Autoriza solicitudes de Aprobación de acceso

Obtén más información sobre cómo usar la Aprobación de acceso para autorizar una solicitud de acceso. Asegúrate de comprender los conceptos de aprobación de acceso en la Descripción general antes de comenzar.

Recibe notificaciones

Hay dos opciones para recibir solicitudes de Aprobación de acceso: recibirlas por correo electrónico o usar Pub/Sub (o ambas al mismo tiempo).

Para recibirlas por correo electrónico, sigue los pasos de la sección Configura notificaciones por correo electrónico de la Guía de inicio rápido.

Para usar Pub/Sub, sigue estos pasos:

  1. Crea un tema en Pub/Sub en el proyecto que aprobará las solicitudes. Puedes tener un solo tema de Pub/Sub que reciba solicitudes para todos los proyectos o temas de Pub/Sub independientes en cada proyecto.
  2. Con Google Cloud Console, asigna la función Publicador de Pub/Sub a la cuenta de servicio de aprobación en el tema de Pub/Sub. La cuenta de servicio a la que necesitas otorgar permisos es customer-approval-jobs@system.gserviceaccount.com.
  3. Comunícate con el equipo de asistencia de Google Cloud y proporciónales el nombre o los nombres de los temas de Pub/Sub que creaste y los ID de proyecto, carpeta u organización para los que el tema debería recibir notificaciones.

Cuando completes este proceso, comenzarás a recibir mensajes en el tema de Pub/Sub que corresponden a las solicitudes de Aprobación de acceso.

La siguiente es una solicitud de aprobación de acceso:

{
  "name": "projects/123456/approvalRequests/xyzabc123",
  "requestedResourceName": "projects/123456",
  "requestedReason": {
    "detail":  "Case number: bar123"
    "type":  "CUSTOMER_INITIATED_SUPPORT"
  },
  "requestedLocations": {
    "principalOfficeCountry": "US",
    "principalPhysicalLocationCountry": "US"
  },
  "requestTime": "2018-08-28T19:07:12.286Z",
  "requestedExpiration": "2018-09-02T19:07:11.877Z"
}

Configura responsables de aprobación de acceso en tu organización

  1. Ve a la página de configuración de IAM de tu proyecto.

  2. Otorga la función de IAM responsable de aprobación de acceso en el proyecto, la carpeta o la organización al principal (ya sea una cuenta de servicio o un ser humano) que realizará las aprobaciones.

Autoriza solicitudes de Aprobación de acceso

Para aprobar una solicitud de aprobación de acceso, sigue estos pasos:

Antes de comenzar, asegúrate de tener la función de IAM responsable de aprobación de acceso en el proyecto, la carpeta o la organización.

Console

  1. Vaya a la sección Seguridad de Google Cloud Console y seleccione Aprobación de acceso para que aparezca el panel con todas sus solicitudes de aprobación actuales.
    • También puede hacer clic en el vínculo del correo electrónico que se te envió con la solicitud de aprobación para ir a esta página.
  2. Para autorizar una solicitud, presiona el botón Aprobar. También puedes descartar la solicitud, pero esto es opcional. El acceso seguirá denegado aunque no descartes la solicitud.
  3. Una vez que se apruebe la solicitud, esta pasará a estar “aprobada”. Cualquier empleado de Google que tenga características que coincidan con la aprobación (por ejemplo, la misma justificación, ubicación geográfica o ubicación del escritorio) podrá acceder en el plazo aprobado. Si no apruebas la solicitud, se denegará el acceso a los empleados de Google. Si descarta la solicitud, solo se quitará de tu lista de solicitudes pendientes y, si no descarta una solicitud de aprobación, el acceso seguirá denegado.

cURL

  1. Anota el nombre de approvalRequest del mensaje de Pub/Sub.
  2. Realiza una llamada a la API para aprobar o descartar ese approvalRequest.

     # HTTP POST request with empty body (an effect of using -d '')
     # service-account-credential.json is attained by going to the
     # IAM -> Service Accounts menu in the cloud console and creating
     # a service account.
     curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
       -d '' https://accessapproval.googleapis.com/v1beta1/projects/[PROJECT_ID]/approvalRequests/[APPROVAL_REQUEST_ID]:approve
    
  3. Una vez que se apruebe la solicitud, esta pasará a estar “aprobada”. Cualquier empleado de Google que tenga características que coincidan con la aprobación (por ejemplo, la misma justificación, ubicación geográfica o ubicación del escritorio) podrá acceder en el plazo aprobado.

  4. Si no apruebas la solicitud (o la descartas), se denegará el acceso a los empleados de Google.

Estas son las opciones para responder solicitudes:

Acción Efecto Estado de acceso a Google
:approve Aprueba la solicitud. Denegado antes de la aprobación, aprobado después de la aprobación.
:descartar Descarta la solicitud de aprobación. Recomendamos usar este mecanismo en lugar de no realizar ninguna acción, ya que así se envía una alerta al empleado de Google para indicarle que se descartó la solicitud y permitir el seguimiento. Denegado antes del descarte, aprobado después del descarte
Sin acción El acceso de los empleados de Google sigue denegado. El empleado de Google debe abrir una solicitud nueva para acceder al recurso una vez que se cumpla la fecha indicada en requestedExpiration. Antes alguna acción: Denegado. Después de la fecha de vencimiento: Denegado

Enumera las solicitudes de aprobación históricas

Console

Esta función aún no está disponible en Google Cloud Console. Para consultar las aprobaciones históricas en tus registros de auditoría de Cloud, visita Cloud Logging. Puedes filtrar por el recurso auditado accessapproval.googleapis.com si habilitaste el registro de auditoría en el proyecto.

cURL

curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
    https://accessapproval.googleapis.com/v1beta1/projects/[PROJECT_ID]/approvalRequests?filter=ALL

De forma predeterminada, la API enumera todas las solicitudes no vencidas aprobadas y no aprobadas. Hay un parámetro de filtro para realizar acciones como enumerar todas las solicitudes descartadas. Consulta la documentación de la API para obtener más información.

Se mostrará una lista del historial de aprobaciones de acceso junto con el estado de cada solicitud.

{
  "approvalRequests": [
    {
      "name": "projects/123456/approvalRequests/xyzabc123",
      "requestedResourceName": "projects/123456",
      "requestedReason": {
        "detail":  "Case number: bar123"
        "type":  "CUSTOMER_INITIATED_SUPPORT"
      },
      "requestedLocations": {
        "principalOfficeCountry": "US",
        "principalPhysicalLocationCountry": "US"
      },
      "requestTime": "2018-08-30T17:49:13.712Z",
      "requestedExpiration": "2018-09-04T17:49:13.540Z",
      "approve": {
        "approveTime": "2018-08-30T17:49:15.737Z",
        "expireTime": "2018-09-04T17:49:13.540Z"
      }
    }
  ]
}

Qué sigue

  • Comprende qué acciones de Google se excluyen de las notificaciones de Aprobación de acceso.