Esaminare e approvare le richieste di accesso utilizzando una chiave di firma personalizzata

Questo documento mostra come configurare Access Approval utilizzando la consoleGoogle Cloud e una chiave di firma personalizzata per ricevere notifiche via email delle richieste di accesso a un progetto.

Access Approval garantisce che sia presente un'approvazione con firma crittografica affinché il personale di Google possa accedere ai tuoi contenuti archiviati su Google Cloud.

L'approvazione dell'accesso ti consente di utilizzare la tua chiave di crittografia per firmare la richiesta di accesso. Puoi creare una chiave utilizzando Cloud Key Management Service o importare una chiave gestita esternamente utilizzando Cloud External Key Manager.

Prima di iniziare

Registrati ad Access Approval

Per registrarti ad Access Approval:

  1. Nella Google Cloud console, seleziona il progetto per il quale vuoi attivare l'approvazione dell'accesso.

    Vai al selettore dei progetti

  2. Vai alla pagina Access Approval.

    Vai ad Access Approval

  3. Per registrarti ad Access Approval, fai clic su Registrati.

    Registrati ad Access Approval.

  4. Nella finestra di dialogo, seleziona la modalità di registrazione per il criterio e fai clic su Registra.

    Disclaimer sull'approvazione dell'accesso relativo all'aumento dei tempi di assistenza.

Modalità di registrazione principale di Access Approval

Puoi configurare Access Approval in una delle tre modalità e modificare la modalità in qualsiasi momento nelle impostazioni di Access Approval. È possibile selezionare le seguenti modalità:

  1. Trasparenza (consigliato): utilizza questa modalità per registrare solo l'accesso amministrativo di Google ai tuoi carichi di lavoro senza interrompere l'assistenza di Google per le tue richieste di assistenza o la manutenzione proattiva dei tuoi carichi di lavoro. Per ulteriori informazioni, consulta la documentazione di Access Transparency.
  2. Assistenza semplificata (anteprima): utilizza questa modalità per approvare automaticamente l'accesso dell'assistenza clienti per lavorare sulle tue richieste di assistenza. L'accesso per la manutenzione e la riparazione proattive verrà richiesto per l'approvazione con Access Approval. Questa funzionalità è nella fase di lancio dell'anteprima.
  3. Approvazione dell'accesso: utilizza questa modalità per attivare la funzionalità completa di Access Approval per tutti gli accessi.

I log di Access Transparency vengono generati automaticamente per tutti i criteri di approvazione dell'accesso.

Configura le impostazioni

Nella pagina Approvazione accesso della console Google Cloud , fai clic su Gestisci impostazioni.

Seleziona il pulsante Gestisci impostazioni.

Seleziona servizi

Le impostazioni di Access Approval, incluso l'elenco dei prodotti abilitati, vengono ereditate dalla risorsa padre. Puoi ampliare l'ambito della registrazione attivando Access Approval per tutti i servizi aggiuntivi o per quelli selezionati supportati.

Seleziona le caselle di controllo per attivare i servizi aggiuntivi

Imposta le notifiche email

Questa sezione spiega come ricevere notifiche delle richieste di accesso per questo progetto.

Concedere il ruolo IAM richiesto

Per visualizzare e approvare le richieste di accesso, devi disporre del ruolo IAM Approvatore di Access Approval (roles/accessapproval.approver).

Per concederti questo ruolo IAM, procedi nel seguente modo:

  1. Vai alla pagina IAM nella console Google Cloud .

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Responsabile approvazione accesso dal menu.
  5. Fai clic su Salva.

Aggiungerti come approvatore per le richieste di approvazione dell'accesso

Per aggiungerti come approvatore in modo da poter esaminare e approvare le richieste di accesso, procedi nel seguente modo:

  1. Vai alla pagina Access Approval nella console Google Cloud .

    Vai ad Access Approval

  2. Fai clic su Gestisci impostazioni.

  3. Nella sezione Configura notifiche di approvazione, aggiungi il tuo indirizzo email nel campo Email utente o gruppo.

  4. Per salvare le impostazioni di notifica, fai clic su Salva.

Utilizzare una chiave di firma personalizzata

Access Approval utilizza una chiave di firma per verificare l'integrità della richiesta di approvazione di accesso.

Se hai attivato Cloud EKM, puoi scegliere una chiave di firma gestita esternamente. Per informazioni sull'utilizzo delle chiavi esterne, consulta Panoramica di Cloud EKM.

Puoi anche scegliere di creare una chiave di firma Cloud KMS con un algoritmo a tua scelta. Per saperne di più, vedi Creazione di chiavi asimmetriche.

Per utilizzare una chiave di firma personalizzata, segui le istruzioni riportate in questa sezione.

Ottieni l'indirizzo email del service account

L'indirizzo email del account di servizio ha il seguente formato:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Sostituisci PROJECT_NUMBER con il numero di progetto.

Ad esempio, l'indirizzo email è service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com per un account di servizio in un progetto il cui numero di progetto è 123456789.

Per utilizzare la chiave di firma:

  1. Nella pagina Approvazione accesso della console Google Cloud , seleziona Usa una chiave di firma Cloud KMS (opzione avanzata).

  2. Aggiungi l'ID risorsa della versione della chiave di crittografia.

    L'ID risorsa della versione della chiave di crittografia deve avere il seguente formato:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    Per ulteriori informazioni, consulta Recupero di un ID risorsa di Cloud KMS.

  3. Per salvare le impostazioni, fai clic su Salva.

    Per utilizzare una chiave di firma personalizzata, devi fornire il ruolo IAM Cloud KMS CryptoKey Signer/Verifier (roles/cloudkms.signerVerifier) all'account di servizio Access Approval per il tuo progetto.

    Se il account di servizio di Access Approval non dispone delle autorizzazioni per firmare con la chiave che hai fornito, puoi concedere le autorizzazioni richieste facendo clic su Concedi. Dopo aver concesso le autorizzazioni, fai clic su Salva.

    Salva le impostazioni selezionate.

Esaminare le richieste di Access Approval

Ora che hai eseguito la registrazione ad Approvazioni dell'accesso e ti sei aggiunto come approvatore per le richieste di accesso, riceverai notifiche email per le richieste di accesso.

La seguente immagine mostra un esempio di notifica via email che Access Approval invia quando il personale di Google richiede l'accesso ai dati del cliente.

La notifica via email inviata quando il personale di Google richiede l'accesso ai Dati del cliente.

Per esaminare e approvare una richiesta di accesso in entrata:

  1. Vai alla pagina Access Approval nella console Google Cloud .

    Vai ad Access Approval

    Per accedere a questa pagina, puoi anche fare clic sul link nell'email che ti è stata inviata con la richiesta di approvazione.

  2. Fai clic su Approva.

Dopo l'approvazione della richiesta, il personale Google con caratteristiche corrispondenti all'approvazione, ad esempio stessa motivazione, posizione o posizione della scrivania può accedere alla risorsa specificata e alle relative risorse secondarie entro il periodo di tempo approvato.

Esegui la pulizia

  1. Per annullare la registrazione ad Access Approval:
    1. Nella pagina Approvazione accesso della console Google Cloud , fai clic su Gestisci impostazioni.
    2. Fai clic su Annulla registrazione.
    3. Nella finestra di dialogo che si apre, fai clic su Annulla registrazione.
  2. Per disattivare Access Transparency per la tua organizzazione, contatta Cloud Customer Care.

Non sono necessari ulteriori passaggi per evitare che al tuo account vengano addebitati costi.

Passaggi successivi