Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Approuver les demandes Access Approval

Ce document explique comment approuver une demande d'approbation d'accès.

Avant de commencer

Assurez-vous de bien comprendre les concepts décrits sur la page Présentation.
Accordez le rôle IAM Validateur Access Approval (roles/accessapproval.approver) sur le projet, le dossier ou l'organisation à l'entité principale à laquelle vous souhaitez accorder l'autorisation d'effectuer des approbations. Vous pouvez attribuer le rôle IAM Approbateur de l'approbation de l'accès à un utilisateur individuel, à un compte de service ou à un groupe Google.

Si vous utilisez une clé de signature personnalisée, vous devez également accorder le rôle IAM Signataire/Validateur de CryptoKeys Cloud KMS (roles/cloudkms.signerVerifier) au compte de service Approbation de l'accès pour votre ressource. Si vous utilisez une clé de signature gérée par Google, vous n'avez pas besoin de fournir d'autres autorisations.

Pour savoir comment attribuer un rôle IAM, consultez Attribuer un rôle unique.

Configurer les paramètres pour recevoir des notifications

Vous disposez des options suivantes pour recevoir les demandes Access Approval :

Recevoir des demandes par e-mail
Recevez les demandes via Pub/Sub.

Vous pouvez choisir les deux options en suivant les instructions de la section Configurer les notifications par e-mail et Pub/Sub.

Approuver les demandes Access Approval

Une fois que vous avez inscrit des utilisateurs en tant qu'approbateurs, ils reçoivent toutes les demandes d'accès.

Console

Pour approuver une demande Access Approval à l'aide de la consoleGoogle Cloud , procédez comme suit :

Pour afficher toutes vos demandes d'approbation en attente, accédez à la page Access Approval dans la console Google Cloud .

Accéder à Access Approval

Si vous avez choisi de recevoir les demandes d'approbation d'accès par e-mail, vous pouvez également accéder à cette page en cliquant sur le lien de l'e-mail qui vous a été envoyé avec la demande d'approbation.

Remarque : Vous ne pouvez voir que les demandes Access Approval en attente pour le niveau de hiérarchie que vous avez sélectionné. Par exemple, si vous avez sélectionné un dossier, vous ne pouvez voir que les demandes Access Approval effectuées pour les ressources de niveau dossier, pas pour tous les projets de ces dossiers.
Pour approuver une demande, cliquez sur Approuver.

Vous avez également la possibilité d'ignorer la demande. Le fait d'ignorer la demande est facultatif, car l'accès continue d'être refusé même si vous ne l'ignorez pas.

Si vous n'approuvez pas la demande d'accès de l'employé Google dans les 14 jours ou avant son expiration, elle est automatiquement ignorée.
Dans la boîte de dialogue qui s'ouvre, sélectionnez la date et l'heure d'expiration de l'accès.

Remarque L'option d'approbation groupée ne vous permet pas de sélectionner la date et l'heure d'expiration.
Sélectionnez Approuver pour approuver l'accès jusqu'à la date et l'heure d'expiration définies.
Facultatif : Pour valider la signature d'une requête après l'avoir approuvée, suivez la procédure décrite dans Valider la signature d'une requête.

cURL

Pour approuver une demande d'approbation d'accès à l'aide de cURL, procédez comme suit :

Récupérez le nom approvalRequest du message Pub/Sub.

Faites un appel d'API pour approuver ou rejeter cette approvalRequest.

 # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

Vous pouvez répondre à une demande en choisissant l'une des options suivantes :

Action	Effet	État de l'accès à Google
`:approve`	Approuve la demande.	Refusé avant approbation, approuvé après approbation.
`:dismiss`	Ignore la demande d'approbation. Nous vous recommandons de refuser la demande d'accès plutôt que de ne rien faire. Si vous ignorez la demande d'accès, l'employé Google sera invité à vous recontacter.	Refusé avant suppression, refusé après suppression.
Aucune action	L'accès des employés de Google est toujours refusé. L'employé de Google doit ouvrir une nouvelle demande d'accès à la ressource une fois le délai `requestedExpiration` atteint.	Refusé avant l'absence d'action, refusé une fois le délai d'expiration écoulé.

Une fois la demande approuvée, son état passe à Approved. Tout employé de Google dont les caractéristiques correspondent au champ d'application de l'approbation peut effectuer un accès dans le délai approuvé. Ces caractéristiques correspondantes incluent le même motif de justification, la même adresse ou la même adresse professionnelle.

Access Approval ne fournit aucun rôle IAM ni aucune nouvelle autorisation à l'employé Google qui a demandé l'accès.

Si vous n'approuvez pas la demande d'accès de l'employé Google, l'accès lui sera refusé. Le fait d'ignorer la demande la supprime uniquement de la liste des demandes en attente. Si vous omettez de rejeter une demande d'approbation, l'accès sera toujours refusé.

Une fois Access Transparency activé, tous les accès aux données client que vous approuvez sont consignés.

L'accès au personnel Google est autorisé jusqu'à l'expiration de l'approbation ou jusqu'à ce que la justification de l'accès ne soit plus valide. Par exemple, l'accès expire si la demande d'assistance pour laquelle le personnel Google a demandé l'accès est clôturée.

Étapes suivantes

Découvrez les actions du personnel Google qui sont exclues des notifications Access Approval.
En savoir plus sur les champs d'une demande d'approbation d'accès