Revisar y aprobar solicitudes de acceso con una clave de firma personalizada
En este documento se explica cómo configurar la función Aprobación de acceso con laGoogle Cloud consola y una clave de firma personalizada para recibir notificaciones por correo electrónico cuando se solicite acceso a un proyecto.
Aprobación de acceso asegura que el personal de Google tenga una aprobación firmada criptográficamente para acceder al contenido que hayas almacenado enGoogle Cloud.
Con Aprobación de acceso, puedes usar tu propia clave criptográfica para firmar la solicitud de acceso. Puedes crear una clave con Cloud Key Management Service o importar una clave gestionada externamente con Cloud External Key Manager.
Antes de empezar
- Habilita Transparencia de acceso en tu organización. Para obtener más información, consulta el artículo sobre cómo habilitar Transparencia de acceso.
- Asegúrate de que tienes el rol de gestión de identidades y accesos Editor de configuración de aprobaciones de acceso (
roles/accessapproval.configEditor).
Registrarse en Aprobación de acceso
Para registrarte en Aprobación de acceso, sigue estos pasos:
En la Google Cloud consola, selecciona el proyecto en el que quieras habilitar Aprobación de acceso.
Ve a la página Access Approval.
Para registrarte en Aprobación de acceso, haz clic en Registrarme.
En el cuadro de diálogo, selecciona el modo de registro de tu política y haz clic en Registrar.
Modo de registro principal de Aprobación de acceso
Puedes configurar Aprobación de acceso en uno de los tres modos y cambiarlo en cualquier momento en los ajustes de Aprobación de acceso. Se pueden seleccionar los siguientes modos:
- Transparencia (recomendado): usa este modo para registrar solo el acceso administrativo de Google a tus cargas de trabajo sin interrumpir la asistencia de Google para tus casos de asistencia o el mantenimiento proactivo de tus cargas de trabajo. Para obtener más información, consulta la documentación de Transparencia de acceso.
- Asistencia optimizada (vista previa): usa este modo para aprobar automáticamente el acceso del equipo de Atención al cliente para que pueda trabajar en tus casos de asistencia. Se solicitará la aprobación de acceso para el mantenimiento proactivo y las reparaciones con Aprobación de acceso. Esta función está en fase de prelanzamiento.
- Aprobación de acceso: usa este modo para habilitar todas las funciones de Aprobación de acceso.
Los registros de Transparencia de acceso se generan automáticamente para todas las políticas de Aprobación de acceso.
Configurar los ajustes
En la página Aprobación de acceso de la Google Cloud consola, haz clic en Gestionar configuración.
Seleccionar servicios
Los ajustes de Aprobación de acceso, incluida la lista de productos habilitados, se heredan del recurso superior. Puedes ampliar el ámbito de la inscripción habilitando Aprobación de acceso en todos los servicios compatibles o en algunos de ellos.
Configurar notificaciones por correo electrónico
En esta sección se explica cómo puedes recibir notificaciones de solicitudes de acceso para este proyecto.
Concede el rol de gestión de identidades y accesos necesario
Para ver y aprobar solicitudes de acceso, debes tener el rol de gestión de identidades y accesos Aprobador de Aprobación de acceso (roles/accessapproval.approver).
Para concederte este rol de gestión de identidades y accesos, sigue estos pasos:
- Ve a la página Gestión de identidades y accesos de la Google Cloud consola.
- En la pestaña Ver por principales, haz clic en Dar acceso.
- En el campo Principales nuevos del panel de la derecha, escribe tu dirección de correo.
- Haz clic en el campo Seleccionar un rol y, en el menú, selecciona el rol Aprobador de aprobaciones de acceso.
- Haz clic en Guardar.
Añadirte como aprobador de solicitudes de aprobación de acceso
Para añadirte como responsable de aprobación y poder revisar y aprobar solicitudes de acceso, sigue estos pasos:
Ve a la página Aprobación de acceso de la Google Cloud consola.
Haz clic en Gestionar configuración.
En Configurar notificaciones de aprobación, añade tu dirección de correo en el campo Correo de usuario o grupo.
Para guardar la configuración de las notificaciones, haz clic en Guardar.
Usar una clave de firma personalizada
Aprobación de acceso usa una clave de firma para verificar la integridad de la solicitud de aprobación de acceso.
Si tienes habilitado Cloud EKM, puedes elegir una clave de firma gestionada de forma externa. Para obtener información sobre cómo usar claves externas, consulta el artículo Información general sobre Cloud EKM.
También puedes crear una clave de firma de Cloud KMS con el algoritmo que quieras. Para obtener más información, consulta Crear claves asimétricas.
Para usar una clave de firma personalizada, sigue las instrucciones de esta sección.
Obtener la dirección de correo de la cuenta de servicio
La dirección de correo de la cuenta de servicio tiene el siguiente formato:
service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com
Sustituye PROJECT_NUMBER por el número del proyecto.
Por ejemplo, la dirección de correo electrónico es service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com
para una cuenta de servicio de un proyecto cuyo número de proyecto es 123456789.
Para usar tu clave de firma, haz lo siguiente:
En la página Aprobación de acceso de la Google Cloud consola, selecciona Usar una clave de firma de Cloud KMS (opción avanzada).
Añade el ID de recurso de la versión de la clave criptográfica.
El ID de recurso de la versión de clave criptográfica debe tener el siguiente formato:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
Para obtener más información, consulta Obtener un ID de recurso de Cloud KMS.
Para guardar la configuración, haz clic en Guardar.
Para usar una clave de firma personalizada, debes asignar el rol de gestión de identidades y accesos Firmante o verificador de CryptoKey de Cloud KMS (
roles/cloudkms.signerVerifier) a la cuenta de servicio de Aprobación de acceso de tu proyecto.Si la cuenta de servicio de Aprobación de acceso no tiene los permisos para firmar con la clave que has proporcionado, puedes conceder los permisos necesarios haciendo clic en Conceder. Después de conceder los permisos, haz clic en Guardar.
Revisar solicitudes de aprobación de acceso
Ahora que te has registrado en Aprobación de acceso y te has añadido como aprobador de solicitudes de acceso, recibirás notificaciones por correo electrónico de las solicitudes de acceso.
En la siguiente imagen se muestra un ejemplo de notificación por correo que envía Aprobación de acceso cuando el personal de Google solicita acceso a los Datos del Cliente.
Para revisar y aprobar una solicitud de acceso entrante, siga estos pasos:
Ve a la página Aprobación de acceso de la Google Cloud consola.
Para acceder a esta página, también puede hacer clic en el enlace del correo que se le ha enviado con la solicitud de aprobación.
Haz clic en Aprobar.
Cuando apruebes la solicitud, el personal de Google con las características que coincidan con la aprobación (por ejemplo, la misma justificación, ubicación o ubicación del escritorio) podrá acceder al recurso especificado y a sus recursos secundarios en el periodo aprobado.
Limpieza
-
Para cancelar el registro en Aprobación de acceso, sigue estos pasos:
- En la página Aprobación de acceso de la consola Google Cloud , haz clic en Gestionar configuración.
- Haz clic en Cancelar registro.
- En el cuadro de diálogo que se abre, haz clic en Darse de baja.
- Para inhabilitar Transparencia de acceso en tu organización, ponte en contacto con el equipo de Asistencia de Google Cloud.
No es necesario que hagas nada más para evitar que se te apliquen cargos en tu cuenta.
Siguientes pasos
- Consulta la anatomía de una solicitud de acceso.
- Consulta cómo aprobar solicitudes de aprobación de acceso.
- Consulta cómo ver el historial de solicitudes de aprobación de acceso.