Aprobar solicitudes de aprobación de acceso

En este documento se explica cómo aprobar una solicitud de Access Approval.

Antes de empezar

  • Asegúrate de que entiendes los conceptos de la página Descripción general.

  • Concede el rol de gestión de identidades y accesos Aprobador de aprobación de acceso (roles/accessapproval.approver) en el proyecto, la carpeta o la organización a la entidad principal que quieras que pueda realizar aprobaciones. Puedes asignar el rol de gestión de identidades y accesos (IAM) Aprobador de aprobación de acceso a un usuario concreto, a una cuenta de servicio o a un grupo de Google.

    Si usas una clave de firma personalizada, también debes asignar el rol de gestión de identidades y accesos de firmante o verificador de claves criptográficas de Cloud KMS (roles/cloudkms.signerVerifier) a la cuenta de servicio de aprobación de acceso de tu recurso. Si usas una clave de firma gestionada por Google, no tienes que proporcionar ningún otro permiso.

    Para obtener información sobre cómo conceder un rol de IAM, consulta el artículo sobre cómo asignar un rol concreto.

Configurar los ajustes para recibir notificaciones

Tienes las siguientes opciones para recibir solicitudes de aprobación de acceso:

  • Recibir solicitudes por correo electrónico.
  • Recibir solicitudes a través de Pub/Sub.

Puedes elegir ambas opciones siguiendo las instrucciones de Configurar notificaciones por correo y Pub/Sub.

Aprobar solicitudes de aprobación de acceso

Una vez que hayas registrado a algunos usuarios como aprobadores, estos recibirán todas las solicitudes de acceso.

Consola

Para aprobar una solicitud de Aprobación de Accesos mediante la consola deGoogle Cloud , sigue estos pasos:

  1. Para ver todas las solicitudes de aprobación pendientes, ve a la página Aprobación de acceso de la consola de Google Cloud .

    Ir a Aprobación de acceso

    Si has elegido recibir las solicitudes de aprobaciones de acceso por correo electrónico, también puedes ir a esta página haciendo clic en el enlace del correo que se te ha enviado con la solicitud de aprobación.

  2. Para aprobar una solicitud, haz clic en Aprobar.

    También puedes rechazar la solicitud. Rechazar la solicitud es opcional, ya que el acceso se seguirá denegando aunque no la rechaces.

    Si no apruebas la solicitud de acceso del empleado de Google en un plazo de 14 días o antes de que caduque, se rechazará automáticamente.

  3. En el cuadro de diálogo que se abre, selecciona la fecha y la hora en las que quieres que caduque el acceso.

  4. Selecciona Aprobar para aprobar el acceso hasta la fecha y la hora de vencimiento establecidas.

    Seleccionar la fecha y la hora de caducidad de la solicitud de aprobación de acceso

  5. Opcional: Para validar la firma de una solicitud después de aprobarla, sigue los pasos que se indican en Validar la firma de una solicitud.

cURL

Para aprobar una solicitud de aprobación de acceso mediante cURL, haz lo siguiente:

  1. Toma el nombre approvalRequest del mensaje de Pub/Sub.

  2. Haz una llamada a la API para aprobar o rechazar ese approvalRequest.

     # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve
    único.

    Puedes responder a una solicitud con una de las siguientes opciones:

    Acción Efecto Estado de acceso de Google
    :approve Aprueba la solicitud. Rechazado antes de la aprobación y aprobado después de la aprobación.
    :dismiss Rechaza la solicitud de aprobación. Te recomendamos que rechaces la solicitud de acceso en lugar de no hacer nada. Si rechazas la solicitud de acceso, se pedirá al empleado de Google que haga un seguimiento. Denegada antes de la desestimación y denegada después de la desestimación.
    Ninguna acción El acceso de los empleados de Google sigue denegado. El empleado de Google debe abrir una nueva solicitud para acceder al recurso una vez transcurrido el plazo de requestedExpiration. Se ha denegado antes de que se haya tomado ninguna medida y se ha denegado después de que haya vencido el plazo.

Una vez que apruebe la solicitud, su estado cambiará a Approved. Cualquier empleado de Google cuyas características coincidan con el ámbito de aprobación puede acceder durante el periodo aprobado. Entre estas características coincidentes se incluyen la misma justificación, ubicación o ubicación del escritorio.

Aprobación de acceso no proporciona ningún rol de gestión de identidades y accesos ni ningún permiso nuevo al empleado de Google que haya solicitado acceso.

Si no apruebas la solicitud de acceso del empleado de Google, se le denegará el acceso. Si rechazas la solicitud, solo se eliminará de tu lista de solicitudes pendientes. Si no rechazas una solicitud de aprobación, se seguirá denegando el acceso.

Una vez habilitada, Transparencia de acceso registra todos los accesos a los datos de clientes que apruebes.

El personal de Google podrá acceder hasta que caduque la aprobación o hasta que la justificación del acceso deje de ser válida. Por ejemplo, el acceso caduca si se cierra el caso de asistencia para el que el personal de Google solicitó acceso.

Siguientes pasos