Kurzanleitung

Auf dieser Seite erfahren Sie, wie Sie die Zugriffsgenehmigung mithilfe der Google Cloud Console einrichten, um E-Mail-Benachrichtigungen über Zugriffsanfragen für ein Projekt zu erhalten.

Vorbereitung

  1. Um berechtigt zu sein, die Funktionen Zugriffsgenehmigung und Access Transparency zu nutzen, muss Ihre Organisation bestimmte Supportanforderungen erfüllen. Weitere Informationen finden Sie im Abschnitt Anforderungen in der Übersicht.
  2. Aktivieren Sie Access Transparency für die Organisation, zu der dieses Projekt gehört.
  3. Stellen Sie sicher, dass Sie den Access Approval Config Editor haben.

Registrierung für Zugriffsgenehmigung

  1. Gehen Sie in der Google Cloud Console zu dem Projekt, Ordner oder der Organisation, in der Sie die Zugriffsgenehmigung aktivieren möchten.

  2. Wählen Sie Sicherheit und dann Zugriffsgenehmigung aus.

    Gehen Sie zur Seite "Zugriffsgenehmigung".

  3. Klicken Sie auf Aktivieren, um sich für die Zugriffsgenehmigung anzumelden.

  4. Wählen Sie die Dienste aus, die Sie für die Zugriffsgenehmigung registrieren möchten. Standardmäßig wird diese Einstellung von der übergeordneten Ressource des Projekts übernommen. Wenn Sie diesen Bereich erweitern möchten, wählen Sie die Option zur automatischen Aktivierung der Zugriffsgenehmigung für alle Dienste aus.

  5. Fügen Sie in den Einstellungen für E-Mail-Benachrichtigungen Nutzer hinzu, die Benachrichtigungen zu Zugriffsanfragen für dieses Projekt erhalten sollen.

E-Mail-Benachrichtigungen und Berechtigungen einrichten

  1. Wählen Sie in der Google Cloud Console Sicherheit und dann Zugriffsgenehmigung aus.

    Gehen Sie zur Seite "Zugriffsgenehmigung".

  2. Klicken Sie in der oberen rechten Ecke des Steuerfelds auf Einstellungen.

    Im daraufhin angezeigten Fenster können Sie Nutzer hinzuzufügen, die für Sie Benachrichtigungen erhalten sollen.

  3. Klicken Sie zum Speichern der Benachrichtigungseinstellungen auf Senden.

Diese Nutzer müssen über IAM-Rollen mit den entsprechenden Berechtigungen verfügen, um Zugriffsgenehmigungsanfragen anzeigen oder genehmigen zu können. Führen Sie die folgenden Schritte aus, um sicherzustellen, dass diese Nutzer über ausreichende Berechtigungen verfügen:

  1. Wechseln Sie zum Abschnitt IAM der Google Cloud Console für Ihr Projekt.

    Zur IAM-Seite

  2. Gewähren Sie der Person, die Genehmigungen für das Projekt durchführen soll (entweder über ein Dienstkonto oder als menschlicher Nutzer), die IAM-Rolle Genehmiger für Zugriffsgenehmigungen im Projektordner oder in der Organisation, für die die Person die Rolle haben soll.

Zugriffsgenehmigungsanfragen überprüfen

Gehen Sie folgendermaßen vor, um eine Zugriffsgenehmigungsanfrage zu überprüfen und zu genehmigen:

  1. Gehen Sie unter Sicherheit zu Zugriffsgenehmigung in der Google Cloud Console, um alle aktuellen Genehmigungsanfragen anzuzeigen.

    • Sie können auch auf den Link in der E-Mail klicken, die Sie mit der Genehmigungsanfrage erhalten haben, um auf diese Seite weitergeleitet zu werden.
  2. Um eine Anfrage zu genehmigen, klicken Sie auf Genehmigen. Sie können die Anfrage auch ablehnen. Beachten Sie, dass der Zugriff auch dann verweigert wird, wenn Sie die Anfrage nicht ablehnen. Hierbei werden die in der Übersicht beschriebenen Umgehungsmechanismen berücksichtigt. Wenn Sie den Zugriff nicht innerhalb von 14 Tagen genehmigen, werden Anfragen automatisch abgelehnt.

  3. Sobald die Anfrage genehmigt wurde, können Google-Mitarbeiter mit Merkmalen, die mit der Genehmigung übereinstimmen (z. B. gleiche Begründung, gleicher Standort, Schreibtischstandort), innerhalb des genehmigten Zeitrahmens Zugriff nehmen.

  4. Wenn der Antrag abgelehnt wird, wird der Antrag von Google dauerhaft abgelehnt.

Von der Zugriffsgenehmigung abmelden

  1. Gehen Sie in der Google Cloud Console zu Sicherheit und dann zu Zugriffsgenehmigung.

    Gehen Sie zur Seite "Zugriffsgenehmigung".

  2. Klicken Sie auf Einstellungen verwalten und dann auf Abmelden.

Clean-up

So vermeiden Sie, dass Ihrem Google Cloud-Konto die in dieser Kurzanleitung verwendeten Ressourcen in Rechnung gestellt werden:

  • Es sind keine zusätzlichen Schritte erforderlich, um zu vermeiden, dass Gebühren für Ihr Konto anfallen.

Weitere Informationen