Zugriffsanfragen mit einem benutzerdefinierten Signaturschlüssel prüfen und genehmigen

In diesem Dokument wird beschrieben, wie Sie die Zugriffsgenehmigung mithilfe derGoogle Cloud -Konsole und eines benutzerdefinierten Signaturschlüssels einrichten, um E-Mail-Benachrichtigungen über Zugriffsanfragen für ein Projekt zu erhalten.

Die Zugriffsgenehmigung sorgt dafür, dass eine kryptografisch signierte Genehmigung vorliegt, damit Google-Mitarbeiter auf Ihre inGoogle Cloudgespeicherten Inhalte zugreifen können.

Mit der Zugriffsgenehmigung können Sie Ihren eigenen kryptografischen Schlüssel verwenden, um die Zugriffsanfrage zu signieren. Sie können einen Schlüssel mit Cloud Key Management Service erstellen oder einen extern verwalteten Schlüssel mit Cloud External Key Manager importieren.

Hinweise

Für Access Approval registrieren

So melden Sie sich für Access Approval an:

  1. Wählen Sie in der Google Cloud Console das Projekt aus, für das Sie die Zugriffsgenehmigung aktivieren möchten.

    Zur Projektauswahl

  2. Rufen Sie die Seite Zugriffsgenehmigung auf.

    Zur Zugriffsgenehmigung

  3. Klicken Sie auf Registrieren, um sich für die Zugriffsgenehmigung anzumelden.

    Registrieren Sie sich für die Zugriffsgenehmigung.

  4. Wählen Sie im Dialogfeld den Registrierungsmodus für Ihre Richtlinie aus und klicken Sie auf Registrieren.

    Haftungsausschluss zur Zugriffsgenehmigung bezüglich längerer Supportzeiten

Primärer Registrierungsmodus für Zugriffsgenehmigungen

Sie können Access Approval in einem von drei Modi konfigurieren und den Modus jederzeit in den Access Approval-Einstellungen ändern. Folgende Modi können ausgewählt werden:

  1. Transparenz (empfohlen): In diesem Modus wird nur der administrative Zugriff von Google auf Ihre Arbeitslasten protokolliert, ohne dass der Support von Google für Ihre Supportanfragen oder die proaktive Wartung Ihrer Arbeitslasten unterbrochen wird. Weitere Informationen finden Sie in der Dokumentation zu Access Transparency.
  2. Optimierter Support (Vorabversion): In diesem Modus wird der Zugriff des Kundenservice auf Ihre Supportanfragen automatisch genehmigt. Der proaktive Wartungs- und Reparaturzugriff wird mit der Zugriffsgenehmigung zur Genehmigung angefordert. Diese Funktion befindet sich in der Vorschauphase.
  3. Zugriffsgenehmigung: In diesem Modus wird die vollständige Funktion „Zugriffsgenehmigung“ für alle Zugriffe aktiviert.

Access Transparency-Logs werden automatisch für alle Richtlinien zur Zugriffsgenehmigung generiert.

Einstellungen konfigurieren

Klicken Sie in der Google Cloud -Konsole auf der Seite Zugriffsgenehmigung auf Einstellungen verwalten.

Wählen Sie die Schaltfläche „Einstellungen verwalten“ aus.

Dienste auswählen

Access Approval-Einstellungen, einschließlich der Liste der aktivierten Produkte, werden von der übergeordneten Ressource übernommen. Sie können den Umfang der Registrierung erweitern, indem Sie Access Approval für alle oder ausgewählte zusätzliche unterstützte Dienste aktivieren.

Kästchen „Zusätzliche Dienste aktivieren“ auswählen

E-Mail-Benachrichtigungen einrichten

In diesem Abschnitt wird erläutert, wie Sie Benachrichtigungen über Zugriffsanfragen für dieses Projekt erhalten können.

Erforderliche IAM-Rolle zuweisen

Zum Ansehen und Genehmigen von Zugriffsanfragen benötigen Sie die IAM-Rolle „Genehmiger von Zugriffsgenehmigungen“ (roles/accessapproval.approver).

So weisen Sie sich diese IAM-Rolle selbst zu:

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Von Hauptkonten anzeigen auf Zugriff gewähren.
  3. Geben Sie im Feld Neue Hauptkonten im rechten Bereich Ihre E-Mail-Adresse ein.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie im Menü die Rolle Access Approval Approver (Genehmiger für den Zugriff) aus.
  5. Klicken Sie auf Speichern.

Sich selbst als Genehmiger für Anfragen für die Zugriffsgenehmigung hinzufügen

So fügen Sie sich selbst als Genehmiger hinzu, damit Sie Zugriffsanfragen prüfen und genehmigen können:

  1. Rufen Sie in der Google Cloud Console die Seite Zugriffsgenehmigung auf.

    Zur Zugriffsgenehmigung

  2. Klicken Sie auf Einstellungen verwalten.

  3. Fügen Sie unter Genehmigungsbenachrichtigungen einrichten Ihre E-Mail-Adresse in das Feld E-Mail-Adresse des Nutzers oder der Gruppe ein.

  4. Klicken Sie zum Speichern der Benachrichtigungseinstellungen auf Speichern.

Benutzerdefinierten Signierschlüssel verwenden

Bei der Zugriffsgenehmigung wird ein Signierschlüssel verwendet, um die Integrität der Anfrage zur Zugriffsgenehmigung zu überprüfen.

Wenn Sie Cloud EKM aktiviert haben, können Sie einen extern verwalteten Signierschlüssel auswählen. Informationen zur Verwendung externer Schlüssel finden Sie in der Cloud EKM-Übersicht.

Sie können auch einen Cloud KMS-Signaturschlüssel mit einem Algorithmus Ihrer Wahl erstellen. Weitere Informationen finden Sie unter Asymmetrische Schlüssel erstellen.

Wenn Sie einen benutzerdefinierten Signierschlüssel verwenden möchten, folgen Sie der Anleitung in diesem Abschnitt.

E-Mail-Adresse des Dienstkontos abrufen

Die E-Mail-Adresse für das Dienstkonto hat das folgende Format:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Ersetzen Sie PROJECT_NUMBER durch die Projektnummer.

Die E-Mail-Adresse für ein Dienstkonto in einem Projekt mit der Projektnummer 123456789 ist beispielsweise service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com.

So verwenden Sie Ihren Signierschlüssel:

  1. Wählen Sie auf der Seite Zugriffsbestätigung in der Google Cloud Console die Option Cloud KMS-Signierschlüssel verwenden (erweitert) aus.

  2. Fügen Sie die Ressourcen-ID der Crypto-Schlüsselversion hinzu.

    Die Ressourcen-ID der kryptografischen Schlüsselversion muss das folgende Format haben:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    Weitere Informationen finden Sie unter Cloud KMS-Ressourcen-ID abrufen.

  3. Klicken Sie auf Speichern, um die Einstellungen zu speichern.

    Wenn Sie einen benutzerdefinierten Signaturschlüssel verwenden möchten, müssen Sie dem Access Approval-Dienstkonto für Ihr Projekt die IAM-Rolle Cloud KMS CryptoKey-Signer/Prüffunktion (roles/cloudkms.signerVerifier) zuweisen.

    Wenn das Access Approval-Dienstkonto nicht die Berechtigungen hat, um mit dem von Ihnen angegebenen Schlüssel zu signieren, können Sie die erforderlichen Berechtigungen erteilen, indem Sie auf Gewähren klicken. Klicken Sie nach dem Erteilen der Berechtigungen auf Speichern.

    Speichern Sie die ausgewählten Einstellungen.

Anfragen für die Zugriffsgenehmigung prüfen

Nachdem Sie sich für die Zugriffsgenehmigung registriert und sich selbst als Genehmiger für Zugriffsanfragen hinzugefügt haben, erhalten Sie E‑Mail-Benachrichtigungen für Zugriffsanfragen.

Das folgende Bild zeigt eine Beispiel-E‑Mail-Benachrichtigung, die im Rahmen der Zugriffsgenehmigung gesendet wird, wenn Google-Mitarbeiter Zugriff auf Kundendaten anfordern.

Die E‑Mail-Benachrichtigung, die gesendet wird, wenn Google-Mitarbeiter Zugriff auf Kundendaten anfordern.

So überprüfen und genehmigen Sie eine eingehende Zugriffsanfrage:

  1. Rufen Sie in der Google Cloud Console die Seite Zugriffsgenehmigung auf.

    Zur Zugriffsgenehmigung

    Sie können auch auf den Link in der E-Mail klicken, die Sie mit der Genehmigungsanfrage erhalten haben, um auf diese Seite weitergeleitet zu werden.

  2. Klicken Sie auf Genehmigen.

Nachdem Sie die Anfrage genehmigt haben, können Google-Mitarbeiter mit Merkmalen, die mit der Genehmigung übereinstimmen (z. B. gleiche Begründung, gleicher Standort, Bürostandort), innerhalb des genehmigten Zeitrahmens auf die angegebene Ressource und ihre untergeordneten Ressourcen zugreifen.

Bereinigen

  1. So melden Sie sich von Access Approval ab:
    1. Klicken Sie auf der Seite Zugriffsgenehmigung in der Google Cloud Konsole auf Einstellungen verwalten.
    2. Klicken Sie auf Abmelden.
    3. Klicken Sie im angezeigten Dialogfeld auf Abmelden.
  2. Wenn Sie Access Transparency für Ihre Organisation deaktivieren möchten, wenden Sie sich an Cloud Customer Care.

Es sind keine zusätzlichen Schritte erforderlich, um zu vermeiden, dass Gebühren für Ihr Konto anfallen.

Nächste Schritte