액세스 승인 요청 승인

이 문서에서는 액세스 승인 요청을 승인하는 방법을 설명합니다.

시작하기 전에

  • 개요 페이지의 개념을 이해해야 합니다.

  • 프로젝트, 폴더, 조직에서 액세스 승인자(roles/accessapproval.approver) IAM 역할을 승인을 수행할 주 구성원에게 부여합니다. 개별 사용자 ,서비스 계정 또는 Google 그룹에 액세스 승인자 IAM 역할을 부여할 수 있습니다.

    커스텀 서명 키를 사용하는 경우 해당 리소스의 액세스 승인 서비스 계정에 Cloud KMS CryptoKey 서명자/확인자(roles/cloudkms.signerVerifier) IAM 역할도 부여해야 합니다. Google 관리형 서명 키를 사용하는 경우 다른 권한을 제공할 필요가 없습니다.

    IAM 역할 부여에 대한 자세한 내용은 단일 역할 부여를 참조하세요.

알림을 수신하도록 설정 구성

액세스 승인 요청을 수신하는 옵션은 다음과 같습니다.

  • 이메일을 통해 요청 수신
  • Pub/Sub를 통해 요청 수신

이메일 및 Pub/Sub 알림 설정의 안내에 따라 이 두 가지 옵션을 모두 선택할 수 있습니다.

액세스 승인 요청 승인

일부 사용자를 승인자로 등록하면 해당 사용자는 모든 액세스 요청을 받습니다.

콘솔

Google Cloud 콘솔을 사용하여 액세스 승인 요청을 승인하려면 다음을 수행합니다.

  1. 대기 중인 모든 승인 요청을 보려면 Google Cloud 콘솔에서 액세스 승인 페이지로 이동합니다.

    액세스 승인으로 이동

    이메일을 통해 액세스 승인 요청을 수신하도록 선택한 경우 승인 요청과 함께 전송된 이메일 링크를 클릭하여 이 페이지로 이동할 수도 있습니다.

  2. 요청을 승인하려면 '승인'을 클릭하고

    요청을 취소하는 옵션도 있습니다. 요청을 취소하지 않아도 액세스가 계속 거부되기 때문에 요청 취소는 선택사항입니다.

    14일 이내 또는 요청이 만료되기 전에 Google 직원의 액세스 요청을 승인하지 않으면 요청이 자동으로 취소됩니다.

  3. 대화상자가 열리면 액세스를 만료하려는 날짜 및 시간을 선택합니다.

  4. 승인을 선택하면 설정된 만료 날짜 및 시간까지 액세스를 승인합니다.

    액세스 승인 요청의 만료 날짜 및 시간 선택

  5. 선택사항: 요청을 승인한 후 요청의 서명을 확인하려면 요청 서명 검증의 단계를 따르세요.

cURL

cURL을 사용하여 액세스 승인 요청을 승인하려면 다음을 수행합니다.

  1. Pub/Sub 메시지에서 approvalRequest 이름을 가져옵니다.
  2. approvalRequest를 승인 또는 취소하도록 API를 호출합니다.

     # HTTP POST request with empty body (an effect of using -d '')
     # service-account-credential.json is attained by going to the
     # IAM -> Service Accounts menu in the cloud console and creating
     # a service account.
     curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
       -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve
    

    다음 옵션 중 하나를 사용하여 요청에 응답할 수 있습니다.

    작업 효과 Google 액세스 상태
    :approve 요청을 승인합니다. 승인 전에는 거부되고 승인 후에 승인됩니다.
    :dismiss 승인 요청을 취소합니다. 아무 조치도 취하지 않는 것보다 액세스 요청을 취소하는 것이 좋습니다. 액세스 요청을 취소하면 Google 직원에게 후속 조치를 요청하는 메시지가 표시됩니다. 취소하기 전에는 거부되고 취소 후에도 거부됩니다.
    적용할 작업 없음 Google 직원 액세스가 여전히 거부됩니다. requestedExpiration 시간이 지나면 Google 직원이 리소스 액세스에 대한 새 요청을 열어야 합니다. 조치를 취하기 전에는 거부되고 만료 시간이 경과된 후에도 거부됩니다.

요청을 승인하면 요청 상태가 Approved로 변경됩니다. 승인 범위와 일치하는 특성을 가진 모든 Google 직원은 승인된 시간 내에 액세스할 수 있습니다. 이러한 일치 특성에는 동일한 근거, 위치 또는 사무실 위치가 포함됩니다.

액세스 승인은 액세스를 요청한 Google 직원에게 IAM 역할이나 새 권한을 제공하지 않습니다.

Google 직원의 액세스 요청을 승인하지 않으면 Google 직원의 액세스가 거부됩니다. 요청을 취소하면 대기 중인 요청 목록에서 요청만 삭제됩니다. 승인 요청을 취소하지 못하면 액세스가 계속 거부됩니다.

사용 설정하면 액세스 투명성은 승인된 핵심 고객 콘텐츠에 대한 모든 액세스를 로깅합니다.

승인이 만료되거나 액세스 근거가 더 이상 유효하지 않을 때까지 Google 직원에게 액세스가 허용됩니다. 예를 들어 Google 직원이 액세스를 요청한 지원 케이스가 종료되면 액세스가 만료됩니다.

다음 단계