本文档介绍了如何批准 Access Approval 请求。
准备工作
确保您了解概览页面中的概念。
针对您要执行审批的主帐号,向 Access Approval Approver (
roles/accessapproval.approver
) 授予项目、文件夹或组织的 IAM 角色。您可以向个人用户、服务帐号或 Google 群组授予 Access Approval Approver IAM 角色。如果您使用的是自定义签名密钥,则还必须向资源的 Access Approval 服务帐号授予 Cloud KMS CryptoKey Signer/Verifier (
roles/cloudkms.signerVerifier
) IAM 角色。如果您使用的是 Google 管理的签名密钥,则无需提供任何其他权限。如需了解如何授予 IAM 角色,请参阅授予单个角色。
配置用来接收通知的设置
您可以通过以下选项接收 Access Approval 请求:
- 通过电子邮件接收请求。
- 通过 Pub/Sub 接收请求。
您还可以选择这两个选项。
通过电子邮件接收请求
如需通过电子邮件接收 Access Approval 请求,请按照快速入门文档的设置电子邮件通知部分中的说明操作。
通过 Pub/Sub 接收请求
如需使用 Pub/Sub,请执行以下操作:
- 在应批准请求的项目的 Pub/Sub 中创建一个主题。您可以使用单个 Pub/Sub 主题来接收所有项目的请求,也可以单独使用每个项目中的 Pub/Sub 主题。
-
使用 Google Cloud Console,为审批服务帐号 Pub/Sub 发布商 (
roles/pubsub.publisher
) 提供 Pub/Sub 主题的 IAM 角色。您必须向以下服务帐号授予所需的权限:customer-approval-jobs@system.gserviceaccount.com
-
与 Cloud 客户服务联系,并提供以下详细信息:
- 您创建的 Pub/Sub 主题的名称。
- 主题应该接收通知的资源的唯一标识符(文件夹 ID、项目编号或组织 ID)。
完成上述过程后,您应该会在 Pub/Sub 主题中接收与 Access Approval 请求相对应的消息。
批准 Access Approval 请求
将一些用户注册为审批人后,这些用户会收到所有访问请求。
控制台
如需使用 Cloud Console 批准 Access Approval 请求,请执行以下操作:
如需查看所有待处理的审批请求,请转到 Cloud Console 中的 Access Approval 页面。
如果您已选择通过电子邮件接收 Access Approval 请求,也可以点击包含审批请求发送给您的电子邮件中的链接访问此页面。
要批准申请,请点击批准。
您也可以选择关闭请求。忽略请求是可选的,因为即使您不拒绝请求,访问也会继续被拒绝。
如果您在 14 天内或请求到期之前未批准 Google 员工的访问权限请求,则请求会自动关闭。
在打开的对话框中,选择您希望访问权限到期的日期和时间。
选择批准以批准在设置到期日期和时间之前进行访问。
您批准请求后,请求状态会更改为
Approved
。具有与批准相匹配的特征(例如,相同的理由、相同的位置、办公桌位置)的任何 Google 员工都可以在批准的时间范围内进行访问。如果您不批准该请求,系统将拒绝 Google 员工的访问请求。忽略请求只会将其从您的待处理请求列表中移除。如果您未拒绝审批请求,访问权限将不断遭拒。
cURL
如需使用 c网址 批准 Access Approval 请求,请执行以下操作:
- 从 Pub/Sub 消息中获取
approvalRequest
名称。 进行 API 调用以批准或拒绝该
approvalRequest
。# HTTP POST request with empty body (an effect of using -d '') # service-account-credential.json is attained by going to the # IAM -> Service Accounts menu in the cloud console and creating # a service account. curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \ -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve
您可以通过以下某种方式回复请求:
操作 影响 Google 访问状态 :approve
批准请求。 在批准前处于已拒绝状态,在批准后处于已批准状态。 :dismiss
拒绝要批准的请求。我们建议您忽略该访问权限请求,而不是采取任何行动。关闭访问权限请求后,Google 员工就会跟进。 在拒绝前处理已拒绝状态,在拒绝后处于已拒绝状态。 无操作 Google 员工访问仍被拒绝。Google 员工需要在 requestedExpiration
过后打开新的资源访问请求。在未采取任何操作之前处于已拒绝状态,在到期时间之后处于已拒绝状态。 批准后,请求的状态会更改为
Approved
。具有与批准相匹配的特征(例如,相同的理由、相同的位置、办公桌位置)的任何 Google 员工都可以在批准的时间范围内进行访问。如果您不批准或拒绝请求,那么 Google 员工的访问权限请求会遭到拒绝。