Approuver les demandes Access Approval
Ce document explique comment approuver une demande Access Approval.
Avant de commencer
Assurez-vous de bien comprendre les concepts des Vue d'ensemble.
Accorder l'approbation de l'approbateur Access Approval (
roles/accessapproval.approver
) un rôle IAM sur le projet, le dossier ou organisation au compte principal que vous voulez pouvoir effectuer des approbations. Vous pouvez accorder le rôle IAM "Validateur des autorisations d'accès" à un utilisateur individuel, un compte de service ou un Groupe Google.Si vous utilisez une clé de signature personnalisée, doit également accorder au signataire/vérificateur de CryptoKey Cloud KMS (
roles/cloudkms.signerVerifier
) au rôle IAM Compte de service Access Approval pour votre ressource. Si vous utilisez un Clé de signature gérée par Google, vous n'avez pas besoin de fournir d'autres autorisations.Pour en savoir plus sur l'attribution d'un rôle IAM, consultez la page un rôle unique.
Configurez les paramètres pour recevoir des notifications
Vous disposez des options suivantes pour recevoir des demandes Access Approval:
- Recevez les demandes par e-mail.
- Recevoir des requêtes via Pub/Sub
Vous pouvez choisir ces deux options en suivant les instructions fournies dans l'article Configurer la messagerie et Pub/Sub notifications.
Approuver les demandes Access Approval
Une fois que vous avez inscrit certains utilisateurs en tant qu'approbateurs, ceux-ci reçoivent tous les demandes d'accès.
Console
Pour approuver une demande Access Approval à l'aide du console Google Cloud, procédez comme suit:
Pour afficher toutes vos demandes d'approbation en attente, accédez aux la page Access Approval de la console Google Cloud.
Si vous avez choisi de recevoir des demandes Access Approval via e-mail, vous pouvez également accéder à cette page en cliquant sur le lien figurant dans l'e-mail envoyé avec la demande d'approbation.
Pour approuver une demande, cliquez sur Approuver.
Vous avez également la possibilité d'ignorer la demande. Fermeture du est facultative, car l'accès continue d'être refusé même si vous ne rejetez pas la demande.
Si vous n'approuvez pas la demande d'accès de l'employé de Google dans les 14 jours jours ou avant son expiration, la demande est automatiquement ignoré.
Dans la boîte de dialogue qui s'affiche, sélectionnez la date et l'heure souhaitées. que l'accès expire.
Sélectionnez Approuver pour approuver l'accès jusqu'à la date et l'heure d'expiration définies.
Facultatif : Pour valider la signature d'une requête après l'avoir approuvée, suivez la procédure décrite dans la section Valider la signature d'une requête.
cURL
Pour approuver une demande d'approbation d'accès à l'aide de cURL, procédez comme suit:
- Récupérez le nom
approvalRequest
du message Pub/Sub. Faites un appel d'API pour approuver ou rejeter cette
approvalRequest
.# HTTP POST request with empty body (an effect of using -d '') # service-account-credential.json is attained by going to the # IAM -> Service Accounts menu in the cloud console and creating # a service account. curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \ -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve
Vous pouvez répondre à une demande de l'une des façons suivantes:
Action Effet État de l'accès à Google :approve
Approuve la demande. Refusé avant approbation, approuvé après approbation. :dismiss
Ignore la demande d'approbation. Nous vous recommandons de refuser la demande d'accès plutôt que de ne rien faire. Lorsqu'il ignore la demande d'accès, l'employé de Google est invité à effectuer un suivi. Refusé avant suppression, refusé après suppression. Aucune action L'accès des employés de Google est toujours refusé. L'employé de Google doit ouvrir une nouvelle demande d'accès à la ressource une fois le délai requestedExpiration
écoulé.Refusé avant l'absence d'action, refusé une fois le délai d'expiration écoulé.
Une fois la demande approuvée, son état passe à Approved
. N'importe quelle valeur
Un employé Google dont les caractéristiques correspondent au champ d'application d'approbation peut effectuer une
l'accès dans les délais approuvés. Ces caractéristiques de
correspondance incluent
la même justification, le même emplacement
ou le même emplacement de bureau.
Access Approval ne fournit aucun rôle IAM une nouvelle autorisation à l’employé de Google qui a demandé l’accès.
Si vous n'acceptez pas la demande d'accès de l'employé de Google, l'accès à l'employé de Google. En ignorant la demande, vous ne la supprimez que de votre liste les demandes en attente. Si vous ne parvenez pas à ignorer une demande d'approbation, l'accès continue à refuser.
Une fois activé, Access Transparency enregistre tous les accès au contenu client principal que vous approuvez.
L'accès au personnel Google est autorisé jusqu'à l'expiration de l'approbation ou jusqu'à ce que la justification de l'accès ne soit plus valide. Par exemple, l'accès expire si le la demande d'assistance pour laquelle le personnel de Google a demandé l'accès est clôturée.
Étape suivante
- En savoir plus sur les actions du personnel de Google qui sont exclues des Notifications Access Approval
- En savoir plus sur les champs d'une demande Access Approval