Aprobar solicitudes de aprobación de acceso

En este documento, se explica cómo aprobar una solicitud de Aprobación de acceso.

Antes de comenzar

  • Asegúrate de comprender los conceptos en la página Descripción general.

  • Otorga la función de IAM de responsable de aprobación de acceso (roles/accessapproval.approver) en el proyecto, la carpeta o la organización a la principal que deseas que pueda realizar las aprobaciones. Puedes otorgar la función de IAM de responsable de la aprobación de acceso a un usuario individual, una cuenta de servicio o un Grupo de Google.

    Si usas una clave de firma personalizada, también debes otorgar la función de IAM de firmante y verificador (roles/cloudkms.signerVerifier) de CryptoKey de Cloud KMS a la cuenta de servicio de Aprobación de acceso para tu recurso. Si usas una clave de firma administrada por Google, no es necesario que proporciones ningún otro permiso.

    Para obtener información sobre cómo otorgar una función de IAM, consulta Otorga una función única.

Establece la configuración para recibir notificaciones

Tienes las siguientes opciones para recibir solicitudes de Aprobación de acceso:

  • Recibe solicitudes por correo electrónico.
  • Recibe solicitudes a través de Pub/Sub.

También puedes elegir ambas opciones.

Recibir solicitudes por correo electrónico

Para recibir solicitudes de Aprobación de acceso por correo electrónico, sigue las instrucciones que aparecen en la sección Configura notificaciones por correo electrónico del documento de guía de inicio rápido.

Recibe solicitudes a través de Pub/Sub

Para usar Pub/Sub, haz lo siguiente:

  1. Crea un tema en Pub/Sub en el proyecto que deba aprobar las solicitudes. Puedes tener un solo tema de Pub/Sub que deba recibir solicitudes para todos los proyectos o temas de Pub/Sub separados en cada proyecto.
  2. Con Google Cloud Console, asigna a la cuenta de servicio de aprobación Publicador de Pub/Sub (roles/pubsub.publisher) función de IAM en el tema de Pub/Sub. Debes otorgar los permisos necesarios a la siguiente cuenta de servicio:

    customer-approval-jobs@system.gserviceaccount.com

  3. Comuníquese con el equipo de Atención al cliente de Cloud y proporcione los siguientes detalles:
    • Los nombres de los temas de Pub/Sub que creaste.
    • El identificador único (ID de carpeta, número de proyecto o ID de organización) del recurso para el que el tema debe recibir notificaciones.

Después de completar el procedimiento anterior, puedes recibir mensajes en el tema de Pub/Sub que correspondan a las solicitudes de aprobación de acceso.

Aprobar solicitudes de Aprobación de acceso

Una vez que hayas inscrito a algunos usuarios como responsables de aprobación, esos usuarios recibirán todas las solicitudes de acceso.

Console

Para aprobar una solicitud de aprobación de acceso mediante Cloud Console, haz lo siguiente:

  1. Para ver todas tus solicitudes de aprobación pendientes, ve a la página Aprobación de acceso en Cloud Console.

    Ir a Aprobación de acceso

    Si optaste por recibir solicitudes de Aprobación de acceso por correo electrónico, también puedes ir a esta página haciendo clic en el vínculo del correo electrónico que se te envió con la solicitud de aprobación.

  2. Para aprobar una solicitud, haz clic en Aprobar.

    También puedes descartar la solicitud. Descartar la solicitud es opcional porque el acceso continúa denegado, incluso si no descartas la solicitud.

    Si no apruebas la solicitud de acceso del empleado de Google en un plazo de 14 días o antes de que venza la solicitud, esta se descarta de forma automática.

  3. En el cuadro de diálogo que se abre, selecciona la fecha y hora en las que deseas que caduque el acceso.

  4. Selecciona Aprobar para aprobar el acceso hasta la fecha y hora de vencimiento establecidas.

    Selecciona la fecha y hora de vencimiento de la solicitud de Aprobación de acceso

    Luego de que apruebes la solicitud, el estado cambiará a Approved. Cualquier empleado de Google con características que coincidan con la aprobación (por ejemplo, la misma justificación, misma ubicación, ubicación del escritorio) puede acceder en el plazo aprobado. Si no apruebas la solicitud, se rechazará la solicitud de acceso del empleado de Google. Si descartas la solicitud, solo se quitará de la lista de solicitudes pendientes. Si no descartas una solicitud de aprobación, el acceso seguirá denegándose.

cURL

Para aprobar una solicitud de aprobación de acceso mediante cURL, haz lo siguiente:

  1. Anota el nombre de approvalRequest del mensaje de Pub/Sub.
  2. Realiza una llamada a la API para aprobar o descartar esa approvalRequest.

     # HTTP POST request with empty body (an effect of using -d '')
     # service-account-credential.json is attained by going to the
     # IAM -> Service Accounts menu in the cloud console and creating
     # a service account.
     curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
       -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve
    

    Puedes responder a una solicitud con una de las siguientes opciones:

    Acción Efecto Estado de acceso a Google
    :approve Aprueba la solicitud. Denegado antes de la aprobación, aprobado después de la aprobación.
    :dismiss Descarta la solicitud de aprobación. Recomendamos que descartes la solicitud de acceso en lugar de no realizar ninguna acción. Si se descarta la solicitud de acceso, se le pedirá al empleado de Google que haga un seguimiento. Denegado antes del descarte, aprobado después del descarte
    Sin acción Aún se niega el acceso de los empleados de Google. El empleado de Google debe abrir una nueva solicitud para acceder al recurso después de que pase el tiempo requestedExpiration. Antes alguna acción: Denegado. Después de la fecha de vencimiento: Denegado
  3. Una vez aprobada, el estado de la solicitud cambia a Approved. Cualquier empleado de Google con características que coincidan con la aprobación (por ejemplo, la misma justificación, misma ubicación, ubicación del escritorio) puede acceder en el plazo aprobado.

  4. Si no apruebas o descartas la solicitud, se rechazará la solicitud de acceso del empleado de Google.

¿Qué sigue?