Meninjau dan menyetujui permintaan akses menggunakan kunci penandatanganan kustom

Mendaftar ke Access Approval

Untuk mendaftar ke Persetujuan Akses, lakukan hal berikut:

1. Di konsol Google Cloud , pilih project yang ingin Andaaktifkan Access Approval.

   Buka pemilih project

2. Buka halaman Persetujuan Akses.

   Buka Access Approval

3. Untuk mendaftar ke Access Approval, klik Daftar.

   

4. Pada dialog, pilih mode pendaftaran untuk kebijakan Anda, lalu klik Daftar.

   

Mode pendaftaran utama Persetujuan Akses

Anda dapat mengonfigurasi Persetujuan Akses dalam salah satu dari tiga mode, dan dapat mengubah mode kapan saja di setelan Persetujuan Akses. Mode berikut dapat dipilih:

1. Transparansi (Direkomendasikan): Gunakan mode ini untuk hanya mencatat akses administratif Google ke dalam workload Anda tanpa mengganggu dukungan Google untuk kasus dukungan atau pemeliharaan proaktif pada workload Anda. Lihat dokumen Transparansi Akses untuk informasi selengkapnya.
2. Dukungan yang disederhanakan (Pratinjau): Gunakan mode ini untuk otomatis menyetujui akses Layanan Pelanggan untuk menangani kasus dukungan Anda. Akses pemeliharaan dan perbaikan proaktif akan diminta untuk disetujui dengan Persetujuan Akses. Fitur ini berada dalam tahap peluncuran Pratinjau.
3. Persetujuan Akses: Gunakan mode ini untuk mengaktifkan fungsi Persetujuan Akses penuh untuk semua akses.

Log Transparansi Akses dibuat secara otomatis untuk semua kebijakan Persetujuan Akses.

Mengonfigurasi setelan

Di halaman Access Approval di Google Cloud konsol, klik settingsManage settings.

Pilih layanan

Secara default, layanan yang memerlukan Persetujuan Akses diwarisi dari resource induk project. Anda dapat memperluas cakupan pendaftaran dengan memilih opsi untuk mengaktifkan Persetujuan Akses secara otomatis untuk semua layanan yang didukung.

Menyiapkan notifikasi email

Bagian ini menjelaskan cara Anda menerima notifikasi permintaan akses untuk project ini.

Memberikan peran IAM yang diperlukan

Untuk melihat dan menyetujui permintaan akses, Anda harus memiliki peran IAM Access Approval Approver (roles/accessapproval.approver).

Untuk memberikan peran IAM ini kepada diri Anda sendiri, lakukan hal berikut:

1. Buka halaman IAM di Google Cloud konsol.

   Buka IAM

2. Di tab View by principals, klik person_addGrant access.
3. Di kolom New principals di panel kanan, masukkan alamat email Anda.
4. Klik kolom Pilih peran, lalu pilih peran Access Approval Approver dari menu.
5. Klik Simpan.

Menambahkan diri Anda sebagai pemberi persetujuan untuk permintaan Persetujuan Akses

Untuk menambahkan diri Anda sebagai pemberi persetujuan agar dapat meninjau dan menyetujui permintaan akses, lakukan hal berikut:

1. Buka halaman Access Approval di Google Cloud console.

   Buka Access Approval

2. Klik settingsKelola setelan.

3. Di bagian Siapkan notifikasi persetujuan, tambahkan alamat email Anda di kolom Email pengguna atau grup.

4. Untuk menyimpan setelan notifikasi, klik Simpan.

Menggunakan kunci penandatanganan kustom

Persetujuan Akses menggunakan kunci penandatanganan untuk memverifikasi integritas permintaan Persetujuan Akses.

Jika Cloud EKM diaktifkan, Anda dapat memilih kunci penandatanganan yang dikelola secara eksternal. Untuk informasi tentang penggunaan kunci eksternal, lihat ringkasan Cloud EKM.

Anda juga dapat memilih untuk membuat kunci penandatanganan Cloud KMS dengan algoritma pilihan Anda. Untuk mengetahui informasi selengkapnya, lihat Membuat kunci asimetris.

Untuk menggunakan kunci penandatanganan kustom, ikuti petunjuk di bagian ini.

Mendapatkan alamat email akun layanan

Alamat email untuk akun layanan memiliki format berikut:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.

Ganti PROJECT_NUMBER dengan nomor project.

Misalnya, alamat email adalah service-p123456789@gcp-sa-accessapproval. untuk akun layanan dalam project yang nomor project-nya adalah 123456789.

Untuk menggunakan kunci penandatanganan, lakukan tindakan berikut:

1. Di halaman Access Approval di Google Cloud konsol, pilih Use a Cloud KMS signing key (advanced).

2. Tambahkan ID resource versi kunci kriptografis.

   ID resource versi kunci kriptografis harus memiliki bentuk berikut:

   projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
   

   Untuk informasi selengkapnya, lihat Mendapatkan ID resource Cloud KMS.

3. Untuk menyimpan setelan, klik Simpan.

   Untuk menggunakan kunci penandatanganan kustom, Anda harus memberikan peran IAM Cloud KMS CryptoKey Signer/Verifier (roles/cloudkms.signerVerifier) ke akun layanan Access Approval untuk project Anda.

   Jika akun layanan Access Approval tidak memiliki izin untuk menandatangani dengan kunci yang Anda berikan, Anda dapat memberikan izin yang diperlukan dengan mengklik Berikan. Setelah memberikan izin, klik Simpan.

   

Meninjau permintaan Persetujuan Akses

Setelah mendaftar ke Persetujuan Akses dan menambahkan diri Anda sebagai pemberi persetujuan untuk permintaan akses, Anda akan menerima notifikasi email untuk permintaan akses.

Gambar berikut menunjukkan contoh notifikasi email yang dikirim Persetujuan Akses saat personel Google meminta akses ke Data Pelanggan.

Untuk meninjau dan menyetujui permintaan akses yang masuk, lakukan hal berikut:

1. Buka halaman Access Approval di Google Cloud console.

   Buka Access Approval

   Untuk membuka halaman ini, Anda juga dapat mengklik link di email yang dikirimkan kepada Anda dengan permintaan persetujuan.

2. Klik Approve.

Setelah Anda menyetujui permintaan, personel Google dengan karakteristik yang cocok dengan persetujuan, seperti justifikasi, lokasi, atau lokasi meja yang sama dapat mengakses resource yang ditentukan dan resource turunannya dalam jangka waktu yang disetujui.