Zugriffsgenehmigungsanfragen genehmigen

Informationen zur Genehmigung einer Zugriffsanfrage mithilfe der Zugriffsgenehmigung. Stellen Sie sicher, dass Sie das Konzept der Zugriffsgenehmigung, das in der Übersicht erklärt wird, verstanden haben, bevor Sie beginnen.

Benachrichtigungen erhalten

Es gibt zwei Möglichkeiten, um Zugriffsgenehmigungsanfragen zu erhalten: Empfang per E-Mail oder Nutzung von Pub/Sub (oder beides gleichzeitig).

Führen Sie zum Empfangen per E-Mail die Schritte im Abschnitt E-Mail-Benachrichtigungen einrichten der Kurzanleitung aus.

So verwenden Sie Pub/Sub:

  1. Erstellen Sie in dem Projekt, das die Anfragen genehmigen wird, ein Thema in Pub/Sub. Sie können ein einzelnes Pub/Sub-Thema haben, das Anfragen für alle Projekte erhält, oder separate Pub/Sub-Themen für jedes Projekt.
  2. Geben Sie in der Google Cloud Console die Rolle Pub/Sub-Publisher des Kontos für die Zugriffsgenehmigung für das Pub/Sub-Thema an. Das Dienstkonto, dem Sie Berechtigungen erteilen möchten, ist customer-approval-jobs@system.gserviceaccount.com.
  3. Wenden Sie sich an den Google Cloud-Support und geben Sie den/die Namen des von Ihnen erstellten Pub/Sub-Themas oder der Pub/Sub-Themen sowie die Projekt-/Ordner-/Organisations-IDs an, für die das Thema Benachrichtigungen erhalten soll.

Sobald dies abgeschlossen ist, erhalten Sie in Ihrem Pub/Sub-Thema Nachrichten, die sich auf Zugriffsgenehmigungsanfragen beziehen.

Im Folgenden wird eine Beispielanfrage für die Zugriffsgenehmigung dargestellt:

{
  "name": "projects/123456/approvalRequests/xyzabc123",
  "requestedResourceName": "projects/123456",
  "requestedReason": {
    "detail":  "Case number: bar123"
    "type":  "CUSTOMER_INITIATED_SUPPORT"
  },
  "requestedLocations": {
    "principalOfficeCountry": "US",
    "principalPhysicalLocationCountry": "US"
  },
  "requestTime": "2018-08-28T19:07:12.286Z",
  "requestedExpiration": "2018-09-02T19:07:11.877Z"
}

Zugriffsgenehmiger in Ihrer Organisation konfigurieren

  1. Rufen Sie die Seite "IAM-Einstellungen" für Ihr Projekt auf.

  2. Gewähren Sie dem Hauptkonto, das die Genehmigungen ausführt (ein Dienstkonto oder ein Mitarbeiter), die IAM-Rolle Genehmiger für Zugriffsgenehmigungen für das Projekt, den Ordner oder die Organisation.

Zugriffsgenehmigungsanfragen genehmigen

Führen Sie die folgenden Schritte aus, um eine Zugriffsgenehmigungsanfrage zu genehmigen:

Bevor Sie beginnen, müssen Sie sicherstellen, dass Sie die IAM-Rolle Genehmiger für Zugriffsgenehmigungen für das Projekt, den Ordner oder die Organisation haben.

Console

  1. Gehen Sie zum Abschnitt Sicherheit der Google Cloud Console und wählen Sie Zugriffsgenehmigung aus, um das Steuerfeld mit Ihren aktuellen Genehmigungsanfragen aufzurufen.
    • Sie können auch auf den Link in der E-Mail klicken, die Sie mit der Genehmigungsanfrage erhalten haben, um auf diese Seite weitergeleitet zu werden.
  2. Um eine Anfrage zu genehmigen, klicken Sie auf Genehmigen. Sie haben auch die Möglichkeit, die Anfrage abzulehnen. Dies ist jedoch optional, da der Zugriff weiterhin verweigert wird, auch wenn Sie die Anfrage nicht ablehnen.
  3. Sobald die Anfrage genehmigt wurde, ist der Status der Anfrage "genehmigt". Google-Mitarbeiter mit Merkmalen, die mit der Genehmigung übereinstimmen (z. B. gleiche Begründung, gleicher Standort, Bürostandort), kann innerhalb des genehmigten Zeitraums Zugriff nehmen. Wenn der Antrag abgelehnt wird, wird der Zugriff für Google-Mitarbeiter verweigert. Wenn Sie die Anfrage ablehnen, wird sie nur aus der Liste der ausstehenden Anfragen entfernt. Wenn Sie eine Genehmigungsanfrage nicht ablehnen, wird der Zugriff weiterhin verweigert.

cURL

  1. Übernehmen Sie den approvalRequest-Namen aus der Pub/Sub-Nachricht.
  2. Führen Sie einen API-Aufruf durch, um approvalRequest zu genehmigen oder zu verwerfen.

     # HTTP POST request with empty body (an effect of using -d '')
     # service-account-credential.json is attained by going to the
     # IAM -> Service Accounts menu in the cloud console and creating
     # a service account.
     curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
       -d '' https://accessapproval.googleapis.com/v1/projects/[PROJECT_ID]/approvalRequests/[APPROVAL_REQUEST_ID]:approve
    
  3. Sobald die Anfrage genehmigt wurde, ist der Status der Anfrage "genehmigt". Google-Mitarbeiter mit Merkmalen, die mit der Genehmigung übereinstimmen (z. B. gleiche Begründung, gleicher Standort, Bürostandort), kann innerhalb des genehmigten Zeitraums Zugriff nehmen.

  4. Wenn die Anfrage nicht genehmigt oder abgelehnt wird, wird der Zugriff durch Google-Mitarbeiter verweigert.

Folgende Optionen stehen Ihnen für die Bearbeitung einer Anfrage zur Verfügung:

Aktion Effekt Google-Zugriffsstatus
:approve Genehmigt die Anfrage. Vor Genehmigung abgelehnt, nach Genehmigung genehmigt.
:dismiss Lehnt die Genehmigungsanfrage ab. Dieser Mechanismus ist gegenüber "keine Aktion" zu bevorzugen, da er den Google-Mitarbeiter darauf hinweist, dass die Anfrage abgelehnt wurde, und so eine Nachfrage ermöglicht. Vor der Ablehnung abgelehnt, nach der Ablehnung abgelehnt.
Keine Aktion Der Zugriff wird Google-Mitarbeitern weiterhin verweigert. Google-Mitarbeiter müssen eine neue Anfrage öffnen, um nach Ablauf der "requestedExpiration"-Zeit auf die Ressource zuzugreifen. Verweigert vor "keine Aktion", verweigert nach Ablauf der Zeit.

Auflistung vergangener Genehmigungsanfragen

Console

Dieses Feature ist in der Google Cloud Console noch nicht verfügbar. Sie können die bisherigen Genehmigungen in Ihren Cloud-Audit-Logs unter Cloud Logging einsehen. Sie können nach der geprüften Ressource accessapproval.googleapis.com filtern, wenn Audit-Logging für Ihr Projekts aktiviert ist.

cURL

curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
    https://accessapproval.googleapis.com/v1/projects/[PROJECT_ID]/approvalRequests?filter=ALL

Standardmäßig listet die API alle nicht genehmigten sowie genehmigten, nicht abgelaufenen Anfragen auf. Es gibt einen Filterparameter, mit dem Sie beispielsweise alle abgelehnten Anfragen auflisten können. Weitere Informationen finden Sie in der API-Dokumentation.

Sie erhalten eine Liste mit vergangenen Zugriffsgenehmigungen und deren Status.

{
  "approvalRequests": [
    {
      "name": "projects/123456/approvalRequests/xyzabc123",
      "requestedResourceName": "projects/123456",
      "requestedReason": {
        "detail":  "Case number: bar123"
        "type":  "CUSTOMER_INITIATED_SUPPORT"
      },
      "requestedLocations": {
        "principalOfficeCountry": "US",
        "principalPhysicalLocationCountry": "US"
      },
      "requestTime": "2018-08-30T17:49:13.712Z",
      "requestedExpiration": "2018-09-04T17:49:13.540Z",
      "approve": {
        "approveTime": "2018-08-30T17:49:15.737Z",
        "expireTime": "2018-09-04T17:49:13.540Z"
      }
    }
  ]
}

Weitere Informationen

  • Welche Google-Aktionen sind von Benachrichtigungen zur Zugriffsgenehmigung ausgeschlossen.