Aprovar pedidos de aprovação de acesso

Este documento explica como aprovar um pedido de aprovação de acesso.

Antes de começar

  • Certifique-se de que compreende os conceitos na página Vista geral.

  • Conceda a função do IAM Aprovador da aprovação de acesso (roles/accessapproval.approver) ao principal que quer que possa realizar aprovações no projeto, na pasta ou na organização. Pode conceder a função de IAM de aprovador da aprovação de acesso a um utilizador individual, a uma conta de serviço ou a um grupo Google.

    Se estiver a usar uma chave de assinatura personalizada, também tem de conceder a função da IAM de signatário/validador de CryptoKey do Cloud KMS (roles/cloudkms.signerVerifier) à conta de serviço da aprovação de acesso para o seu recurso. Se estiver a usar uma chave de assinatura gerida pela Google, não precisa de fornecer outras autorizações.

    Para obter informações sobre como conceder uma função do IAM, consulte o artigo Conceder uma única função.

Configure as definições para receber notificações

Tem as seguintes opções para receber pedidos de aprovação de acesso:

  • Receber pedidos por email.
  • Receber pedidos através do Pub/Sub.

Pode escolher ambas as opções seguindo as instruções em Configurar notificações por email e do Pub/Sub.

Aprove pedidos de aprovação de acesso

Depois de inscrever alguns utilizadores como aprovadores, esses utilizadores recebem todos os pedidos de acesso.

Consola

Para aprovar um pedido de aprovação de acesso através da Google Cloud consola, faça o seguinte:

  1. Para ver todos os pedidos de aprovação pendentes, aceda à página Aprovação de acesso na Google Cloud consola.

    Aceda à aprovação de acesso

    Se optou por receber pedidos de aprovação de acesso por email, também pode aceder a esta página clicando no link no email que lhe foi enviado com o pedido de aprovação.

  2. Para aprovar um pedido, clique em Aprovar.

    Também tem a opção de ignorar o pedido. Ignorar o pedido é opcional, uma vez que o acesso continua a ser recusado mesmo que não ignore o pedido.

    Se não aprovar o pedido de acesso do funcionário da Google no prazo de 14 dias ou antes de o pedido expirar, este é automaticamente rejeitado.

  3. Na caixa de diálogo apresentada, selecione a data e a hora em que quer que o acesso expire.

  4. Selecione Aprovar para aprovar o acesso até à data e hora de validade definidas.

    Selecione a data e a hora de validade do pedido de aprovação de acesso

  5. Opcional: para validar a assinatura num pedido depois de o aprovar, siga os passos indicados em Validar a assinatura de um pedido.

cURL

Para aprovar um pedido de aprovação de acesso através do cURL, faça o seguinte:

  1. Obtenha o nome approvalRequest da mensagem do Pub/Sub.
  2. Faça uma chamada API para aprovar ou ignorar esse approvalRequest.

     # HTTP POST request with empty body (an effect of using -d '')
     # service-account-credential.json is attained by going to the
     # IAM -> Service Accounts menu in the cloud console and creating
     # a service account.
     curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
       -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve
    

    Pode responder a um pedido com uma das seguintes opções:

    Ação Efeito Estado de acesso da Google
    :approve Aprova o pedido. Recusado antes da aprovação e aprovado após a aprovação.
    :dismiss Ignora o pedido de aprovação. Recomendamos que rejeite o pedido de acesso em vez de não tomar nenhuma medida. Ignorar o pedido de acesso pede ao funcionário da Google que faça o seguimento. Recusado antes do arquivamento, recusado após o arquivamento.
    Nenhuma ação O acesso de funcionários da Google continua a ser negado. O funcionário da Google tem de abrir um novo pedido para aceder ao recurso após o período de requestedExpiration. Recusado antes de não tomar medidas, recusado após o prazo de validade.

Depois de aprovar o pedido, o estado do pedido muda para Approved. Qualquer funcionário da Google com características correspondentes ao âmbito da aprovação pode efetuar um acesso dentro do período aprovado. Estas características correspondentes incluem a mesma justificação, localização ou localização da mesa.

A aprovação de acesso não fornece nenhuma função de IAM nem nenhuma nova autorização ao funcionário da Google que solicitou o acesso.

Se não aprovar o pedido de acesso do funcionário da Google, o acesso é recusado ao funcionário da Google. A rejeição do pedido apenas o remove da sua lista de pedidos pendentes. Se não ignorar um pedido de aprovação, o acesso continua a ser recusado.

Após a ativação, a Transparência de acesso regista todos os acessos aos dados de clientes que aprovar.

O acesso ao pessoal da Google é permitido até a aprovação expirar ou a justificação para o acesso deixar de ser válida. Por exemplo, o acesso expira se o registo de apoio ao cliente para o qual o pessoal da Google solicitou acesso for encerrado.

O que se segue?