核准 Access Approval 要求
本文說明如何核准存取權核准要求。
事前準備
請務必瞭解「總覽」頁面中的概念。
將專案、資料夾或機構的「存取權核准核准者」(
roles/accessapproval.approver) IAM 角色授予主體,以便執行核准作業。您可以將存取權核准核准者 IAM 角色授予個別使用者、服務帳戶或Google 群組。如果您使用的是自訂簽署金鑰,則必須為資源的存取權核准服務帳戶授予 Cloud KMS CryptoKey 簽署者/驗證者 (
roles/cloudkms.signerVerifier) IAM 角色。如果您使用 Google 管理的簽署金鑰,則不需要提供任何其他權限。如要進一步瞭解如何授予 IAM 角色,請參閱「授予單一角色」一文。
設定接收通知
您可以選擇接收存取權核准要求:
- 透過電子郵件接收要求。
- 透過 Pub/Sub 接收要求。
您可以按照「設定電子郵件和 Pub/Sub 通知」中的指示,選擇這兩種選項。
核准存取權核准要求
將部分使用者註冊為核准者後,這些使用者會收到所有存取權要求。
控制台
如要使用Google Cloud 主控台核准存取權核准要求,請執行下列操作:
如要查看所有待核准的要求,請前往 Google Cloud 控制台的「存取權核准」頁面。
如果您選擇透過電子郵件接收存取權核准要求,也可以按一下電子郵件中附帶的核准要求連結,前往這個頁面。
如要核准要求,請按一下「核准」。
你也可以選擇拒絕要求。關閉要求是選用功能,因為即使您不關閉要求,存取權仍會持續遭到拒絕。
如果您未在 14 天內或在要求到期前核准 Google 員工的存取權要求,系統會自動拒絕要求。
在隨即開啟的對話方塊中,選取存取權到期日。
選取「核准」,即可核准存取權,直到設定的到期日和時間。
選用步驟:如要在核准要求後驗證簽章,請按照「驗證要求簽章」中的步驟操作。
cURL
如要使用 cURL 核准 Access Approval 要求,請執行下列步驟:
- 從 Pub/Sub 訊息中取得
approvalRequest名稱。 發出 API 呼叫,核准或拒絕該
approvalRequest。# HTTP POST request with empty body (an effect of using -d '') # service-account-credential.json is attained by going to the # IAM -> Service Accounts menu in the cloud console and creating # a service account. curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \ -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve您可以使用下列任一選項回覆要求:
動作 效果 Google 存取狀態 :approve核准要求。 核准前遭拒,核准後核准。 :dismiss關閉核准要求。建議您拒絕存取要求,而不是不採取任何行動。關閉存取權要求後,Google 員工會追蹤後續情況。 在解雇前拒絕,在解雇後拒絕。 沒有動作 Google 員工存取權仍遭拒。 requestedExpiration時間過後,Google 員工必須提出新的存取要求,才能存取該項資源。在無動作前拒絕,在到期時間後拒絕。
核准要求後,要求狀態會變更為 Approved。凡是符合核准範圍條件的 Google 員工,都可以在核准時間範圍內存取資料。這些相符特徵包括相同的對齊方式、位置或辦公桌位置。
存取權核准功能不會向提出存取權要求的 Google 員工提供任何 IAM 角色或新權限。
如果您不核准 Google 員工的存取要求,系統就會拒絕 Google 員工的存取權。拒絕要求只會將其從待處理要求清單中移除。如果您無法關閉核准要求,存取權仍會繼續遭到拒絕。
啟用後,資料存取透明化控管機制會記錄您核准的所有客戶資料存取行為。
直到核准期限到期或存取理由不再有效為止。舉例來說,如果 Google 人員要求存取權的客服案件已結案,存取權就會到期。