Diese Seite wurde von der Cloud Translation API übersetzt.

Zugriffsgenehmigungsanfragen genehmigen

In diesem Dokument wird erläutert, wie eine Anfrage für die Zugriffsgenehmigung genehmigt wird.

Hinweise

Stellen Sie sicher, dass Sie die Konzepte Übersicht angezeigt.
Genehmiger für Zugriffsgenehmigungen gewähren (roles/accessapproval.approver) IAM-Rolle für das Projekt, den Ordner oder Organisation mit dem Hauptkonto wen Sie Genehmigungen erteilen möchten. Sie können die IAM-Rolle „Genehmiger für Zugriffsgenehmigungen“ entweder einem einzelnen Nutzer, einem Dienstkonto oder einer Google-Gruppe zuweisen.

Wenn Sie einen benutzerdefinierten Signaturschlüssel verwenden, müssen Sie dem Dienstkonto für die Zugriffsgenehmigung für Ihre Ressource auch die IAM-Rolle „Cloud KMS CryptoKey-Signer/Prüffunktion“ (roles/cloudkms.signerVerifier) zuweisen. Wenn Sie eine von Google verwalteter Signaturschlüssel. Sie müssen keine weiteren Berechtigungen erteilen.

Informationen zum Zuweisen einer IAM-Rolle finden Sie unter Erteilen von eine einzige Rolle.

Einstellungen für den Empfang von Benachrichtigungen konfigurieren

Sie haben folgende Möglichkeiten, Anfragen für die Zugriffsgenehmigung zu erhalten:

Anfragen per E-Mail erhalten.
Anfragen über Pub/Sub empfangen.

Sie können beide Optionen auswählen. Folgen Sie dazu der Anleitung unter E-Mail- und Pub/Sub-Benachrichtigungen einrichten.

Anfragen für die Zugriffsgenehmigung genehmigen

Nachdem Sie einige Nutzer als Genehmiger registriert haben, erhalten diese Nutzer alle Zugriffsanfragen.

Console

So genehmigen Sie einen Antrag auf Zugriffsberechtigung über die Google Cloud Console:

Alle ausstehenden Genehmigungsanfragen finden Sie in der Seite Zugriffsgenehmigung in der Google Cloud Console.

Zugriffsgenehmigung aufrufen

Wenn Sie Anfragen für die Zugriffsgenehmigung per E-Mail erhalten möchten, können Sie auch auf den Link in der E-Mail klicken, die Sie mit der Genehmigungsanfrage erhalten haben, um auf diese Seite weitergeleitet zu werden.

Hinweis: Sie können nur die ausstehenden Anfragen für die Zugriffsgenehmigung für der ausgewählten Hierarchieebene. Wenn Sie beispielsweise ein sehen Sie nur die Anfragen für die Zugriffsgenehmigung für Ressourcen auf Ordnerebene, nicht alle Projekte in diesen Ordnern.
Wenn Sie einer Anfrage zustimmen möchten, klicken Sie auf Genehmigen.

Du hast auch die Möglichkeit, den Antrag abzulehnen. Das Ablehnen der Anfrage ist optional, da der Zugriff auch dann verweigert wird, wenn Sie die Anfrage nicht ablehnen.

Wenn Sie den Zugriffsantrag des Google-Mitarbeiters nicht innerhalb von 14 Tagen oder vor Ablauf des Antrags genehmigen, wird er automatisch abgelehnt.
Wählen Sie im Dialogfeld, das geöffnet wird, das gewünschte Datum und die gewünschte Uhrzeit aus. der Zugriff verfällt.

Hinweis: Bei der Bulk-Genehmigung können Sie das Ablaufdatum und ‑uhrzeit nicht auswählen.
Wählen Sie Genehmigen aus, um den Zugriff bis zum festgelegten Ablaufdatum und zur festgelegten Ablaufzeit zu genehmigen.
Optional: Um die Signatur einer Anfrage nach der Genehmigung zu validieren, befolgen Sie die Schritte in Anfragesignatur validieren

cURL

So genehmigen Sie eine Anfrage für die Zugriffsgenehmigung mit cURL:

Übernehmen Sie den approvalRequest-Namen aus der Pub/Sub-Nachricht.

Führen Sie einen API-Aufruf durch, um approvalRequest zu genehmigen oder zu verwerfen.

 # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

Sie haben folgende Möglichkeiten, auf eine Anfrage zu antworten:

Aktion	Effekt	Google-Zugriffsstatus
`:approve`	Genehmigt die Anfrage.	Vor Genehmigung abgelehnt, nach Genehmigung genehmigt.
`:dismiss`	Lehnt die Genehmigungsanfrage ab. Wir empfehlen, den Zugriff abzulehnen, anstatt keine Maßnahmen zu ergreifen. Wenn Sie die Zugriffsanfrage ablehnen, wird der Google-Mitarbeiter aufgefordert, sich mit Ihnen in Verbindung zu setzen.	Vor der Ablehnung abgelehnt, nach der Ablehnung abgelehnt.
Keine Aktion	Der Zugriff wird Google-Mitarbeitern weiterhin verweigert. Ein Google-Mitarbeiter muss nach Ablauf der `requestedExpiration`-Zeit eine neue Anfrage für den Zugriff auf die Ressource stellen.	Verweigert vor "keine Aktion", verweigert nach Ablauf der Zeit.

Nachdem Sie die Anfrage genehmigt haben, ändert sich der Anfragestatus in Approved. Beliebig Google-Mitarbeiter mit Eigenschaften, die dem Genehmigungsumfang entsprechen, können eine innerhalb des genehmigten Zeitraums zu erhalten. Zu diesen übereinstimmenden Merkmalen gehören dieselbe Begründung, derselbe Standort oder derselbe Schreibtischstandort.

Die Zugriffsgenehmigung gewährt dem Google-Mitarbeiter, der den Zugriff angefordert hat, keine IAM-Rolle und keine neue Berechtigung.

Wenn Sie den Zugriffsantrag des Google-Mitarbeiters nicht genehmigen, wird ihm der Zugriff verweigert. Wenn Sie die Anfrage ablehnen, wird sie nur aus der Liste der ausstehenden Anfragen entfernt. Wenn Sie eine Genehmigungsanfrage nicht ablehnen, wird der Zugriff weiterhin verweigert.

Nach der Aktivierung werden mit Access Transparency alle von Ihnen genehmigten Zugriffe auf wichtige Kundeninhalte protokolliert.

Der Zugriff für Google-Mitarbeiter ist zulässig, bis die Genehmigung abläuft oder die Begründung für den Zugriff nicht mehr gültig ist. Der Zugriff läuft beispielsweise ab, wenn der Supportanfrage, für die Google-Mitarbeiter den Zugriff angefordert haben, ist geschlossen.