Approvazione delle richieste di approvazione di accesso

Questo documento spiega come approvare una richiesta di Access Approval.

Prima di iniziare

Assicurati di aver compreso i concetti nella pagina Panoramica.
Concedi il ruolo IAM Approvatore Access Approval (roles/accessapproval.approver) per il progetto, la cartella o l'organizzazione all'entità a cui vuoi consentire le approvazioni. Puoi concedere il ruolo IAM Approvatore Access Approval a un singolo utente, a un account di servizio o a un gruppo Google.

Se utilizzi una chiave di firma personalizzata, devi anche concedere il ruolo IAM Firmatario/Verificatore CryptoKey Cloud KMS (roles/cloudkms.signerVerifier) all'account di servizio Access Approval per la tua risorsa. Se utilizzi una chiave di firma gestita da Google, non devi fornire altre autorizzazioni.

Per informazioni sulla concessione di un ruolo IAM, consulta Concedere un singolo ruolo.

Configura le impostazioni per ricevere le notifiche

Per ricevere le richieste di Access Approval hai le seguenti opzioni:

Ricevi le richieste via email.
Ricevi le richieste tramite Pub/Sub.

Puoi scegliere entrambe le opzioni seguendo le istruzioni in Configurare le notifiche email e Pub/Sub.

Approva le richieste di Access Approval

Dopo aver registrato alcuni utenti come approvatori, questi riceveranno tutte le richieste di accesso.

Console

Per approvare una richiesta di Access Approval utilizzando la console Google Cloud, segui questi passaggi:

Per visualizzare tutte le richieste in attesa di approvazione, vai alla pagina Access Approval nella console Google Cloud.

Vai ad Access Approval

Se hai scelto di ricevere le richieste di Access Approval via email, puoi accedere a questa pagina anche facendo clic sul link nell'email che ti è stata inviata con la richiesta di approvazione.

Nota: puoi visualizzare solo le richieste di Access Approval in attesa per il livello gerarchico selezionato. Ad esempio, se hai selezionato una cartella, puoi visualizzare solo le richieste di Access Approval effettuate per le risorse a livello di cartella, non tutti i progetti all'interno di quelle cartelle.
Per approvare una richiesta, fai clic su Approva.

Hai anche la possibilità di ignorare la richiesta. Ignorare la richiesta è facoltativo perché l'accesso continua a essere negato anche se non ignori la richiesta.

Se non approvi la richiesta di accesso del dipendente Google entro 14 giorni o prima della scadenza, la richiesta viene ignorata automaticamente.
Nella finestra di dialogo che si apre, seleziona la data e l'ora di scadenza dell'accesso.

Nota: l'opzione di approvazione collettiva non ti consente di selezionare la data e l'ora di scadenza.
Seleziona Approva per approvare l'accesso fino alla data e all'ora di scadenza impostate.

cURL

Per approvare una richiesta di Access Approval utilizzando cURL:

Prendi il nome approvalRequest del messaggio Pub/Sub.

Effettua una chiamata API per approvare o ignorare questo approvalRequest.

 # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

Puoi rispondere a una richiesta con una delle seguenti opzioni:

Azione	Effetto	Stato dell'accesso di Google
`:approve`	Approva la richiesta.	Rifiutata prima dell'approvazione, approvata dopo l'approvazione.
`:dismiss`	Ignora la richiesta di approvazione. Ti consigliamo di ignorare la richiesta di accesso anziché non intraprendere alcuna azione. Se ignori la richiesta di accesso, il dipendente Google dovrà ricontattarlo.	Rifiutata prima dell'eliminazione, rifiutata dopo l'eliminazione.
Nessuna azione	L'accesso da parte dei dipendenti Google è ancora negato. Un dipendente Google deve aprire una nuova richiesta per accedere alla risorsa una volta trascorso il tempo di `requestedExpiration`.	Rifiutata prima di nessuna azione, negata dopo la scadenza.

Dopo la tua approvazione, lo stato della richiesta passa a Approved. Qualsiasi dipendente Google con caratteristiche corrispondenti all'ambito di approvazione può eseguire l'accesso entro il periodo di tempo approvato. Queste caratteristiche di corrispondenza includono la stessa giustificazione, la stessa posizione o la stessa posizione della scrivania.

Access Approval non fornisce alcun ruolo IAM o alcuna nuova autorizzazione al dipendente Google che ha richiesto l'accesso.

Se non approvi la richiesta di accesso del dipendente Google, quest'ultimo non potrà accedere. Se ignori la richiesta, questa viene rimossa solo dall'elenco delle richieste in attesa. Se non riesci a ignorare una richiesta di approvazione, l'accesso continuerà a essere negato.

Dopo l'attivazione, Access Transparency registra tutti gli accessi ai contenuti principali dei clienti che approvi.

L'accesso al personale Google è consentito fino alla scadenza dell'approvazione o fino alla giustificazione dell'accesso non più valida. Ad esempio, l'accesso scade se viene chiusa la richiesta di assistenza per la quale il personale Google ha richiesto l'accesso.

Passaggi successivi

Scopri di più sulle azioni del personale Google escluse dalle notifiche di Access Approval.
Scopri di più sui campi delle richieste di Access Approval.