Zugriffsanfragen mit einem benutzerdefinierten Signaturschlüssel prüfen und genehmigen
In diesem Dokument wird beschrieben, wie Sie die Zugriffsgenehmigung mithilfe derGoogle Cloud -Konsole und eines benutzerdefinierten Signaturschlüssels einrichten, um E-Mail-Benachrichtigungen über Zugriffsanfragen für ein Projekt zu erhalten.
Mit der Zugriffsgenehmigung wird sichergestellt, dass Google-Mitarbeiter eine kryptografisch signierte Genehmigung haben, um auf Ihre aufGoogle Cloudgespeicherten Inhalte zuzugreifen.
Mit der Zugriffsgenehmigung können Sie einen eigenen kryptografischen Schlüssel verwenden, um die Zugriffsanfrage zu signieren. Sie können einen Schlüssel mit dem Cloud Key Management Service erstellen oder einen extern verwalteten Schlüssel mit Cloud External Key Manager verwenden.
Hinweise
- Aktivieren Sie Access Transparency für Ihre Organisation. Weitere Informationen finden Sie unter Access Transparency aktivieren.
- Sie benötigen die IAM-Rolle Bearbeiter der Zugriffsgenehmigungskonfiguration (
roles/accessapproval.configEditor).
Für Zugriffsgenehmigung registrieren
So melden Sie sich für Access Approval an:
Wählen Sie in der Google Cloud Console das Projekt aus, für das Sie die Zugriffsgenehmigung aktivieren möchten.
Rufen Sie die Seite Zugriffsgenehmigung auf.
Klicken Sie auf Registrieren, um sich für die Zugriffsgenehmigung anzumelden.
Wählen Sie im Dialogfeld den Registrierungsmodus für die Richtlinie aus und klicken Sie auf Registrieren.
Primärer Anmeldemodus für Zugriffsgenehmigungen
Sie können die Zugriffsgenehmigung in einem von drei Modi konfigurieren und den Modus jederzeit in den Einstellungen für die Zugriffsgenehmigung ändern. Folgende Modi können ausgewählt werden:
- Transparenz (empfohlen): In diesem Modus wird nur der administrative Zugriff von Google auf Ihre Arbeitslasten protokolliert, ohne dass der Support von Google für Ihre Supportanfragen unterbrochen oder proaktive Wartung Ihrer Arbeitslasten beeinträchtigt wird. Weitere Informationen finden Sie in der Dokumentation zu Access Transparency.
- Optimierter Support (Vorabversion): In diesem Modus können Sie dem Kundenservice automatisch Zugriff gewähren, damit er Ihre Supportanfragen bearbeiten kann. Der Zugriff für proaktive Wartung und Reparatur wird mit der Zugriffsgenehmigung genehmigt. Diese Funktion befindet sich in der Vorabversion.
- Zugriffsgenehmigung: In diesem Modus wird die vollständige Funktion der Zugriffsgenehmigung für alle Zugriffe aktiviert.
Access Transparency-Logs werden automatisch für alle Richtlinien für die Zugriffsgenehmigung generiert.
Einstellungen konfigurieren
Klicken Sie in der Google Cloud Konsole auf der Seite Zugriffsberechtigung auf Einstellungen verwalten.
Dienste auswählen
Standardmäßig werden die Dienste, für die eine Zugriffsbestätigung erforderlich ist, von der übergeordneten Ressource des Projekts übernommen. Sie können den Umfang der Registrierung erweitern, indem Sie die Option zur automatischen Aktivierung der Zugriffsgenehmigung für alle unterstützten Dienste auswählen.
E-Mail-Benachrichtigungen einrichten
In diesem Abschnitt wird erläutert, wie Sie Benachrichtigungen zu Zugriffsanfragen für dieses Projekt erhalten.
Erforderliche IAM-Rolle erteilen
Wenn Sie Zugriffsanfragen ansehen und genehmigen möchten, benötigen Sie die IAM-Rolle „Genehmiger für Zugriffsgenehmigungen“ (roles/accessapproval.approver).
So weisen Sie sich diese IAM-Rolle zu:
- Rufen Sie in der Google Cloud Console die Seite IAM auf.
- Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
- Geben Sie im rechten Bereich im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
- Klicken Sie auf das Feld Rolle auswählen und wählen Sie im Menü die Rolle Genehmiger für Zugriffsgenehmigungen aus.
- Klicken Sie auf Speichern.
Sich selbst als Genehmiger für Anfragen für die Zugriffsgenehmigung hinzufügen
So fügen Sie sich als Genehmiger hinzu, damit Sie Zugriffsanfragen prüfen und genehmigen können:
Rufen Sie in der Google Cloud Console die Seite Zugriffsgenehmigung auf.
Klicken Sie auf Einstellungen verwalten.
Fügen Sie unter Genehmigungsbenachrichtigungen einrichten Ihre E-Mail-Adresse in das Feld E-Mail-Adresse des Nutzers oder der Gruppe ein.
Klicken Sie auf Speichern, um die Benachrichtigungseinstellungen zu speichern.
Benutzerdefinierten Signaturschlüssel verwenden
Bei der Zugriffsgenehmigung wird ein Signaturschlüssel verwendet, um die Integrität der Zugriffsgenehmigungsanfrage zu überprüfen.
Wenn Sie Cloud EKM aktiviert haben, können Sie einen extern verwalteten Signaturschlüssel auswählen. Informationen zur Verwendung externer Schlüssel finden Sie unter Cloud EKM-Übersicht.
Sie können auch einen Cloud KMS-Signaturschlüssel mit einem Algorithmus Ihrer Wahl erstellen. Weitere Informationen finden Sie unter Asymmetrische Schlüssel erstellen.
Folgen Sie der Anleitung in diesem Abschnitt, um einen benutzerdefinierten Signaturschlüssel zu verwenden.
E-Mail-Adresse des Dienstkontos abrufen
Die E-Mail-Adresse des Dienstkontos hat das folgende Format:
service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com
Ersetzen Sie PROJECT_NUMBER durch die Projektnummer.
Die E-Mail-Adresse lautet beispielsweise service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com für ein Dienstkonto in einem Projekt mit der Projektnummer 123456789.
So verwenden Sie Ihren Signaturschlüssel:
Wählen Sie auf der Seite Zugriffsberechtigung in der Google Cloud Console die Option Cloud KMS-Signaturschlüssel verwenden (erweitert) aus.
Fügen Sie die Ressourcen-ID der Crypto-Schlüsselversion hinzu.
Die Ressourcen-ID der Kryptoschlüsselversion muss das folgende Format haben:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
Weitere Informationen finden Sie unter Cloud KMS-Ressourcen-ID abrufen.
Klicken Sie auf Speichern, um die Einstellungen zu speichern.
Wenn Sie einen benutzerdefinierten Signaturschlüssel verwenden möchten, müssen Sie dem Dienstkonto für die Zugriffsberechtigung für Ihr Projekt die IAM-Rolle Cloud KMS CryptoKey-Signer/Prüffunktion (
roles/cloudkms.signerVerifier) zuweisen.Wenn das Dienstkonto für die Zugriffsberechtigung nicht die Berechtigungen zum Signieren mit dem von Ihnen angegebenen Schlüssel hat, können Sie die erforderlichen Berechtigungen erteilen, indem Sie auf Gewähren klicken. Klicken Sie nach dem Gewähren der Berechtigungen auf Speichern.
Anfragen für die Zugriffsgenehmigung überprüfen
Nachdem Sie die Zugriffsgenehmigung aktiviert und sich als Genehmiger für Zugriffsanfragen hinzugefügt haben, erhalten Sie E-Mail-Benachrichtigungen zu Zugriffsanfragen.
Das folgende Bild zeigt eine Beispiel-E-Mail-Benachrichtigung, die von Access Approval gesendet wird, wenn Google-Mitarbeiter Zugriff auf Kundendaten anfordern.
So überprüfen und genehmigen Sie eine eingehende Zugriffsanfrage:
Rufen Sie in der Google Cloud Console die Seite Zugriffsgenehmigung auf.
Sie können auch auf den Link in der E-Mail klicken, die Sie mit der Genehmigungsanfrage erhalten haben, um auf diese Seite weitergeleitet zu werden.
Klicken Sie auf Genehmigen.
Nachdem Sie die Anfrage genehmigt haben, können Google-Mitarbeiter mit Merkmalen, die mit der Genehmigung übereinstimmen (z. B. gleiche Begründung, Standort oder Bürostandort), innerhalb des genehmigten Zeitraums auf die angegebene Ressource und ihre untergeordneten Ressourcen zugreifen.
Bereinigen
-
So melden Sie sich von Access Approval ab:
- Klicken Sie in der Google Cloud Konsole auf der Seite Zugriffsberechtigung auf Einstellungen verwalten.
- Klicken Sie auf Abmelden.
- Klicken Sie im Dialogfeld, das geöffnet wird, auf Abmelden.
- Wenden Sie sich an Cloud Customer Care, um Access Transparency für Ihre Organisation zu deaktivieren.
Es sind keine zusätzlichen Schritte erforderlich, um zu vermeiden, dass Gebühren für Ihr Konto anfallen.