AccessApprovalSettings

与 Access Approval 相关的项目/文件夹/组织的设置。

JSON 表示法 
{
  "name": string,
  "notificationEmails": [
    string
  ],
  "enrolledServices": [
    {
      object (EnrolledService)
    }
  ],
  "enrolledAncestor": boolean,
  "activeKeyVersion": string,
  "ancestorHasActiveKeyVersion": boolean,
  "invalidKeyVersion": boolean,
  "preferredRequestExpirationDays": integer,
  "preferNoBroadApprovalRequests": boolean
}
字段
name

string

设置的资源名称。格式为以下之一:

  • “projects/{project}/accessApprovalSettings”
  • “folders/{folder}/accessApprovalSettings”
  • "organizations/{organization}/accessApprovalSettings"
notificationEmails[]

string

电子邮件地址列表,用于接收与审批请求相关的通知。与资源相关的通知将发送到该资源的祖先资源设置中的所有电子邮件地址。最多可以输入 50 个电子邮件地址。
enrolledServices[]

object (EnrolledService)

指定资源已注册 Access Approval 的 Google Cloud 服务列表。针对此处包含的任何服务,对于按名称指定的资源发出的访问请求必须获得明确批准。如果名称中指的是组织,则可以为单个服务完成注册。如果名称涉及文件夹或项目,则只能完全注册或不注册。

如果此列表中出现重复的 cloudProduct,则第一个条目将优先,后续所有条目都将被舍弃。最多将强制执行 10 项已注册的服务,并且随着受支持的服务集的增加,将强制执行更多服务。
enrolledAncestor

boolean

仅限输出。此字段是只读字段(无法通过 projects.updateAccessApprovalSettings 方法设置)。如果此字段为 true,则表示至少有一项服务已在项目或文件夹的一个或多个祖先实体中注册了 Access Approval(由于组织没有祖先实体,因此该字段将始终处于未设置状态的组织)。
activeKeyVersion

string

用于对审批请求签名的非对称加密密钥版本。ActiveKeyVersion 为空表示应使用 Google 管理的密钥进行签名。如果此属性由该资源的祖先设置,则会被忽略,并且不能设置新的非空值。
ancestorHasActiveKeyVersion

boolean

仅限输出。此字段是只读字段(无法通过 projects.updateAccessApprovalSettings 方法设置)。如果该字段为 true,则表示此项目或文件夹的祖先已设置 activityKeyVersion(由于组织没有祖先实体,因此该字段将始终处于未设置状态)。
invalidKeyVersion

boolean

仅限输出。此字段是只读字段(无法通过 projects.updateAccessApprovalSettings 方法设置)。如果此字段为 true,则表示资源层次结构中在此级别配置的 ActiveKeyVersion 存在某种配置问题(例如,不存在或 Access Approval 服务帐号没有正确的权限等)。此密钥版本不一定是此级别的有效密钥版本,因为密钥版本自上而下继承。
preferredRequestExpirationDays

integer

此偏好设置会与 Google 员工共享,但如果其认为必要,也可以覆盖此偏好设置。审批人最终可以在审批时设置失效日期。
preferNoBroadApprovalRequests

boolean

此偏好设置会在发送审批请求时告知 Google 员工,但必要时可以覆盖。

EnrolledService

表示将云资源注册到特定服务。

JSON 表示法 
{
  "cloudProduct": string,
  "enrollmentLevel": enum (EnrollmentLevel)
}
字段
cloudProduct

string

将为其注册 Access Approval 的产品。允许的值如下所示(区分大小写):

  • 全部
  • GA
  • App Engine
  • Artifact Registry
  • BigQuery
  • Certificate Authority Service
  • Cloud Bigtable
  • Cloud Key Management Service
  • Compute Engine
  • Cloud Composer
  • Cloud Dataflow
  • Cloud Dataproc
  • Cloud DLP
  • Cloud EKM
  • Cloud Firestore
  • Cloud HSM
  • Cloud Identity and Access Management
  • Cloud Logging
  • Cloud NAT
  • Cloud Pub/Sub
  • Cloud Spanner
  • Cloud SQL
  • Cloud Storage
  • Eventarc
  • Google Kubernetes Engine
  • 组织政策服务
  • Persistent Disk
  • Resource Manager
  • Secret Manager
  • Speaker ID

注意 :旧版支持使用这些值作为输入,但 API 不会返回这些值。

  • 全部
  • ga-only
  • appengine.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • bigtable.googleapis.com
  • container.googleapis.com
  • cloudkms.googleapis.com
  • cloudresourcemanager.googleapis.com
  • cloudsql.googleapis.com
  • compute.googleapis.com
  • dataflow.googleapis.com
  • dataproc.googleapis.com
  • dlp.googleapis.com
  • iam.googleapis.com
  • logging.googleapis.com
  • orgpolicy.googleapis.com
  • pubsub.googleapis.com
  • spanner.googleapis.com
  • secretmanager.googleapis.com
  • speakerid.googleapis.com
  • storage.googleapis.com

使用“all”或任何 XXX.googleapis.com 调用 projects.updateAccessApprovalSettings 将转换为关联的产品名称(“all”“App Engine”等)。

注意:“全部”会在支持的“正式版”和“预览版”所有产品中注册资源。

如需详细了解支持级别,请访问 https://cloud.google.com/access-approval/docs/supported-services
enrollmentLevel

enum (EnrollmentLevel)

服务的注册级别。

EnrollmentLevel

表示指定服务的 Access Approval 注册类型。

枚举
ENROLLMENT_LEVEL_UNSPECIFIED 不应使用 proto 的默认值。
BLOCK_ALL 服务已在 Access Approval 中针对所有请求注册