快速入门

本页面介绍了如何使用 Google Cloud Console 设置 Access Approval 以接收项目访问请求的电子邮件通知。

准备工作

  1. 要使您的组织能够使用 Access Approval 和 Access Transparency,其必须满足特定的支持要求。如需了解详情,请参阅“概览”的要求部分
  2. 在此项目所属的组织上启用 Access Transparency
  3. 确保您已获授予 Access Approval Config Editor

注册 Access Approval

  1. 在 Google Cloud Console 中,导航到要启用 Access Approval 的项目、文件夹或组织。

  2. 选择安全,然后选择 Access Approval

    转到 Access Approval 页面

  3. 点击启用以注册 Access Approval。

  4. 选择您要注册 Access Approval 的服务。默认情况下,此设置将从项目的父资源继承。如果要扩展此范围,请选择自动为所有服务启用 Access Approval 的选项。

  5. 在电子邮件通知设置中,添加应接收此项目的访问请求通知的用户。

设置电子邮件通知和权限

  1. 在 Google Cloud Console 中选择安全,然后选择 Access Approval

    转到 Access Approval 页面

  2. 在面板的右上角,点击设置

    使用显示的面板来添加应代表您接收通知的用户。

  3. 要保存通知设置,请点击提交

这些用户必须拥有具备适当权限的 IAM 角色,才能查看或批准 Access Approval 请求。为确保这些用户具有足够的权限,请按以下步骤操作:

  1. 转到项目的 Google Cloud Console 的 IAM 部分。

    转到 IAM 页面

  2. 为将要执行项目批准的人员(服务帐号或真人)授予您希望其担任此角色的项目、文件夹或组织的 IAM 角色 Access Approval Approver

审核 Access Approval 请求

要查看并批准 Access Approval 请求,请按以下步骤操作:

  1. 安全下,转到 Google Cloud Console 中的 Access Approval 以查看您当前所有的批准请求。

    • 您也可以点击发送给您的电子邮件中带有批准请求的链接,以转到此页面。
  2. 要批准请求,请按批准按钮。您还可以选择取消请求。请注意,即使您不拒绝请求,访问仍将被拒绝(受到概览中详细说明的绕过机制的限制)。如果您未在 14 天内批准访问,则系统将自动拒绝请求。

  3. 请求获得批准后,具有与批准相匹配的特征(例如,相同的理由、相同的位置、办公桌位置)的 Google 员工都可以在批准的时间范围内进行访问。

  4. 如果请求未获批准,则 Google 员工的请求将被永久拒绝。

取消注册 Access Approval

  1. 在 Google Cloud Console 中,转到安全,然后转到 Access Approval

    转到 Access Approval 页面

  2. 点击管理设置,然后点击取消注册

清理

为避免系统因本快速入门中使用的资源向您的 Google Cloud 帐号收取费用,请按照以下步骤操作。

  • 无需采取其他步骤即可避免您的帐号产生费用。

后续步骤