Zugriffsgenehmigungsanfragen genehmigen

In diesem Dokument wird erläutert, wie Sie eine Zugriffsgenehmigungsanfrage genehmigen.

Hinweis

  • Machen Sie sich mit den Konzepten auf der Seite Übersicht vertraut.

  • Weisen Sie dem Hauptkonto, dem Sie Genehmigungen erteilen möchten, die IAM-Rolle Access Approval Approver“ (roles/accessapproval.approver) für das Projekt, den Ordner oder die Organisation zu. Sie können die IAM-Rolle "Access Approval Approver" entweder einem einzelnen Nutzer, einem Dienstkonto oder einer Google-Gruppe zuweisen.

    Wenn Sie einen benutzerdefinierten Signaturschlüssel verwenden, müssen Sie dem Dienstkonto für die Zugriffsgenehmigung für Ihre Ressource auch die IAM-Rolle Cloud KMS CryptoKey-Signer/Prüffunktion (roles/cloudkms.signerVerifier) zuweisen. Wenn du einen von Google verwalteten Signaturschlüssel verwendest, musst du keine weiteren Berechtigungen bereitstellen.

    Informationen zum Zuweisen einer IAM-Rolle finden Sie unter Einzelne Rolle zuweisen.

Einstellungen für den Empfang von Benachrichtigungen konfigurieren

Sie haben die folgenden Möglichkeiten, Anfragen zur Zugriffsgenehmigung zu erhalten:

  • Sie erhalten Anfragen per E-Mail.
  • Anfragen über Pub/Sub empfangen.

Sie können auch beide Optionen auswählen.

Anfragen per E-Mail erhalten

Folgen Sie der Anleitung im Abschnitt E-Mail-Benachrichtigungen einrichten des Kurzanleitungsdokuments, um Anfragen zur Zugriffsgenehmigung per E-Mail zu erhalten.

Anfragen über Pub/Sub empfangen

So verwenden Sie Pub/Sub:

  1. Erstellen Sie in Pub/Sub ein Thema im Projekt, das Anfragen genehmigen soll. Sie können ein einzelnes Pub/Sub-Thema haben, das Anfragen für alle Projekte erhalten soll, oder separate Pub/Sub-Themen in jedem Projekt.
  2. Weisen Sie dem Genehmigungsdienstkonto in der Google Cloud Console die IAM-Rolle Pub/Sub-Publisher (roles/pubsub.publisher) für das Pub/Sub-Thema zu. Sie müssen dem folgenden Dienstkonto die erforderlichen Berechtigungen erteilen:

    customer-approval-jobs@system.gserviceaccount.com

  3. Geben Sie bei Cloud Customer Care die folgenden Informationen an:
    • Die Namen der Pub/Sub-Themen, die Sie erstellt haben.
    • Die eindeutige Kennung (Ordner-ID, Projektnummer oder Organisations-ID) der Ressource, für die das Thema Benachrichtigungen erhalten soll.

Nach Abschluss des vorherigen Verfahrens können Sie davon ausgehen, dass Sie Nachrichten in Ihrem Pub/Sub-Thema erhalten, die den Anfragen zur Zugriffsgenehmigung entsprechen.

Zugriffsgenehmigungsanfragen genehmigen

Nachdem Sie einige Nutzer als Genehmiger registriert haben, erhalten diese alle Zugriffsanfragen.

Console

So genehmigen Sie eine Zugriffsgenehmigungsanfrage mit der Cloud Console:

  1. Alle ausstehenden Genehmigungsanfragen finden Sie in der Cloud Console auf der Seite Zugriffsgenehmigung.

    Zur Zugriffsgenehmigung

    Wenn Sie den Anfragen zur Zugriffsgenehmigung per E-Mail zugestimmt haben, können Sie diese Seite durch Klicken auf den Link in der E-Mail aufrufen.

  2. Wenn Sie einer Anfrage zustimmen möchten, klicken Sie auf Genehmigen.

    Sie können sie aber auch ablehnen. Das Ablehnen der Anfrage ist optional, da der Zugriff auch dann verweigert wird, wenn Sie die Anfrage nicht ablehnen.

    Wenn du die Zugriffsanfrage von Google-Mitarbeitern nicht innerhalb von 14 Tagen oder vor Ablauf der Anfrage genehmigst, wird sie automatisch abgelehnt.

  3. Wählen Sie im daraufhin angezeigten Dialogfeld das Datum und die Uhrzeit für den Ablauf des Zugriffs aus.

  4. Wählen Sie Genehmigen aus, um den Zugriff bis zum festgelegten Ablaufdatum und zur festgelegten Uhrzeit zu genehmigen.

    Ablaufdatum und -uhrzeit für Anfrage zur Zugriffsgenehmigung auswählen

    Nachdem Sie die Anfrage genehmigt haben, ändert sich der Status der Anfrage in Approved. Google-Mitarbeiter mit Merkmalen, die mit der Genehmigung übereinstimmen (z. B. gleiche Begründung, gleicher Standort, Bürostandort), kann innerhalb des genehmigten Zeitraums Zugriff nehmen. Wenn du die Anfrage nicht genehmigst, wird die Zugriffsanfrage des Google-Mitarbeiters abgelehnt. Wenn Sie die Anfrage ablehnen, wird sie nur aus der Liste der ausstehenden Anfragen entfernt. Wenn Sie eine Genehmigungsanfrage nicht ablehnen, wird der Zugriff verweigert.

cURL

So genehmigen Sie eine Access Approval-Anfrage mit cURL:

  1. Übernehmen Sie den approvalRequest-Namen aus der Pub/Sub-Nachricht.

  2. Führen Sie einen API-Aufruf durch, um approvalRequest zu genehmigen oder zu verwerfen.

     # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

    Sie haben zwei Möglichkeiten, auf eine Anfrage zu antworten:

    Aktion Effekt Google-Zugriffsstatus
    :approve Genehmigt die Anfrage. Vor Genehmigung abgelehnt, nach Genehmigung genehmigt.
    :dismiss Lehnt die Genehmigungsanfrage ab. Wir raten davon ab, die Zugriffsanfrage abzulehnen. Wenn Sie die Zugriffsanfrage ablehnen, wird der Google-Mitarbeiter aufgefordert, sich zu informieren. Vor der Ablehnung abgelehnt, nach der Ablehnung abgelehnt.
    Keine Aktion Der Zugriff wird Google-Mitarbeitern weiterhin verweigert. Der Google-Mitarbeiter muss nach Ablauf der requestedExpiration-Zeit eine neue Zugriffsanfrage stellen. Verweigert vor "keine Aktion", verweigert nach Ablauf der Zeit.

  3. Nach der Genehmigung ändert sich der Status der Anfrage in Approved. Google-Mitarbeiter mit Merkmalen, die mit der Genehmigung übereinstimmen (z. B. gleiche Begründung, gleicher Standort, Bürostandort), kann innerhalb des genehmigten Zeitraums Zugriff nehmen.

  4. Wenn du die Anfrage nicht genehmigst oder ablehnst, wird die Zugriffsanfrage des Google-Mitarbeiters abgelehnt.

Weitere Informationen