Zugriffsgenehmigungsanfragen genehmigen

In diesem Dokument wird erläutert, wie Sie eine Anfrage für die Zugriffsgenehmigung genehmigen.

Hinweise

  • Machen Sie sich mit den Konzepten auf der Seite Übersicht vertraut.

  • Weisen Sie dem Hauptkonto, das Genehmigungen ausführen können soll, die IAM-Rolle „Genehmiger für Zugriffsgenehmigungen“ (roles/accessapproval.approver) für das Projekt, den Ordner oder die Organisation zu. Sie können die IAM-Rolle „Genehmiger für Zugriffsgenehmigungen“ entweder einem einzelnen Nutzer, einem Dienstkonto oder einer Google-Gruppe zuweisen.

    Wenn Sie einen benutzerdefinierten Signaturschlüssel verwenden, müssen Sie dem Dienstkonto für die Zugriffsgenehmigung für Ihre Ressource auch die IAM-Rolle Cloud KMS CryptoKey-Signer/Prüffunktion (roles/cloudkms.signerVerifier) zuweisen. Wenn Sie einen von Google verwalteten Signaturschlüssel verwenden, müssen Sie keine weiteren Berechtigungen bereitstellen.

    Informationen zum Zuweisen einer IAM-Rolle finden Sie unter Einzelne Rolle zuweisen.

Einstellungen für den Empfang von Benachrichtigungen konfigurieren

Sie haben folgende Möglichkeiten, Anfragen für die Zugriffsgenehmigung zu erhalten:

  • Sie erhalten Anfragen per E-Mail.
  • Anfragen über Pub/Sub empfangen.

Sie können beide Optionen auswählen. Folgen Sie dazu der Anleitung unter E-Mail- und Pub/Sub-Benachrichtigungen einrichten.

Anfragen für die Zugriffsgenehmigung genehmigen

Nachdem Sie einige Nutzer als Genehmiger registriert haben, erhalten diese Nutzer alle Zugriffsanfragen.

Console

So genehmigen Sie eine Anfrage für die Zugriffsgenehmigung über die Google Cloud Console:

  1. Wenn Sie alle ausstehenden Genehmigungsanfragen sehen möchten, rufen Sie in der Google Cloud Console die Seite Zugriffsgenehmigung auf.

    Zur Zugriffsgenehmigung

    Wenn Sie Anfragen für die Zugriffsgenehmigung per E-Mail erhalten haben, können Sie diese Seite auch aufrufen, indem Sie auf den Link in der E-Mail klicken, die Sie mit der Genehmigungsanfrage erhalten haben.

  2. Wenn Sie einer Anfrage zustimmen möchten, klicken Sie auf Genehmigen.

    Sie haben auch die Möglichkeit, die Anfrage abzulehnen. Das Ablehnen der Anfrage ist optional, da der Zugriff auch dann verweigert wird, wenn Sie die Anfrage nicht ablehnen.

    Wenn Sie die Zugriffsanfrage des Google-Mitarbeiters nicht innerhalb von 14 Tagen oder vor Ablauf genehmigen, wird die Anfrage automatisch abgelehnt.

  3. Wählen Sie im daraufhin angezeigten Dialogfeld das Datum und die Uhrzeit für das Ablaufdatum des Zugriffs aus.

  4. Wählen Sie Genehmigen aus, um den Zugriff bis zum festgelegten Ablaufdatum und der festgelegten Ablaufzeit zu genehmigen.

    Ablaufdatum und ‐uhrzeit für die Anfrage für die Zugriffsgenehmigung auswählen

cURL

So genehmigen Sie eine Anfrage für die Zugriffsgenehmigung mit cURL:

  1. Übernehmen Sie den approvalRequest-Namen aus der Pub/Sub-Nachricht.
  2. Führen Sie einen API-Aufruf durch, um approvalRequest zu genehmigen oder zu verwerfen.

     # HTTP POST request with empty body (an effect of using -d '')
     # service-account-credential.json is attained by going to the
     # IAM -> Service Accounts menu in the cloud console and creating
     # a service account.
     curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
       -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve
    

    Sie können auf eine Anfrage mit einer der folgenden Optionen antworten:

    Aktion Effekt Google-Zugriffsstatus
    :approve Genehmigt die Anfrage. Vor Genehmigung abgelehnt, nach Genehmigung genehmigt.
    :dismiss Lehnt die Genehmigungsanfrage ab. Wir empfehlen, die Zugriffsanfrage abzulehnen, statt keine Maßnahmen zu ergreifen. Wenn du die Zugriffsanfrage ablehnst, wird der Google-Mitarbeiter aufgefordert, der Sache nachzugehen. Vor der Ablehnung abgelehnt, nach der Ablehnung abgelehnt.
    Keine Aktion Der Zugriff wird Google-Mitarbeitern weiterhin verweigert. Der Google-Mitarbeiter muss nach Ablauf der requestedExpiration-Zeit eine neue Anfrage für den Zugriff auf die Ressource stellen. Verweigert vor "keine Aktion", verweigert nach Ablauf der Zeit.

Nachdem Sie die Anfrage genehmigt haben, ändert sich der Anfragestatus in Approved. Jeder Google-Mitarbeiter mit Merkmalen, die dem Genehmigungsbereich entsprechen, kann innerhalb des genehmigten Zeitraums Zugriff gewähren. Diese Abgleichsmerkmale umfassen dieselbe Begründung, denselben Standort oder denselben Desktopstandort.

Die Zugriffsgenehmigung gewährt dem Google-Mitarbeiter, der den Zugriff angefordert hat, keine IAM-Rolle oder neue Berechtigung.

Wenn Sie die Zugriffsanfrage des Google-Mitarbeiters nicht genehmigen, wird dem Google-Mitarbeiter der Zugriff verweigert. Wenn Sie die Anfrage ablehnen, wird sie nur aus der Liste der ausstehenden Anfragen entfernt. Wenn Sie eine Genehmigungsanfrage nicht ablehnen, wird der Zugriff weiterhin verweigert.

Nach der Aktivierung protokolliert Access Transparency alle Zugriffe auf wichtige Kundeninhalte, die Sie genehmigen.

Der Zugriff für Google-Mitarbeiter ist so lange möglich, bis die Genehmigung abläuft oder die Begründung für den Zugriff nicht mehr gültig ist. Der Zugriff läuft beispielsweise ab, wenn der Supportfall, für den Google-Mitarbeiter den Zugriff angefordert haben, geschlossen ist.

Nächste Schritte