Approuver les demandes Access Approval

Ce document explique comment approuver une demande Access Approval.

Avant de commencer

Assurez-vous de bien comprendre les concepts présentés sur la page Présentation.
Attribuez le rôle IAM "Approbateur des autorisations d'accès" (roles/accessapproval.approver) sur le projet, le dossier ou l'organisation à l'entité principale devant laquelle vous souhaitez effectuer des approbations. Vous pouvez attribuer le rôle IAM "Approbateur des autorisations d'accès" à un utilisateur individuel, à un compte de service ou à un groupe Google.

Si vous utilisez une clé de signature personnalisée, vous devez également attribuer le rôle IAM de signataire/vérificateur de CryptoKey Cloud KMS (roles/cloudkms.signerVerifier) au compte de service Access Approval pour votre ressource. Si vous utilisez une clé de signature gérée par Google, vous n'avez pas besoin de fournir d'autres autorisations.

Pour en savoir plus sur l'attribution d'un rôle IAM, consultez la page Attribuer un seul rôle.

Configurez les paramètres pour recevoir des notifications

Vous disposez des options suivantes pour recevoir des demandes d'approbation d'accès:

Recevoir les demandes par e-mail
Recevoir des requêtes via Pub/Sub

Vous pouvez choisir ces deux options en suivant les instructions de la section Configurer les notifications par e-mail et Pub/Sub.

Approuver les demandes Access Approval

Une fois que vous avez enregistré certains utilisateurs en tant qu'approbateurs, ces utilisateurs reçoivent toutes les demandes d'accès.

Console

Pour approuver une demande d'approbation d'accès à l'aide de la console Google Cloud, procédez comme suit:

Pour afficher toutes vos demandes d'approbation en attente, accédez à la page Access Approval dans la console Google Cloud.

Accéder à Access Approval

Si vous avez choisi de recevoir des demandes d'approbation d'accès par e-mail, vous pouvez également accéder à cette page en cliquant sur le lien figurant dans l'e-mail qui vous a été envoyé avec la demande d'approbation.

Remarque :Vous ne pouvez afficher que les demandes Access Approval en attente pour le niveau de hiérarchie que vous avez sélectionné. Par exemple, si vous avez sélectionné un dossier, vous ne pouvez afficher que les demandes d'approbation d'accès effectuées pour les ressources au niveau du dossier, et non pour tous les projets contenus dans ces dossiers.
Pour approuver une demande, cliquez sur Approuver.

Vous avez également la possibilité d'ignorer la demande. Cette opération est facultative, car l'accès continue d'être refusé même si vous ne l'ignorez pas.

Si vous n'approuvez pas la demande d'accès de l'employé de Google dans un délai de 14 jours ou avant son expiration, la demande est automatiquement ignorée.
Dans la boîte de dialogue qui s'affiche, sélectionnez la date et l'heure auxquelles vous souhaitez que l'accès expire.

Remarque :L'option d'approbation groupée ne vous permet pas de sélectionner la date et l'heure d'expiration.
Sélectionnez Approuver pour approuver l'accès jusqu'à la date et l'heure d'expiration définies.

cURL

Pour approuver une demande d'approbation d'accès à l'aide de cURL, procédez comme suit:

Récupérez le nom approvalRequest du message Pub/Sub.

Faites un appel d'API pour approuver ou rejeter cette approvalRequest.

 # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

Vous pouvez répondre à une demande de l'une des façons suivantes:

Action	Effet	État de l'accès à Google
`:approve`	Approuve la demande.	Refusé avant approbation, approuvé après approbation.
`:dismiss`	Ignore la demande d'approbation. Nous vous recommandons d'ignorer la demande d'accès au lieu de ne rien faire. Lorsqu'il ignore la demande d'accès, l'employé Google fait un suivi.	Refusé avant suppression, refusé après suppression.
Aucune action	L'accès des employés de Google est toujours refusé. L'employé Google doit ouvrir une nouvelle demande pour accéder à la ressource une fois le délai de `requestedExpiration` écoulé.	Refusé avant l'absence d'action, refusé une fois le délai d'expiration écoulé.

Une fois la demande approuvée, son état passe à Approved. Tout employé de Google dont les caractéristiques correspondent au champ d'application d'approbation peut effectuer un accès dans le délai approuvé. Ces caractéristiques de correspondance incluent la même justification, le même emplacement ou le même emplacement de bureau.

Access Approval n'accorde aucun rôle IAM ni aucune nouvelle autorisation à l'employé de Google qui a demandé l'accès.

Si vous n'approuvez pas la demande d'accès de l'employé de Google, l'accès est refusé à l'employé de Google. Lorsque vous ignorez la requête, celle-ci n'apparaît plus dans votre liste de requêtes en attente. Si vous ne parvenez pas à rejeter une demande d'approbation, l'accès continue d'être refusé.

Une fois l'activation effectuée, Access Transparency consigne tous les accès aux contenus client principaux que vous approuvez.

L'accès au personnel de Google est autorisé jusqu'à ce que l'approbation expire ou que la justification de l'accès ne soit plus valide. Par exemple, l'accès expire si la demande d'assistance pour laquelle le personnel de Google a demandé l'accès est clôturée.

Étapes suivantes

Découvrez les actions du personnel de Google exclues des notifications Access Approval.
En savoir plus sur les champs d'une demande Access Approval