Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Zugriffsgenehmigungsanfragen genehmigen

In diesem Dokument wird erläutert, wie Sie eine Zugriffsgenehmigungsanfrage genehmigen.

Hinweis

Machen Sie sich mit den Konzepten auf der Seite Übersicht vertraut.
Gewähren Sie dem Prinzipal, der die Genehmigungen ausführen soll, die IAM-Rolle Genehmiger für Zugriffsgenehmigungen (roles/accessapproval.approver) für das Projekt, den Ordner oder die Organisation. Sie können die IAM-Rolle „Genehmiger für Zugriffsgenehmigungen“ entweder einem einzelnen Nutzer, einem Dienstkonto oder einer Google-Gruppe gewähren.

Wenn Sie einen benutzerdefinierten Signaturschlüssel verwenden, müssen Sie dem Dienstkonto für die Zugriffsgenehmigung für Ihre Ressource auch die IAM-Rolle „Cloud KMS CryptoKey-Signierer/Prüfer“ (roles/cloudkms.signerVerifier) gewähren. Wenn Sie einen von Google verwalteten Signaturschlüssel verwenden, sind keine weiteren Berechtigungen erforderlich.

Informationen zum Zuweisen einer IAM-Rolle finden Sie unter Einzelne Rolle zuweisen .

Einstellungen zum Empfangen von Benachrichtigungen konfigurieren

Sie haben folgende Möglichkeiten, Zugriffsgenehmigungsanfragen zu erhalten:

Anfragen per E‑Mail erhalten
Anfragen über Pub/Sub erhalten

Sie können beide Optionen auswählen, indem Sie der Anleitung unter E‑Mail- und Pub/Sub Benachrichtigungen einrichten folgen.

Zugriffsgenehmigungsanfragen genehmigen

Nachdem Sie einige Nutzer als Genehmiger registriert haben, erhalten diese Nutzer alle Zugriffsanfragen.

Console

So genehmigen Sie eine Zugriffsgenehmigungsanfrage über die Google Cloud Console:

Rufen Sie in der Google Cloud Console die Seite Zugriffsgenehmigung auf, um alle ausstehenden Genehmigungsanfragen zu sehen.

Zugriffsgenehmigung aufrufen

Wenn Sie sich dafür entschieden haben, Zugriffsgenehmigungsanfragen per E‑Mail zu erhalten, können Sie diese Seite auch aufrufen, indem Sie auf den Link in der E‑Mail klicken, die Sie mit der Genehmigungsanfrage erhalten haben.

Hinweis: Sie können nur die ausstehenden Zugriffsgenehmigungsanfragen für die von Ihnen ausgewählte Hierarchieebene anzeigen. Wenn Sie beispielsweise einen Ordner ausgewählt haben, werden nur Zugriffsgenehmigungsanfragen für Ressourcen auf Ordnerebene angezeigt, nicht alle Projekte in diesen Ordnern.
Wenn Sie eine Anfrage genehmigen möchten, klicken Sie auf Genehmigen.

Sie können die Anfrage auch ablehnen. Das Ablehnen der Anfrage ist optional, da der Zugriff weiterhin verweigert wird, auch wenn Sie die Anfrage nicht ablehnen.

Wenn Sie die Zugriffsanfrage des Google-Mitarbeiters nicht innerhalb von 14 Tagen oder vor Ablauf der Anfrage genehmigen, wird die Anfrage automatisch abgelehnt.
Wählen Sie im angezeigten Dialogfeld das Datum und die Uhrzeit aus, zu denen der Zugriff ablaufen soll.

**Hinweis** :Bei der Option zur Massengenehmigung können Sie das Ablaufdatum und die Ablaufzeit nicht auswählen.
Wählen Sie Genehmigen aus, um den Zugriff bis zum festgelegten Ablaufdatum und zur festgelegten Ablaufzeit zu genehmigen.
Optional: Wenn Sie die Signatur einer Anfrage nach der Genehmigung prüfen möchten, folgen Sie der Anleitung unter Signatur einer Anfrage prüfen.

cURL

So genehmigen Sie eine Genehmigungsanfrage für den Zugriff mit cURL:

Übernehmen Sie den Namen approvalRequest aus der Pub/Sub-Nachricht.

Führen Sie einen API-Aufruf durch, um die approvalRequest zu genehmigen oder abzulehnen.

 # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

Sie können auf eine Anfrage mit einer der folgenden Optionen antworten:

Aktion	Effekt	Google-Zugriffsstatus
`:approve`	Genehmigt die Anfrage.	Vor Genehmigung abgelehnt, nach Genehmigung genehmigt.
`:dismiss`	Lehnt die Genehmigungsanfrage ab. Wir empfehlen, die Zugriffsanfrage abzulehnen, anstatt keine Maßnahmen zu ergreifen. Wenn Sie die Zugriffsanfrage ablehnen, wird der Google-Mitarbeiter aufgefordert, sich zu melden.	Vor der Ablehnung abgelehnt, nach der Ablehnung abgelehnt.
Keine Aktion	Der Zugriff wird Google-Mitarbeitern weiterhin verweigert. Der Google-Mitarbeiter muss eine neue Anfrage stellen, um nach Ablauf der Zeit `requestedExpiration` auf die Ressource zuzugreifen.	Verweigert vor "keine Aktion", verweigert nach Ablauf der Zeit.

Nachdem Sie die Anfrage genehmigt haben, ändert sich der Anfragestatus in Approved. Google-Mitarbeiter mit Merkmalen, die mit dem Genehmigungsbereich übereinstimmen, können innerhalb des genehmigten Zeitraums Zugriff nehmen. Zu diesen übereinstimmenden Merkmalen gehören die gleiche Begründung, der gleiche Standort oder der gleiche Bürostandort.

Die Zugriffsgenehmigung gewährt dem Google-Mitarbeiter, der den Zugriff angefordert hat, keine IAM-Rolle oder neue Berechtigung.

Wenn Sie die Zugriffsanfrage des Google-Mitarbeiters nicht genehmigen, wird der Zugriff für den Google-Mitarbeiter verweigert. Wenn Sie die Anfrage ablehnen, wird sie nur aus der Liste der ausstehenden Anfragen entfernt. Wenn Sie eine Genehmigungsanfrage nicht ablehnen, wird der Zugriff weiterhin verweigert.

Nach der Aktivierung werden in den Access Transparency-Logs alle Zugriffe auf Kundendaten protokolliert, die Sie genehmigen.

Der Zugriff für Google-Mitarbeiter ist zulässig, bis die Genehmigung abläuft oder die Begründung für den Zugriff nicht mehr gültig ist. Der Zugriff läuft beispielsweise ab, wenn der Supportfall geschlossen wird, für den Google-Mitarbeiter Zugriff angefordert haben.

Nächste Schritte

Informationen zu den Aktionen von Google-Mitarbeitern, die von Benachrichtigungen zur Zugriffsgenehmigung ausgeschlossen sind.
Informationen zu den Feldern in einer Zugriffsgenehmigungsanfrage