Approvazione delle richieste di approvazione di accesso
Questo documento spiega come approvare una richiesta di Access Approval.
Prima di iniziare
Assicurati di aver compreso i concetti nella pagina Panoramica.
Concedi il ruolo IAM Approvatore accesso (
roles/accessapproval.approver
) al progetto, alla cartella o all'organizzazione all'entità che vuoi che possa eseguire le approvazioni. Puoi concedere ai Ruolo IAM Approvatore Access Approval singolo utente, un account di servizio o un Gruppo Google.Se utilizzi una chiave di firma personalizzata, deve anche concedere al firmatario/verificatore CryptoKey Cloud KMS (
roles/cloudkms.signerVerifier
) ruolo IAM alla Account di servizio Access Approval per la tua risorsa. Se utilizzi una chiave di firma gestita da Google, non devi fornire altre autorizzazioni.Per informazioni sulla concessione di un ruolo IAM, consulta Concedere un singolo ruolo.
Configurare le impostazioni per ricevere notifiche
Per ricevere richieste di approvazione di accesso, hai a disposizione le seguenti opzioni:
- Ricevere richieste via email.
- Riceve richieste tramite Pub/Sub.
Puoi scegliere entrambe le opzioni seguendo le istruzioni riportate in Configurare le notifiche via email e Pub/Sub.
Approva richieste Access Approval
Dopo aver registrato alcuni utenti come approvatori, questi utenti ricevono tutti richieste di accesso.
Console
Per approvare una richiesta di Access Approval utilizzando Nella console Google Cloud, segui questi passaggi:
Per visualizzare tutte le richieste di approvazione in attesa, vai alla pagina Access Approval (Approvazione accesso) nella console Google Cloud.
Se hai scelto di ricevere richieste di Access Approval tramite email, puoi accedere a questa pagina anche facendo clic sul link nell'email che ti viene inviata con la richiesta di approvazione.
Per approvare una richiesta, fai clic su Approva.
Hai anche la possibilità di ignorare la richiesta. L'ignoramento della richiesta è facoltativo perché l'accesso continua a essere negato anche se non ignori la richiesta.
Se non approvi la richiesta di accesso del dipendente Google entro 14 giorni o prima della scadenza della richiesta, quest'ultima viene automaticamente ignorata.
Nella finestra di dialogo visualizzata, seleziona la data e l'ora in cui vuoi che l'accesso scada.
Seleziona Approva per approvare l'accesso fino alla data di scadenza impostata. nel tempo.
(Facoltativo) Per convalidare la firma di una richiesta dopo averla approvata, segui i passaggi descritti in Convalidare la firma di una richiesta.
cURL
Per approvare una richiesta di approvazione dell'accesso utilizzando cURL:
- Prendi il nome
approvalRequest
dal messaggio Pub/Sub. Esegui una chiamata API per approvare o ignorare
approvalRequest
.# HTTP POST request with empty body (an effect of using -d '') # service-account-credential.json is attained by going to the # IAM -> Service Accounts menu in the cloud console and creating # a service account. curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \ -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve
Puoi rispondere a una richiesta con una delle seguenti opzioni:
Azione Effetto Stato di accesso a Google :approve
Approva la richiesta. Rifiutato prima dell'approvazione, approvato dopo l'approvazione. :dismiss
Rifiuta la richiesta di approvazione. Ti consigliamo di ignorare la richiesta di accesso anziché non intraprendere alcuna azione. Se ignori la richiesta di accesso, il dipendente di Google ti contatterà. Rifiutato prima del licenziamento, rifiutato dopo il licenziamento. Nessuna azione L'accesso dei dipendenti di Google è ancora negato. Il dipendente Google deve aprire una nuova richiesta per accedere alla risorsa dopo che è trascorso il tempo di requestedExpiration
.Rifiutato prima di nessuna azione, rifiutato dopo la data di scadenza.
Dopo l'approvazione, lo stato della richiesta diventa Approved
. Qualsiasi
I dipendenti Google con caratteristiche corrispondenti all'ambito di approvazione possono
entro il periodo di tempo approvato. Queste caratteristiche di corrispondenza includono la stessa giustificazione, la stessa località o la stessa posizione della scrivania.
Access Approval non fornisce alcun ruolo IAM né alcuno una nuova autorizzazione al dipendente Google che ha richiesto l'accesso.
Se non approvi la richiesta di accesso del dipendente Google, l'accesso viene negato a dipendente Google. Se ignori la richiesta, questa viene rimossa solo dall'elenco delle richieste in attesa. Se non ignori una richiesta di approvazione, l'accesso continuerà da rifiutare.
Dopo l'attivazione, Access Transparency Registra tutti gli accessi ai contenuti principali dei clienti che approvi.
L'accesso al personale di Google è consentito fino alla scadenza dell'approvazione o fino a quando la giustificazione dell'accesso non è più valida. Ad esempio, l'accesso scade se La richiesta di assistenza per cui il personale Google ha richiesto l'accesso è chiusa.
Passaggi successivi
- Scopri di più sulle azioni del personale di Google che vengono escluse da Notifiche di Access Approval.
- Scopri di più sui campi di una richiesta di approvazione dell'accesso.