Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Revisa y aprueba las solicitudes de acceso con la clave de firma administrada por Google
En este documento, se muestra cómo configurar la Aprobación de acceso con la consola deGoogle Cloud para recibir notificaciones por correo electrónico de las solicitudes de acceso a un proyecto.
La Aprobación de acceso garantiza que haya una aprobación firmada de forma criptográfica para que el personal de Google acceda a tu contenido almacenado enGoogle Cloud.
Para inscribirte en Access Approval, haz clic en Inscribirse.
En el cuadro de diálogo, selecciona el modo de inscripción para tu política y haz clic en Inscribir.
Modo de inscripción principal de Aprobación de acceso
Puedes configurar la Aprobación de acceso en uno de los tres modos disponibles y cambiar el modo en cualquier momento en la configuración de Aprobación de acceso. Se pueden seleccionar los siguientes modos:
Transparencia (recomendado): Usa este modo para registrar solo el acceso administrativo de Google a tus cargas de trabajo sin interrumpir la asistencia de Google para tus casos de asistencia ni el mantenimiento proactivo de tus cargas de trabajo. Consulta la documentación de Transparencia de acceso para obtener más información.
Asistencia optimizada (versión preliminar): Usa este modo para aprobar automáticamente el acceso del equipo de Atención al cliente para que trabaje en tus casos de asistencia. Se solicitará la aprobación del acceso para mantenimiento y reparación proactivos con la Aprobación de acceso. Esta función se encuentra en la etapa de lanzamiento de la versión preliminar.
Aprobación de acceso: Usa este modo para habilitar la funcionalidad completa de la Aprobación de acceso para todos los accesos.
Los registros de Transparencia de acceso se generan automáticamente para todos los modos de Aprobación de acceso.
Establece la configuración
En la página Aprobación de acceso de la consola de Google Cloud , haz clic ensettingsAdministrar configuración.
Seleccionar servicios
La configuración de la Aprobación de acceso, incluida la lista de productos habilitados, se hereda del recurso principal. Puedes expandir el alcance de la inscripción habilitando la Aprobación de acceso para todos los servicios adicionales compatibles o solo para algunos de ellos servicios compatibles.
Configura las notificaciones de Pub/Sub y por correo electrónico
En esta sección, se explica cómo puedes recibir notificaciones de solicitudes de acceso para este proyecto.
Asígnate el rol de IAM necesario
Para ver y aprobar solicitudes de acceso, debes tener el rol de IAM de aprobador de aprobación de acceso (roles/accessapproval.approver).
Para habilitar las notificaciones por correo electrónico, agrega tu dirección de correo electrónico en el campo Correo electrónico del usuario o grupo en Configurar notificaciones de aprobación.
Para habilitar las notificaciones de Pub/Sub, agrega tu tema de Pub/Sub en el campo Tema de Pub/Sub en Configura las notificaciones de aprobación.
Selecciona una clave de firma administrada por Google
La Aprobación de acceso usa una clave de firma para verificar la integridad de la solicitud de Aprobación de acceso.
La clave de firma administrada por Google es la opción predeterminada. Usar unGoogle-owned and managed key no requiere ninguna configuración adicional.
Revisa las solicitudes de aprobación de acceso
Ahora que te inscribiste en la Aprobación de acceso y te agregaste como aprobador de solicitudes de acceso, recibirás notificaciones por correo electrónico sobre las solicitudes de acceso.
En la siguiente imagen, se muestra un ejemplo de la notificación por correo electrónico que envía la Aprobación de acceso cuando el personal de Google solicita acceso a los Datos del Cliente.
Para revisar y aprobar una solicitud de acceso entrante, haz lo siguiente:
Ve a la página Aprobación de acceso en la consola de Google Cloud .
Para ir a esta página, también puedes hacer clic en el vínculo del correo electrónico que se te envió con la solicitud de aprobación.
Haz clic en Aprobar.
Después de que apruebes la solicitud, el personal de Google que tenga características que coincidan con la aprobación, como la misma justificación, ubicación geográfica o ubicación del escritorio, podrá acceder al recurso especificado y a sus recursos secundarios dentro del plazo aprobado.
Haz una limpieza
Para dar de baja la inscripción en Aprobación de acceso, haz lo siguiente:
En la página Aprobación de acceso de la consola de Google Cloud , haz clic en Administrar configuración.
Haz clic en Anular la inscripción.
En el diálogo que se abre, haz clic en Anular la inscripción.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-18 (UTC)"],[[["\u003cp\u003eAccess Approval allows for cryptographically-signed approvals for Google personnel to access content stored on Google Cloud.\u003c/p\u003e\n"],["\u003cp\u003eTo utilize Access Approval, you must first enable Access Transparency and have the \u003ccode\u003eroles/accessapproval.configEditor\u003c/code\u003e IAM role.\u003c/p\u003e\n"],["\u003cp\u003eYou can enroll in Access Approval through the Google Cloud console, enabling it for selected or all supported services.\u003c/p\u003e\n"],["\u003cp\u003eConfiguring settings involves selecting services, setting up email and Pub/Sub notifications, and using the Google-managed signing key for access request verification.\u003c/p\u003e\n"],["\u003cp\u003eReview and approve access requests by visiting the Access Approval page in the Google Cloud console, or by clicking on the provided link in the email notification.\u003c/p\u003e\n"]]],[],null,["# Review access requests using the default signing key\n\nReview and approve access requests using the Google-managed signing key\n=======================================================================\n\nThis document shows you how to set up Access Approval using the\nGoogle Cloud console to receive email notifications of access requests for a project.\n\nAccess Approval ensures that a cryptographically-signed approval\nis present for Google personnel to access your content stored on\nGoogle Cloud.\n\nBefore you begin\n----------------\n\n- Enable [Access Transparency](/assured-workloads/access-transparency/docs/overview) for your organization. For more information, see [Enabling Access Transparency](/assured-workloads/access-transparency/docs/enable).\n- Ensure that you have the [Access Approval Config Editor](/iam/docs/understanding-roles#access-approval-roles) (`roles/accessapproval.configEditor`) IAM role.\n\nEnroll in Access Approval\n-------------------------\n\nTo enroll in Access Approval, do the following:\n\n1. In the Google Cloud console, select the project for which you want to\n enable Access Approval.\n\n [Go to project selector](https://console.cloud.google.com/projectselector2/home/dashboard)\n2. Go to the **Access Approval** page.\n\n [Go to Access Approval](https://console.cloud.google.com/security/access-approval)\n3. To enroll in Access Approval, click **Enroll**.\n\n4. In the dialog, select the [enrollment mode](#enrollment-mode) for your policy and click **Enroll**.\n\n### Access Approval primary enrollment mode\n\nYou can configure Access Approval in one of three modes, and can change\nthe mode at any time in the Access Approval settings. The following\nmodes can be selected:\n\n1. Transparency (Recommended): Use this mode to only log Google administrative access into your workloads without interrupting Google's support for your support cases or proactive maintenance on your workloads. See the [Access Transparency docs](/assured-workloads/access-transparency/docs) for more information.\n2. Streamlined support (Preview): Use this mode to automatically approve Customer Care access to work on your support cases. Proactive maintenance and repair access will be requested for approval with Access Approval. This feature is in the Preview launch stage.\n3. Access Approval: Use this mode to enable full Access Approval functionality for all accesses.\n\nAccess Transparency logs are generated automatically for all Access Approval modes.\n\nConfigure settings\n------------------\n\nOn the **Access Approval** page in the Google Cloud console, click\nsettings**Manage settings**.\n\n\n### Select services\n\nAccess Approval settings, including the list of enabled products, are inherited from the parent resource. You can expand the scope of enrollment by enabling Access Approval for all or selected additional services [supported services](/assured-workloads/access-approval/docs/supported-services).\n\n### Set up email and Pub/Sub notifications\n\nThis section explains how you can receive access request notifications for this\nproject.\n\n#### Grant yourself the required IAM role\n\n\nTo view and approve access requests, you must have the Access Approval Approver\n(`roles/accessapproval.approver`) IAM role.\n\n\nTo grant this IAM role to yourself, do the following:\n\n1. Go to the **IAM** page in the Google Cloud console.\n\n\n [Go to IAM](https://console.cloud.google.com/iam-admin/iam?supportedpurview=project)\n2. In the **View by principals** tab, click person_add**Grant access**.\n3. In the **New principals** field in the right pane, enter your email address.\n4. Click the **Select a role** field, and select the **Access Approval Approver** role from the menu.\n5. Click **Save**.\n\n#### Add yourself as an approver for Access Approval requests and configure notifications\n\nTo add yourself as an approver so you can review and approve access requests, do\nthe following:\n\n1. Go to the **Access Approval** page in the Google Cloud console.\n\n [Go to Access Approval](https://console.cloud.google.com/security/access-approval)\n2. Click settings**Manage settings**.\n\n3. To enable email notifications, add your email address in the\n **User or group email** field under **Set up approval notifications**.\n\n4. To enable Pub/Sub notifications, add your Pub/Sub topic in the\n **Pub/Sub topic** field under **Set up approval notifications**.\n\n### Select a Google-managed signing key\n\nAccess Approval uses a signing key to verify the integrity of the\nAccess Approval request.\n\nGoogle-managed signing key is the default option. Using a\nGoogle-owned and managed key doesn't require any additional\nconfiguration.\n\nReview Access Approval requests\n-------------------------------\n\nNow that you have enrolled in Access Approval and added yourself as an\napprover for access requests, you can expect to receive email notifications for\naccess requests.\n\nThe following image shows a sample email notification that Access Approval\nsends when Google personnel request access to Customer Data.\n\n\nTo review and approve an incoming access request, do the following:\n\n1. Go to the **Access Approval** page in the Google Cloud console.\n\n [Go to Access Approval](https://console.cloud.google.com/security/access-approval)\n\n To be taken to this page, you can also click the link in the email\n sent to you with the approval request.\n2. Click **Approve**.\n\nAfter you approve the request, Google personnel with\n[characteristics](/assured-workloads/access-approval/docs/approval-request-details) matching the approval, such as, same\njustification, location, or desk location can access the specified resource and\nits child resources within the approved timeframe.\n\nClean up\n--------\n\n1. To unenroll from Access Approval, do the following:\n 1. On the **Access Approval** page in the Google Cloud console, click **Manage settings**.\n 2. Click **Unenroll**.\n 3. In the dialog that opens, click **Unenroll**.\n2. To disable Access Transparency for your organization, contact [Cloud Customer Care](/support).\n\nNo additional steps are required to avoid incurring charges to your account.\n\nWhat's next\n-----------\n\n- Learn about the [anatomy of an access request](/assured-workloads/access-approval/docs/approval-request-details).\n- Learn how to [approve Access Approval requests](/assured-workloads/access-approval/docs/approve-requests).\n- Learn how to [view historical Access Approval requests](/assured-workloads/access-approval/docs/view-historical-requests)."]]
