Os nomes de alguns pacotes de controle do Assured Workloads estão mudando. Para saber mais sobre a mudança de nome, consulte Aviso de renomeação do pacote de controle.
Conceda o papel do IAM de aprovador do Access Approval (roles/accessapproval.approver)
no projeto, pasta ou
organização ao principal
que você quer que realize as aprovações. É possível conceder o papel de aprovador de aprovação de acesso do IAM a um usuário individual, uma conta de serviço ou um grupo do Google.
Se você estiver usando uma chave de assinatura personalizada, também
precisa conceder o papel do IAM Signatário/verificador de CryptoKey do Cloud KMS
(roles/cloudkms.signerVerifier) à
conta de serviço de aprovação de acesso do seu recurso. Se você estiver usando uma
chave de assinatura gerenciada pelo Google, não vai precisar fornecer outras permissões.
Se você tiver optado por receber solicitações de aprovação de acesso por
e-mail, também poderá acessar esta página clicando no link no e-mail
enviado com a solicitação de aprovação.
Para aprovar um pedido, clique em Aprovar.
Você também tem a opção de recusar a solicitação. A dispensa da
solicitação é opcional, porque o acesso continua sendo negado mesmo que você
não a dispense.
Se você não aprovar a solicitação de acesso do funcionário do Google em 14
dias ou antes do vencimento, ela será automaticamente
rejeitada.
Na caixa de diálogo que aparece, selecione a data e a hora em que você quer
que o acesso expire.
Selecione Aprovar para aprovar o acesso até a data e a hora de
validade definidas.
Você pode responder a uma solicitação com uma das seguintes opções:
Ação
Efeito
Estado de acesso do Google
:approve
Aprova a solicitação.
Negado antes da aprovação, aprovado após a aprovação.
:dismiss
Rejeita a solicitação de aprovação. Recomendamos que você ignore a solicitação de acesso em vez de não fazer nada. A dispensa da solicitação de acesso faz com que o funcionário do Google entre em contato.
Negado antes da recusa, negado após a recusa.
Nenhuma ação
O acesso de funcionários do Google ainda é negado. O funcionário do Google precisa abrir uma nova solicitação para acessar o recurso após o tempo de requestedExpiration passar.
Negado antes de nenhuma ação, negado após o prazo de validade.
Depois que você aprovar a solicitação, o status dela vai mudar para Approved. Qualquer
funcionário do Google com características correspondentes ao escopo de aprovação pode fazer um
acesso dentro do prazo aprovado. Essas características correspondentes incluem
a mesma justificativa, local ou local do espaço de trabalho.
A aprovação de acesso não fornece nenhum papel do IAM nem nenhuma
nova permissão ao funcionário do Google que solicitou o acesso.
Se você não aprovar a solicitação de acesso do funcionário do Google, o acesso será negado
a ele. Recusar a solicitação apenas a remove da sua lista de solicitações pendentes. Se você não aceitar uma solicitação de aprovação, o acesso continuará
a ser negado.
Depois de ativada, a
Transparência no acesso registra todos
os acessos aos dados do cliente que você aprova.
O acesso ao pessoal do Google é permitido até que a aprovação expire ou a
justificação para o acesso não seja mais válida. Por exemplo, o acesso expira se o
caso de suporte para o qual a equipe do Google solicitou acesso for encerrado.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-18 UTC."],[[["\u003cp\u003eAccess Approval requests can be approved via the Google Cloud console or using cURL, allowing administrators to grant Google personnel temporary access.\u003c/p\u003e\n"],["\u003cp\u003eApprovers must be granted the Access Approval Approver IAM role, and optionally, the Cloud KMS CryptoKey Signer/Verifier role if using a custom signing key.\u003c/p\u003e\n"],["\u003cp\u003eWhen approving via the Google Cloud console, you must select an expiration date and time, whereas cURL allows for immediate approval or dismissal without time settings.\u003c/p\u003e\n"],["\u003cp\u003eIf a request is not approved or dismissed within 14 days, or by the requested expiration time, the request is automatically dismissed, and access remains denied.\u003c/p\u003e\n"],["\u003cp\u003eDismissing a request is recommended as it prompts the Google employee to follow up if needed, although not acting on a request or dismissing it will still deny them access.\u003c/p\u003e\n"]]],[],null,["# Approving Access Approval requests\n==================================\n\nThis document explains how to approve an Access Approval request.\n\nBefore you begin\n----------------\n\n- Make sure that you understand the concepts in the\n [Overview](/assured-workloads/access-approval/docs/overview) page.\n\n- Grant the Access Approval Approver (`roles/accessapproval.approver`)\n IAM role on the project, folder, or\n organization to the [principal](/iam/docs/overview#concepts_related_identity)\n who you want to be able to perform approvals. You can grant the\n Access Approval Approver IAM role to either an\n [individual user](/iam/docs/overview#google_account), a [service account](/iam/docs/overview#service_account), or a\n [Google group](/iam/docs/overview#google_group).\n\n If you are using a custom signing key, you\n must also grant the Cloud KMS CryptoKey Signer/Verifier\n (`roles/cloudkms.signerVerifier`) IAM role to the\n Access Approval service account for your resource. If you are using a\n Google-managed signing key, you don't need to provide any other permissions.\n\n For information about granting an IAM role, see [Grant\n a single role](/iam/docs/granting-changing-revoking-access#grant-single-role).\n\nConfigure settings to receive notifications\n-------------------------------------------\n\nYou have the following options for receiving Access Approval requests:\n\n- Receive requests through email.\n- Receive requests through Pub/Sub.\n\nYou can choose both of these options by following the instructions in\n[Setting up email and Pub/Sub\nnotifications](/assured-workloads/access-approval/docs/review-approve-access-requests-google-keys#email-pubsub).\n\nApprove Access Approval requests\n--------------------------------\n\nAfter you have enrolled some users as approvers, those users receive all\naccess requests. \n\n### Console\n\nTo approve an Access Approval request using the\nGoogle Cloud console, do the following:\n\n1. To see all your pending approval requests, go to the\n **Access Approval** page in the Google Cloud console.\n\n [Go to Access Approval](https://console.cloud.google.com/security/access-approval)\n\n If you have opted to receive Access Approval requests through\n email, you can also go to this page by clicking the link in the email\n sent to you with the approval request.\n | **Note:** You can only see the pending Access Approval requests for the hierarchy level you have selected. For example, if you have selected a folder, you can only see the Access Approval requests made for folder-level resources, not all projects within those folders.\n2. To approve a request, click **Approve**.\n\n You also have the option of dismissing the request. Dismissing the\n request is optional because access continues to be denied even if you\n don't dismiss the request.\n\n If you don't approve the Google employee's access request within 14\n days or before the request expires, the request is automatically\n dismissed.\n3. In the dialog box that opens, select the date and time when you want\n the access to expire.\n\n | **Note:** Bulk approve option doesn't let you select the expiration date and time.\n4. Select **Approve** to approve access till the set expiration date and\n time.\n\n5. Optional: To validate the signature on a request after approving it,\n follow the steps given in\n [Validate a request signature](/assured-workloads/access-approval/docs/validate-request-signature).\n\n### cURL\n\nTo approve an Access Approval request using cURL, do the following:\n\n1. Take the `approvalRequest` name from the Pub/Sub message.\n2. Make an API call to approve or dismiss that `approvalRequest`.\n\n # HTTP POST request with empty body (an effect of using -d '')\n # service-account-credential.json is attained by going to the\n # IAM -\u003e Service Accounts menu in the cloud console and creating\n # a service account.\n curl -H \"$(oauth2l header --json service-account-credentials.json cloud-platform)\" \\\n -d '' https://accessapproval.googleapis.com/v1/projects/\u003cvar\u003ePROJECT_ID\u003c/var\u003e/approvalRequests/\u003cvar\u003eAPPROVAL_REQUEST_ID\u003c/var\u003e:approve\n\n | **Note:** This preceding example is a sample request using cURL. You can approve an access request by appending `:approve` to a POST request to the mentioned URI that contains a unique `approvalRequestId`.\n\n You can reply to a request with one of the following options:\n\nAfter you approve the request, the request status changes to `Approved`. Any\nGoogle employee with characteristics matching the approval scope can make an\naccess within the approved time frame. These matching characteristics include\nthe same justification, location, or desk location.\n\nAccess Approval doesn't provide any IAM role or any\nnew permission to the Google employee who requested access.\n\nIf you don't approve the Google employee's access request, access is denied to\nthe Google employee. Dismissing the request only removes it from your list of\npending requests. If you fail to dismiss an approval request, access continues\nto be denied.\n\nAfter enabling,\n[Access Transparency](/assured-workloads/access-transparency/docs/overview) logs all\naccesses to Customer Data that you approve.\n\nAccess to Google personnel is allowed until the approval expires or the\njustification for access is no longer valid. For example, access expires if the\nsupport case for which Google personnel requested access is closed.\n\nWhat's next\n-----------\n\n- Learn about the [actions by Google personnel that are excluded from\n Access Approval notifications](/assured-workloads/access-approval/docs/overview#exclusions).\n- Learn about the [fields in an Access Approval request](/assured-workloads/access-approval/docs/approval-request-details)."]]
