批准 Access Approval 请求

本文档介绍了如何批准 Access Approval 请求。

准备工作

  • 确保您了解概览页面中的概念。

  • 针对您要执行审批的主帐号,向 Access Approval Approver (roles/accessapproval.approver) 授予项目、文件夹或组织的 IAM 角色。您可以向个人用户服务帐号Google 群组授予 Access Approval Approver IAM 角色。

    如果您使用的是自定义签名密钥,则还必须向资源的 Access Approval 服务帐号授予 Cloud KMS CryptoKey Signer/Verifier (roles/cloudkms.signerVerifier) IAM 角色。如果您使用的是 Google 管理的签名密钥,则无需提供任何其他权限。

    如需了解如何授予 IAM 角色,请参阅授予单个角色

配置用来接收通知的设置

您可以通过以下选项接收 Access Approval 请求:

  • 通过电子邮件接收请求。
  • 通过 Pub/Sub 接收请求。

您还可以选择这两个选项。

通过电子邮件接收请求

如需通过电子邮件接收 Access Approval 请求,请按照快速入门文档的设置电子邮件通知部分中的说明操作。

通过 Pub/Sub 接收请求

如需使用 Pub/Sub,请执行以下操作:

  1. 在应批准请求的项目的 Pub/Sub 中创建一个主题。您可以使用单个 Pub/Sub 主题来接收所有项目的请求,也可以单独使用每个项目中的 Pub/Sub 主题。
  2. 使用 Google Cloud Console,为审批服务帐号 Pub/Sub 发布商 (roles/pubsub.publisher) 提供 Pub/Sub 主题的 IAM 角色。您必须向以下服务帐号授予所需的权限:

    customer-approval-jobs@system.gserviceaccount.com

  3. 与 Cloud 客户服务联系,并提供以下详细信息:
    • 您创建的 Pub/Sub 主题的名称。
    • 主题应该接收通知的资源的唯一标识符(文件夹 ID、项目编号或组织 ID)。

完成上述过程后,您应该会在 Pub/Sub 主题中接收与 Access Approval 请求相对应的消息。

批准 Access Approval 请求

将一些用户注册为审批人后,这些用户会收到所有访问请求。

控制台

如需使用 Cloud Console 批准 Access Approval 请求,请执行以下操作:

  1. 如需查看所有待处理的审批请求,请转到 Cloud Console 中的 Access Approval 页面。

    转到 Access Approval

    如果您已选择通过电子邮件接收 Access Approval 请求,也可以点击包含审批请求发送给您的电子邮件中的链接访问此页面。

  2. 要批准申请,请点击批准

    您也可以选择关闭请求。忽略请求是可选的,因为即使您不拒绝请求,访问也会继续被拒绝。

    如果您在 14 天内或请求到期之前未批准 Google 员工的访问权限请求,则请求会自动关闭。

  3. 在打开的对话框中,选择您希望访问权限到期的日期和时间。

  4. 选择批准以批准在设置到期日期和时间之前进行访问。

    选择 Access Approval 请求的失效日期和时间

    您批准请求后,请求状态会更改为 Approved。具有与批准相匹配的特征(例如,相同的理由、相同的位置、办公桌位置)的任何 Google 员工都可以在批准的时间范围内进行访问。如果您不批准该请求,系统将拒绝 Google 员工的访问请求。忽略请求只会将其从您的待处理请求列表中移除。如果您未拒绝审批请求,访问权限将不断遭拒。

cURL

如需使用 c网址 批准 Access Approval 请求,请执行以下操作:

  1. 从 Pub/Sub 消息中获取 approvalRequest 名称。

  2. 进行 API 调用以批准或拒绝该 approvalRequest

     # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

    您可以通过以下某种方式回复请求:

    操作 影响 Google 访问状态
    :approve 批准请求。 在批准前处于已拒绝状态,在批准后处于已批准状态。
    :dismiss 拒绝要批准的请求。我们建议您忽略该访问权限请求,而不是采取任何行动。关闭访问权限请求后,Google 员工就会跟进。 在拒绝前处理已拒绝状态,在拒绝后处于已拒绝状态。
    无操作 Google 员工访问仍被拒绝。Google 员工需要在 requestedExpiration 过后打开新的资源访问请求。 在未采取任何操作之前处于已拒绝状态,在到期时间之后处于已拒绝状态。

  3. 批准后,请求的状态会更改为 Approved。具有与批准相匹配的特征(例如,相同的理由、相同的位置、办公桌位置)的任何 Google 员工都可以在批准的时间范围内进行访问。

  4. 如果您不批准或拒绝请求,那么 Google 员工的访问权限请求会遭到拒绝。

后续步骤