Esta página foi traduzida pela API Cloud Translation.

Como aprovar solicitações do Access Approval

Neste documento, explicamos como aprovar uma solicitação do Access Approval.

Antes de começar

Entenda os conceitos na página Visão geral.
Conceda o papel do IAM de aprovador do Access Approval (roles/accessapproval.approver) no projeto, pasta ou organização ao principal que você quer que realize as aprovações. É possível conceder o papel de aprovador de aprovação de acesso do IAM a um usuário individual, uma conta de serviço ou um grupo do Google.

Se você estiver usando uma chave de assinatura personalizada, também precisa conceder o papel do IAM Signatário/verificador de CryptoKey do Cloud KMS (roles/cloudkms.signerVerifier) à conta de serviço de aprovação de acesso do seu recurso. Se você estiver usando uma chave de assinatura gerenciada pelo Google, não vai precisar fornecer outras permissões.

Para informações sobre como conceder um papel do IAM, consulte Conceder um único papel.

Configurar as configurações para receber notificações

Você tem as seguintes opções para receber solicitações de aprovação de acesso:

Receber solicitações por e-mail.
Receber solicitações pelo Pub/Sub.

É possível escolher essas duas opções seguindo as instruções em Como configurar notificações por e-mail e do Pub/Sub.

Aprovar solicitações de aprovação de acesso

Depois de inscrever alguns usuários como aprovadores, eles vão receber todas as solicitações de acesso.

Console

Para aprovar uma solicitação de aprovação de acesso usando o console do Google Cloud , faça o seguinte:

Para conferir todas as solicitações de aprovação pendentes, acesse a página Access Approval no console do Google Cloud .

Acessar a Aprovação de acesso

Se você tiver optado por receber solicitações de aprovação de acesso por e-mail, também poderá acessar esta página clicando no link no e-mail enviado com a solicitação de aprovação.

Observação: você só pode ver as solicitações de aprovação de acesso pendentes para o nível de hierarquia que você selecionou. Por exemplo, se você selecionou uma pasta, só vai poder ver as solicitações de aprovação de acesso feitas para recursos no nível da pasta, não todos os projetos nessas pastas.
Para aprovar um pedido, clique em Aprovar.

Você também tem a opção de recusar a solicitação. A dispensa da solicitação é opcional, porque o acesso continua sendo negado mesmo que você não a recuse.

Se você não aprovar a solicitação de acesso do funcionário do Google em 14 dias ou antes do vencimento, ela será automaticamente rejeitada.
Na caixa de diálogo que aparece, selecione a data e a hora em que você quer que o acesso expire.

Observação: a opção de aprovação em massa não permite selecionar a data e a hora de expiração.
Selecione Aprovar para aprovar o acesso até a data e a hora de validade definidas.
Opcional: para validar a assinatura em uma solicitação após a aprovação, siga as etapas em Validar a assinatura de uma solicitação.

cURL

Para aprovar uma solicitação do Access Approval usando cURL, faça o seguinte:

Pegue o nome approvalRequest da mensagem do Pub/Sub.

Faça uma chamada de API para aprovar ou recusar esse approvalRequest.

 # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

Você pode responder a uma solicitação com uma das seguintes opções:

Ação	Efeito	Estado de acesso do Google
`:approve`	Aprova a solicitação.	Negado antes da aprovação, aprovado após a aprovação.
`:dismiss`	Rejeita a solicitação de aprovação. Recomendamos que você ignore a solicitação de acesso em vez de não fazer nada. A dispensa da solicitação de acesso faz com que o funcionário do Google entre em contato.	Negado antes da recusa, negado após a recusa.
Nenhuma ação	O acesso de funcionários do Google ainda é negado. O funcionário do Google precisa abrir uma nova solicitação para acessar o recurso após o tempo de `requestedExpiration` passar.	Negado antes de nenhuma ação, negado após o prazo de validade.

Depois que você aprovar a solicitação, o status dela vai mudar para Approved. Qualquer funcionário do Google com características correspondentes ao escopo de aprovação pode fazer um acesso dentro do prazo aprovado. Essas características correspondentes incluem a mesma justificativa, local ou local do espaço de trabalho.

A aprovação de acesso não fornece nenhum papel do IAM nem nenhuma nova permissão ao funcionário do Google que solicitou o acesso.

Se você não aprovar a solicitação de acesso do funcionário do Google, o acesso será negado a ele. Recusar a solicitação apenas a remove da sua lista de solicitações pendentes. Se você não aceitar uma solicitação de aprovação, o acesso continuará a ser negado.

Depois de ativada, a Transparência no acesso registra todos os acessos ao conteúdo principal do cliente que você aprovou.

O acesso ao pessoal do Google é permitido até que a aprovação expire ou a justificação para o acesso não seja mais válida. Por exemplo, o acesso expira se o caso de suporte para o qual a equipe do Google solicitou acesso for encerrado.

A seguir

Saiba mais sobre as ações do pessoal do Google excluídas das notificações do Access Approval.
Saiba mais sobre os campos de uma solicitação de aprovação de acesso.