Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Aprobar solicitudes de aprobación de acceso

En este documento, se explica cómo aprobar una solicitud de aprobación de acceso.

Antes de comenzar

Asegúrate de comprender los conceptos de la página Descripción general.
Otorga el rol de IAM de aprobador de aprobaciones de acceso (roles/accessapproval.approver) en el proyecto, la carpeta o la organización a la entidad que deseas que pueda realizar aprobaciones. Puedes otorgar el rol de IAM de aprobador de las Aprobaciones de acceso a un usuario individual, una cuenta de servicio o un grupo de Google.

Si usas una clave de firma personalizada, también debes otorgar el rol de IAM de firmante/verificador de CryptoKey de Cloud KMS (roles/cloudkms.signerVerifier) a la cuenta de servicio de Aprobación de acceso para tu recurso. Si usas una clave de firma administrada por Google, no necesitas proporcionar ningún otro permiso.

Para obtener información sobre cómo otorgar un rol de IAM, consulta Otorga un solo rol.

Cómo configurar los parámetros para recibir notificaciones

Tienes las siguientes opciones para recibir solicitudes de aprobación de acceso:

Recibir solicitudes por correo electrónico
Recibe solicitudes a través de Pub/Sub.

Puedes elegir ambas opciones siguiendo las instrucciones que se indican en Cómo configurar las notificaciones por correo electrónico y de Pub/Sub.

Cómo aprobar solicitudes de aprobación de acceso

Después de inscribir a algunos usuarios como aprobadores, estos recibirán todas las solicitudes de acceso.

Console

Para aprobar una solicitud de aprobación de acceso con la consola deGoogle Cloud , haz lo siguiente:

Para ver todas las solicitudes de aprobación pendientes, ve a la página Aprobación de acceso en la consola de Google Cloud .

Ir a Aprobación de acceso

Si elegiste recibir solicitudes de aprobación de acceso por correo electrónico, también puedes ir a esta página haciendo clic en el vínculo del correo electrónico que se te envió con la solicitud de aprobación.

Nota: Solo puedes ver las solicitudes de aprobación de acceso pendientes para el nivel de la jerarquía que seleccionaste. Por ejemplo, si seleccionaste una carpeta, solo puedes ver las solicitudes de aprobación de acceso realizadas para los recursos a nivel de la carpeta, no todos los proyectos dentro de esas carpetas.
Para aprobar una solicitud, haz clic en Aprobar.

También tienes la opción de rechazar la solicitud. Descartar la solicitud es opcional, ya que el acceso se seguirá denegando incluso si no la descartas.

Si no apruebas la solicitud de acceso del empleado de Google en un plazo de 14 días o antes de que venza la solicitud, esta se descartará automáticamente.
En el cuadro de diálogo que se abre, selecciona la fecha y la hora en las que deseas que venza el acceso.

Nota: La opción de aprobación masiva no te permite seleccionar la fecha y hora de vencimiento.
Selecciona Aprobar para aprobar el acceso hasta la fecha y hora de vencimiento establecidas.
Opcional: Para validar la firma de una solicitud después de aprobarla, sigue los pasos que se indican en Cómo validar la firma de una solicitud.

cURL

Para aprobar una solicitud de Aprobación de acceso con cURL, haz lo siguiente:

Anota el nombre de approvalRequest del mensaje de Pub/Sub.

Haz una llamada a la API para aprobar o descartar ese approvalRequest.

 # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

Puedes responder a una solicitud con una de las siguientes opciones:

Acción	Efecto	Estado de acceso de Google
`:approve`	Aprueba la solicitud.	Denegado antes de la aprobación, aprobado después de la aprobación.
`:dismiss`	Descarta la solicitud de aprobación. Te recomendamos que rechaces la solicitud de acceso en lugar de no tomar ninguna medida. Si descartas la solicitud de acceso, se le pedirá al empleado de Google que haga un seguimiento.	Denegado antes del descarte, aprobado después del descarte
Sin acción	Aún se deniega el acceso a los empleados de Google. El empleado de Google debe abrir una nueva solicitud para acceder al recurso después de que transcurra el tiempo de `requestedExpiration`.	Antes alguna acción: Denegado. Después de la fecha de vencimiento: Denegado

Después de aprobar la solicitud, el estado cambia a Approved. Cualquier empleado de Google con características que coincidan con el alcance de la aprobación puede acceder en el plazo aprobado. Estas características de coincidencia incluyen la misma justificación, ubicación o ubicación de escritorio.

La Aprobación de acceso no proporciona ningún rol de IAM ni ningún permiso nuevo al empleado de Google que solicitó acceso.

Si no apruebas la solicitud de acceso del empleado de Google, se le denegará el acceso. Si rechazas la solicitud, solo se quitará de tu lista de solicitudes pendientes. Si no descartas una solicitud de aprobación, se seguirá denegando el acceso.

Después de habilitar la Transparencia de acceso, se registran todos los accesos a los Datos del Cliente que apruebes.

Se permite el acceso al personal de Google hasta que venza la aprobación o la justificación del acceso deje de ser válida. Por ejemplo, el acceso vence si se cierra el caso de asistencia para el que el personal de Google solicitó acceso.

¿Qué sigue?

Obtén información sobre las acciones del personal de Google que se excluyen de las notificaciones de Aprobación de acceso.
Obtén información sobre los campos de una solicitud de aprobación de acceso.