Como aprovar solicitações do Access Approval

Neste documento, explicamos como fazer isso.

Antes de começar

Você precisa entender os conceitos na página Visão geral.
Conceda o papel do IAM de Aprovador de acesso (roles/accessapproval.approver) no projeto, na pasta ou na organização à principal quem pode executar as aprovações. Você pode conceder o papel do IAM de Aprovador de acesso a um usuário individual, uma conta de serviço ou um grupo do Google.

Se você estiver usando uma chave de assinatura personalizada, também será necessário conceder o papel de Signatário/Verificador de CryptoKey do Cloud KMS (roles/cloudkms.signerVerifier) do IAM à conta de serviço de aprovação de acesso do seu recurso. Se você estiver usando uma chave de assinatura gerenciada pelo Google, não será necessário fornecer outras permissões.

Para informações sobre como conceder um papel do IAM, consulte Conceder um único papel.

Defina as configurações para receber notificações

Você tem as seguintes opções para receber solicitações de aprovação de acesso:

Receber solicitações por e-mail.
receber solicitações pelo Pub/Sub;

Escolha as duas opções seguindo as instruções em Como configurar notificações por e-mail e do Pub/Sub.

Aprovar solicitações de aprovação de acesso

Depois de inscrever alguns usuários como aprovadores, eles vão receber todas as solicitações de acesso.

Console

Para aprovar uma solicitação de aprovação de acesso usando o console do Google Cloud, faça o seguinte:

Para ver todas as solicitações de aprovação pendentes, acesse a página Aprovação de acesso no console do Google Cloud.

Acessar o Access Approval

Se você optou por receber solicitações de aprovação de acesso por e-mail, também pode acessar essa página clicando no link do e-mail enviado com a solicitação de aprovação.

Observação :só é possível ver as solicitações pendentes da Access Approval para o nível de hierarquia selecionado. Por exemplo, se você tiver selecionado uma pasta, só poderá ver as solicitações de aprovação de acesso feitas para recursos no nível da pasta, não todos os projetos dentro delas.
Para aprovar um pedido, clique em Aprovar.

Também é possível dispensar a solicitação. Dispensar a solicitação é opcional porque o acesso continua a ser negado, mesmo que você não dispense a solicitação.

Se você não aprovar a solicitação de acesso do funcionário do Google em até 14 dias ou antes do vencimento, ela será dispensada automaticamente.
Na caixa de diálogo aberta, selecione a data e a hora em que você quer que o acesso expire.

Observação: a opção de aprovação em massa não permite selecionar a data e a hora de validade.
Selecione Aprovar para aprovar o acesso até a data e a hora de validade definidas.

cURL

Para aprovar uma solicitação de Aprovação de acesso usando cURL, faça o seguinte:

Pegue o nome approvalRequest da mensagem do Pub/Sub.

Faça uma chamada de API para aprovar ou recusar esse approvalRequest.

 # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

É possível responder a uma solicitação com uma das seguintes opções:

Ação	Efeito	Estado de acesso do Google
`:approve`	Aprova a solicitação.	Negado antes da aprovação, aprovado após a aprovação.
`:dismiss`	Rejeita a solicitação de aprovação. Recomendamos que você dispense a solicitação de acesso em vez de não tomar nenhuma medida. Dispensar a solicitação de acesso faz com que o funcionário do Google faça o acompanhamento.	Negado antes da recusa, negado após a recusa.
Nenhuma ação	O acesso de funcionários do Google ainda é negado. O funcionário do Google precisa abrir uma nova solicitação para acessar o recurso após o tempo de `requestedExpiration`.	Negado antes de nenhuma ação, negado após o prazo de validade.

Depois que você aprovar a solicitação, o status mudará para Approved. Qualquer funcionário do Google com características que correspondam ao escopo da aprovação pode ter um acesso dentro do período aprovado. Essas características de correspondência incluem a mesma justificativa, local ou local da mesa.

A aprovação de acesso não concede nenhum papel do IAM ou nenhuma nova permissão ao funcionário do Google que solicitou acesso.

Se você não aprovar a solicitação de acesso do funcionário do Google, o acesso será negado a ele. Dispensar a solicitação só a remove da sua lista de solicitações pendentes. Se você não dispensar uma solicitação de aprovação, o acesso continuará a ser negado.

Depois da ativação, a Transparência no acesso registra todos os acessos ao conteúdo principal do cliente aprovado.

O acesso à equipe do Google é permitido até a aprovação expirar ou a justificativa para o acesso não ser mais válida. Por exemplo, o acesso expira quando o caso de suporte para o qual a equipe do Google solicitou acesso é fechado.

A seguir

Saiba mais sobre as ações da equipe do Google que são excluídas das notificações de aprovação de acesso.
Saiba mais sobre os campos em uma solicitação do Access Approval.