Approuver les demandes Access Approval

Ce document explique comment approuver une demande d'autorisation d'accès.

Avant de commencer

  • Assurez-vous que vous comprenez les concepts figurant sur la page Présentation.

  • Attribuez le rôle IAM "Approbateur des autorisations d'accès" (roles/accessapproval.approver) sur le projet, le dossier ou l'organisation au principal qui doit pouvoir effectuer des approbations. Vous pouvez attribuer le rôle IAM "Approbateur des autorisations d'accès" à un utilisateur individuel, à un compte de service ou à un groupe Google.

    Si vous utilisez une clé de signature personnalisée, vous devez également attribuer le rôle IAM "Signataire/Validateur de CryptoKeys Cloud KMS (roles/cloudkms.signerVerifier)" au compte de service Access Approval pour votre ressource. Si vous utilisez une clé de signature gérée par Google, vous n'avez pas besoin de fournir d'autres autorisations.

    Pour en savoir plus sur l'attribution d'un rôle IAM, consultez la section Accorder un seul rôle.

Configurer les paramètres pour recevoir les notifications

Vous disposez des options suivantes pour recevoir des demandes d'approbation d'accès:

  • Recevoir les demandes par e-mail
  • Recevoir des requêtes via Pub/Sub

Vous pouvez également choisir ces deux options.

Recevoir des demandes par e-mail

Pour recevoir des demandes d'autorisation d'accès par e-mail, suivez les instructions de la section Configurer des notifications par e-mail du document de démarrage rapide.

Recevoir des requêtes via Pub/Sub

Pour utiliser Pub/Sub, procédez comme suit:

  1. Créez un sujet dans Pub/Sub dans le projet qui doit approuver les requêtes. Vous pouvez avoir un seul sujet Pub/Sub qui doit recevoir des requêtes pour tous les projets, ou des sujets Pub/Sub distincts pour chaque projet.
  2. À l'aide de Google Cloud Console, attribuez le compte de service d'approbation Éditeur Pub/Sub (roles/pubsub.publisher) Rôle IAM au sujet Pub/Sub. Vous devez accorder les autorisations requises au compte de service suivant:

    customer-approval-jobs@system.gserviceaccount.com

  3. Contactez le service client Cloud en fournissant les informations suivantes :
    • Noms des sujets Pub/Sub que vous avez créés.
    • Identifiant unique (ID de dossier, numéro de projet ou ID d'organisation) de la ressource pour laquelle le sujet doit recevoir des notifications.

Une fois la procédure précédente terminée, vous pouvez vous attendre à recevoir dans votre sujet Pub/Sub des messages correspondant aux requêtes Access Approval.

Approuver les demandes d'autorisation d'accès

Une fois que vous avez inscrit certains utilisateurs en tant qu'approbateurs, ils reçoivent toutes les requêtes d'accès.

Console

Pour approuver une demande d'autorisation d'accès à l'aide de Cloud Console, procédez comme suit:

  1. Pour consulter toutes vos demandes d'approbation en attente, accédez à la page Access Approval dans Cloud Console.

    Accéder à la page "Access Approval"

    Si vous avez choisi de recevoir les demandes d'approbation d'accès par e-mail, vous pouvez également accéder à cette page en cliquant sur le lien figurant dans l'e-mail qui vous a été envoyé avec la demande d'approbation.

  2. Pour approuver une demande, cliquez sur Approuver.

    Vous avez également la possibilité d'ignorer la demande. Le fait d'ignorer la requête est facultatif, car l'accès continue d'être refusé, même si vous la refusez.

    Si vous n'approuvez pas la demande d'accès de l'employé de Google sous 14 jours ou avant son expiration, la demande est automatiquement ignorée.

  3. Dans la boîte de dialogue qui s'ouvre, sélectionnez la date et l'heure auxquelles vous souhaitez que l'accès expire.

  4. Sélectionnez Approuver pour approuver l'accès jusqu'à la date et l'heure d'expiration définies.

    Sélectionner la date et l'heure d'expiration de la demande d'approbation d'accès

    Une fois votre demande approuvée, son état passe à Approved. Tout employé de Google dont les caractéristiques correspondent à l'approbation (par exemple, même motif de justification, même adresse et adresse professionnelle) peut effectuer un accès dans le délai approuvé. Si vous n'approuvez pas la demande, sa demande d'accès sera refusée. En ignorant la requête, vous la supprimez uniquement de votre liste de requêtes en attente. Si vous ne parvenez pas à ignorer une demande d'approbation, l'accès continue d'être refusé.

cURL

Pour approuver une demande d'autorisation d'accès à l'aide de cURL, procédez comme suit:

  1. Récupérez le nom approvalRequest du message Pub/Sub.
  2. Faites un appel d'API pour approuver ou rejeter cette approvalRequest.

     # HTTP POST request with empty body (an effect of using -d '')
     # service-account-credential.json is attained by going to the
     # IAM -> Service Accounts menu in the cloud console and creating
     # a service account.
     curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
       -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve
    

    Vous pouvez répondre à une demande de l'une des manières suivantes:

    Action Effet État de l'accès à Google
    :approve Approuve la demande. Refusé avant approbation, approuvé après approbation.
    :dismiss Ignore la demande d'approbation. Nous vous recommandons d'ignorer la demande d'accès au lieu de prendre des mesures. En ignorant la demande d'accès, l'employé Google est invité à le suivre. Refusé avant suppression, refusé après suppression.
    Aucune action L'accès des employés de Google est toujours refusé. L'employé de Google doit ouvrir une nouvelle demande d'accès à la ressource une fois le temps écoulé (requestedExpiration). Refusé avant l'absence d'action, refusé une fois le délai d'expiration écoulé.
  3. Après approbation, l'état de la demande passe à Approved. Tout employé de Google dont les caractéristiques correspondent à l'approbation (par exemple, même motif de justification, même adresse et adresse professionnelle) peut effectuer un accès dans le délai approuvé.

  4. Si vous n'approuvez ou ne ignorez pas la demande, la demande d'accès de l'employé Google sera refusée.

Étapes suivantes