Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Como aprovar solicitações do Access Approval

Este documento explica como aprovar um pedido de aprovação do Access Approval.

Antes de começar

Confira se você entendeu os conceitos na página de visão geral.
Conceda o papel do IAM Aprovador do Access Approval (roles/accessapproval.approver) no projeto, na pasta ou na organização ao principal que você quer que possa realizar aprovações. É possível conceder o papel do IAM Aprovador do Access Approval a um usuário individual, uma conta de serviço ou um Grupo do Google.

Se você estiver usando uma chave de assinatura personalizada, também precisará conceder o papel do IAM Signatário/verificador de CryptoKey do Cloud KMS (roles/cloudkms.signerVerifier) à conta de serviço do Access Approval para seu recurso. Se você estiver usando uma chave de assinatura gerenciada pelo Google, não precisará fornecer outras permissões.

Para mais informações sobre como conceder um papel do IAM, consulte Conceder um único papel.

Configurar as definições para receber notificações

Você tem as seguintes opções para receber solicitações do Access Approval:

Receber solicitações por e-mail.
Receber solicitações pelo Pub/Sub.

É possível escolher as duas opções seguindo as instruções em Configurar notificações por e-mail e do Pub/Sub .

Aprovar solicitações do Access Approval

Depois de inscrever alguns usuários como aprovadores, eles vão receber todas as solicitações de acesso.

Console

Para aprovar uma solicitação de aprovação do Access Approval usando o Google Cloud console, faça o seguinte:

Para ver todas as solicitações de aprovação pendentes, acesse a página Access Approval no Google Cloud console.

Acessar o Access Approval

Se você tiver optado por receber solicitações do Access Approval por e-mail, também poderá acessar essa página clicando no link no e-mail enviado com o pedido de aprovação.

**Observação** :só é possível ver as solicitações do Access Approval pendentes para o nível de hierarquia selecionado. Por exemplo, se você selecionou uma pasta, só poderá ver as solicitações do Access Approval feitas para recursos no nível da pasta, não todos os projetos nessas pastas.
Para aprovar um pedido, clique em Aprovar.

Você também tem a opção de recusar a solicitação. A recusa é opcional, porque o acesso continua sendo negado mesmo que você não recuse a solicitação.

Se você não aprovar a solicitação de acesso do funcionário do Google em até 14 dias ou antes da expiração, ela será recusada automaticamente.
Na caixa de diálogo que é aberta, selecione a data e a hora em que você quer que o acesso expire.

Observação: a opção de aprovação em massa não permite selecionar a data e a hora de validade.
Selecione Aprovar para aprovar o acesso até a data e hora de validade definidas.
Opcional: para validar a assinatura em uma solicitação após a aprovação, siga as etapas fornecidas em Validar uma assinatura de solicitação.

cURL

Para aprovar uma solicitação de aprovação de acesso usando cURL, faça o seguinte:

Pegue o nome approvalRequest da mensagem do Pub/Sub.

Faça uma chamada de API para aprovar ou recusar esse approvalRequest.

 # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

Você pode responder a uma solicitação com uma das seguintes opções:

Ação	Efeito	Estado de acesso do Google
`:approve`	Aprova a solicitação.	Negado antes da aprovação, aprovado após a aprovação.
`:dismiss`	Rejeita a solicitação de aprovação. Recomendamos recusar a solicitação de acesso em vez de não tomar nenhuma ação. A recusa da solicitação de acesso solicita que o funcionário do Google faça o acompanhamento.	Negado antes da recusa, negado após a recusa.
Nenhuma ação	O acesso de funcionários do Google ainda é negado. O funcionário do Google precisa abrir uma nova solicitação para acessar o recurso após o tempo `requestedExpiration`.	Negado antes de nenhuma ação, negado após o prazo de validade.

Depois de aprovar a solicitação, o status dela muda para Approved. Qualquer funcionário do Google com características que correspondam ao escopo de aprovação pode fazer um acesso dentro do período aprovado. Essas características correspondentes incluem a mesma justificativa, local ou local da mesa.

O Access Approval não fornece nenhum papel do IAM ou permissão nova ao funcionário do Google que solicitou acesso.

Se você não aprovar a solicitação de acesso do funcionário do Google, o acesso será negado. Recusar a solicitação apenas a remove da sua lista de solicitações pendentes. Se você não dispensar um pedido de aprovação, o acesso continuará sendo negado.

Depois de ativada, a Transparência no acesso registra todos os acessos aos dados do cliente que você aprovar.

O acesso à equipe do Google é permitido até que a aprovação expire ou a justificativa de acesso não seja mais válida. Por exemplo, o acesso expira se o caso de suporte para o qual a equipe do Google solicitou acesso for fechado.

A seguir

Saiba mais sobre as ações da equipe do Google que são excluídas das notificações do Access Approval.
Saiba mais sobre os campos em um pedido de aprovação de acesso.