Approuver les demandes Access Approval

Découvrez comment utiliser Access Approval pour approuver une demande d'accès. Assurez-vous de bien comprendre le principe de l'approbation d'accès dans la section Présentation avant de commencer.

Recevoir des notifications

Il existe deux moyens de recevoir des demandes Access Approval : par e-mail ou via Pub/Sub (ou les deux en même temps).

Pour les recevoir par e-mail, suivez les étapes de la section Configurer les notifications par e-mail du guide de démarrage rapide.

Pour utiliser Pub/Sub, procédez comme suit :

  1. Créez un sujet dans Pub/Sub pour le projet qui approuvera les demandes. Vous pouvez avoir un seul sujet Pub/Sub qui recevra des demandes pour tous les projets, ou plusieurs sujets Pub/Sub différents dans chaque projet.
  2. À l'aide de Google Cloud Console, attribuez au compte de service d'approbation le rôle d'éditeur Pub/Subdu sujet Pub/Sub. Le compte de service auquel vous devez accorder les autorisations est customer-approval-jobs@system.gserviceaccount.com.
  3. Contactez l'assistance Google Cloud et fournissez-leur le ou les noms des sujets Pub/Sub que vous avez créés et les ID de projet/dossier/organisation pour lesquels le sujet doit recevoir des notifications.

Une fois cette opération terminée, vous commencerez à recevoir des messages dans votre sujet Pub/Sub qui correspondent aux demandes d'approbation d'accès.

Voici un exemple de demande d'approbation d'accès :

{
  "name": "projects/123456/approvalRequests/xyzabc123",
  "requestedResourceName": "projects/123456",
  "requestedReason": {
    "detail":  "Case number: bar123"
    "type":  "CUSTOMER_INITIATED_SUPPORT"
  },
  "requestedLocations": {
    "principalOfficeCountry": "US",
    "principalPhysicalLocationCountry": "US"
  },
  "requestTime": "2018-08-28T19:07:12.286Z",
  "requestedExpiration": "2018-09-02T19:07:11.877Z"
}

Configurer les approbateurs d'accès de votre organisation

  1. Accédez à la page des paramètres IAM de votre projet.

  2. Accordez le rôle IAM Validateur Access Approval sur le projet, le dossier ou l'organisation à l'entité principale (un compte de service ou un humain) qui effectuera les approbations.

Approuver les demandes Access Approval

Afin d'approuver une demande Access Approval, procédez comme suit :

Avant de commencer, assurez-vous que vous disposez du rôle IAM Validateur Access Approval sur le projet, le dossier ou l'organisation.

Console

  1. Accédez à la section Sécurité de Google Cloud Console et sélectionnez Access Approval pour afficher le panneau répertoriant toutes les demandes d'approbation en cours.
    • Vous pouvez également cliquer sur le lien de l'e-mail qui vous a été envoyé avec la demande d'approbation pour être redirigé sur cette page.
  2. Pour approuver une demande, appuyez sur le bouton Approuver. Vous avez également la possibilité d'ignorer la demande, mais cette opération est facultative. En effet, même si vous ne l'ignorez pas, l'accès continue d'être refusé.
  3. Une fois la demande approuvée, la demande passe à l'état "approuvée". Tout employé de Google dont les caractéristiques correspondent à l'approbation (par exemple, même motif de justification, même adresse et adresse professionnelle) peut effectuer un accès dans le délai approuvé. Si la demande n'est pas approuvée, l'accès des employés Google sera refusé. Le fait d'ignorer la demande la supprime uniquement de la liste des demandes en attente. Si vous omettez de rejeter une demande d'approbation, l'accès sera toujours refusé.

cURL

  1. Récupérez le nom approvalRequest du message Pub/Sub.
  2. Faites un appel d'API pour approuver ou rejeter cette approvalRequest.

     # HTTP POST request with empty body (an effect of using -d '')
     # service-account-credential.json is attained by going to the
     # IAM -> Service Accounts menu in the cloud console and creating
     # a service account.
     curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
       -d '' https://accessapproval.googleapis.com/v1beta1/projects/[PROJECT_ID]/approvalRequests/[APPROVAL_REQUEST_ID]:approve
    
  3. Une fois la demande approuvée, la demande passe à l'état "approuvée". Tout employé de Google dont les caractéristiques correspondent à l'approbation (par exemple, même motif de justification, même adresse et adresse professionnelle) peut effectuer un accès dans le délai approuvé.

  4. Si la demande n'est pas approuvée ou rejetée, l'accès des employés de Google est refusé.

Les options dont vous disposez pour répondre à une demande sont les suivantes :

Action Effet État de l'accès à Google
:approve Approuve la demande. Refusé avant approbation, approuvé après approbation.
:dismiss Ignore la demande d'approbation. Il est préférable d'utiliser ce système plutôt que de ne rien faire, car cela avertit l'employé de Google que la demande a été ignorée et lui permet ainsi d'effectuer un suivi. Refusé avant suppression, refusé après suppression.
Aucune action L'accès des employés de Google est toujours refusé. L'employé de Google doit ouvrir une nouvelle demande d'accès à la ressource une fois le délai d'expiration demandé atteint. Refusé avant l'absence d'action, refusé une fois le délai d'expiration écoulé.

Répertorier les demandes d'approbation passées

Console

Cette fonctionnalité n'est pas encore disponible dans Google Cloud Console. Vous pouvez consulter l'historique des approbations dans vos journaux d'audit cloud en accédant à Cloud Logging. Vous pouvez filtrer selon la ressource auditée accessapproval.googleapis.com si la journalisation d'audit est activée sur votre projet.

cURL

curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
    https://accessapproval.googleapis.com/v1beta1/projects/[PROJECT_ID]/approvalRequests?filter=ALL

Par défaut, l'API répertorie toutes les demandes non approuvées et approuvées non arrivées à expiration. Il existe un paramètre de filtrage pour répertorier toutes les demandes ignorées. Pour plus d'informations, consultez la documentation de l'API.

Vous recevrez une liste des autorisations d'accès passées ainsi que leur statut.

{
  "approvalRequests": [
    {
      "name": "projects/123456/approvalRequests/xyzabc123",
      "requestedResourceName": "projects/123456",
      "requestedReason": {
        "detail":  "Case number: bar123"
        "type":  "CUSTOMER_INITIATED_SUPPORT"
      },
      "requestedLocations": {
        "principalOfficeCountry": "US",
        "principalPhysicalLocationCountry": "US"
      },
      "requestTime": "2018-08-30T17:49:13.712Z",
      "requestedExpiration": "2018-09-04T17:49:13.540Z",
      "approve": {
        "approveTime": "2018-08-30T17:49:15.737Z",
        "expireTime": "2018-09-04T17:49:13.540Z"
      }
    }
  ]
}

Étape suivante

  • Découvrez quelles actions Google sont exclues des notifications Access Approval.