meja kerja yang sama.

Persetujuan Akses tidak memberikan peran IAM atau izin baru apa pun kepada karyawan Google yang meminta akses.

Jika Anda tidak menyetujui permintaan akses karyawan Google, akses karyawan Google akan ditolak. Menolak permintaan hanya menghapusnya dari daftar permintaan yang tertunda. Jika Anda gagal menolak permintaan persetujuan, akses akan terus ditolak.

Setelah diaktifkan, Transparansi Akses akan mencatat semua akses ke konten pelanggan inti yang Anda setujui.

Akses ke personel Google diizinkan hingga persetujuan berakhir atau pembenaran untuk akses tidak lagi valid. Misalnya, akses akan berakhir jika kasus dukungan yang diminta aksesnya oleh personel Google ditutup.

Langkah selanjutnya