Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Approvazione delle richieste di Access Approval

Questo documento spiega come approvare una richiesta di approvazione dell'accesso.

Prima di iniziare

Assicurati di comprendere i concetti nella pagina Panoramica.
Concedi il ruolo IAM Access Approval Approver (roles/accessapproval.approver) sul progetto, sulla cartella o sull' organizzazione all'entità principale che vuoi che possa eseguire le approvazioni. Puoi concedere il ruolo IAM Access Approval Approver a un singolo utente, a un service account, o a un gruppo Google.

Se utilizzi una chiave di firma personalizzata, devi anche concedere il ruolo IAM Cloud KMS CryptoKey Signer/Verifier (roles/cloudkms.signerVerifier) al account di servizio Access Approval per la tua risorsa. Se utilizzi una chiave di firma gestita da Google, non devi fornire altre autorizzazioni.

Per informazioni sulla concessione di un ruolo IAM, consulta Concedi un singolo ruolo.

Configurare le impostazioni per ricevere le notifiche

Hai le seguenti opzioni per ricevere le richieste di Access Approval:

Ricevi le richieste via email.
Ricevi le richieste tramite Pub/Sub.

Puoi scegliere entrambe le opzioni seguendo le istruzioni riportate in Configurare le notifiche via email e Pub/Sub notifications.

Approvare le richieste di Access Approval

Dopo aver registrato alcuni utenti come approvatori, questi utenti ricevono tutte le richieste di accesso.

Console

Per approvare una richiesta di Access Approval utilizzando la Google Cloud console:

Per visualizzare tutte le richieste di approvazione in attesa, vai alla pagina Access Approval nella Google Cloud console.

Vai ad Access Approval

Se hai scelto di ricevere le richieste di Access Approval via email, puoi anche andare a questa pagina facendo clic sul link nell'email che ti è stata inviata con la richiesta di approvazione.

Nota: puoi visualizzare solo le richieste di Access Approval in attesa per il livello di gerarchia selezionato. Ad esempio, se hai selezionato una cartella, puoi visualizzare solo le richieste di Access Approval effettuate per le risorse a livello di cartella, non tutti i progetti all'interno di queste cartelle.
Per approvare una richiesta, fai clic su Approva.

Hai anche la possibilità di ignorare la richiesta. Ignorare la richiesta è facoltativo perché l'accesso continua a essere negato anche se non la ignori.

Se non approvi la richiesta di accesso del dipendente di Google entro 14 giorni o prima della scadenza della richiesta, quest'ultima viene ignorata automaticamente.
Nella finestra di dialogo che si apre, seleziona la data e l'ora in cui vuoi che termini l'accesso.

Nota: l'opzione di approvazione collettiva non consente di selezionare la data e l'ora di scadenza.
Seleziona Approva per approvare l'accesso fino alla data e all'ora di scadenza impostate.
(Facoltativo) Per convalidare la firma di una richiesta dopo averla approvata, segui i passaggi indicati in Convalidare la firma di una richiesta.

cURL

Per approvare una richiesta di Access Approval utilizzando cURL:

Prendi il nome approvalRequest dal messaggio Pub/Sub.

Esegui una chiamata API per approvare o ignorare approvalRequest.

 # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

Puoi rispondere a una richiesta con una delle seguenti opzioni:

Azione	Effetto	Stato di accesso di Google
`:approve`	Approva la richiesta.	Negato prima dell'approvazione, approvato dopo l'approvazione.
`:dismiss`	Ignora la richiesta di approvazione. Ti consigliamo di ignorare la richiesta di accesso anziché non intraprendere alcuna azione. Ignorando la richiesta di accesso, il dipendente di Google viene invitato a dare un seguito.	Negato prima dell'ignoramento, negato dopo l'ignoramento.
Nessuna azione	L'accesso del dipendente di Google è ancora negato. Il dipendente di Google deve aprire una nuova richiesta per accedere alla risorsa dopo che è trascorso il tempo `requestedExpiration`.	Negato prima di nessuna azione, negato dopo il tempo di scadenza.

Dopo aver approvato la richiesta, lo stato della richiesta cambia in Approved. Qualsiasi dipendente di Google con caratteristiche corrispondenti all'ambito di approvazione può effettuare un accesso entro il periodo di tempo approvato. Queste caratteristiche corrispondenti includono la stessa giustificazione, località o postazione di lavoro.

Access Approval non fornisce alcun ruolo IAM o alcuna nuova autorizzazione al dipendente di Google che ha richiesto l'accesso.

Se non approvi la richiesta di accesso del dipendente di Google, l'accesso viene negato al dipendente di Google. Ignorare la richiesta significa solo rimuoverla dall'elenco delle richieste in attesa. Se non ignori una richiesta di approvazione, l'accesso continua a essere negato.

Dopo l'abilitazione, Access Transparency registra tutti gli accessi ai dati dei clienti che approvi.

L'accesso al personale di Google è consentito fino alla scadenza dell'approvazione o fino a quando la giustificazione dell'accesso non è più valida. Ad esempio, l'accesso scade se la richiesta di assistenza per cui il personale di Google ha richiesto l'accesso viene chiusa.

Passaggi successivi

Scopri di più sulle azioni del personale di Google escluse dalle notifiche di Access Approval.
Scopri di più sui campi di una richiesta di approvazione dell'accesso.