Analisar e aprovar solicitações de acesso usando uma chave de assinatura personalizada

Neste documento, mostramos como configurar o Access Approval usando o O console do Google Cloud e uma chave de assinatura personalizada para receber notificações por e-mail solicitações de acesso em um projeto.

A aprovação de acesso garante que uma aprovação assinada criptograficamente esteja presente para que a equipe do Google acesse seu conteúdo armazenado no Google Cloud.

A Aprovação de acesso permite que você traga sua própria chave criptográfica para assinar a solicitação de acesso. É possível criar uma chave usando o Cloud Key Management Service ou usar chave gerenciada externamente usando o Cloud External Key Manager.

Antes de começar

Inscrever-se no Access Approval

Para se inscrever na Aprovação de acesso, faça o seguinte:

  1. No console do Google Cloud, selecione o projeto em que você quer ativar o Access Approval.

    Acessar o seletor de projetos

  2. Acesse a página Aprovação de acesso.

    Acessar o Access Approval

  3. Para se inscrever no Access Approval, clique em Inscrever-se.

    Selecione o botão "Inscrever-se".

  4. Na caixa de diálogo que aparece, clique em Inscrever-se.

    Isenção de responsabilidade do Access Approval sobre o aumento do tempo de suporte.

Como definir as configurações

Na página Aprovação de acesso no console do Google Cloud, clique em Gerenciar configurações.

Selecione o botão "Gerenciar configurações".

Selecione os serviços

Por padrão, os serviços que exigem a Aprovação de acesso são herdados. do recurso pai do projeto. Você pode expandir o escopo de inscrições selecionar a opção de ativar automaticamente o Access Approval para todos serviços compatíveis.

Configurar notificações por e-mail

Esta seção explica como receber notificações de pedidos de acesso para projeto.

Conceder o papel do IAM necessário

Para acessar e aprovar solicitações de acesso, é necessário ter o papel de Aprovador de acesso (roles/accessapproval.approver) papel do IAM.

Para conceder esse papel do IAM a si mesmo, faça o seguinte:

  1. Acesse a página IAM no Console do Google Cloud.

    Acessar o IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos principais no painel à direita, insira seu e-mail endereço IP.
  4. Clique no campo Selecionar papel e selecione o papel Aprovador de acesso no menu.
  5. Clique em Salvar.

Adicionar você mesmo como aprovador para solicitações de aprovação de acesso

Para se adicionar como aprovador para analisar e aprovar solicitações de acesso, faça o seguinte: o seguinte:

  1. Acesse a página Aprovação de acesso no console do Google Cloud.

    Acessar o Access Approval

  2. Clique em Gerenciar configurações.

  3. Em Configurar notificações de aprovação, adicione seu endereço de e-mail no campo E-mail do usuário ou do grupo.

  4. Para salvar as configurações de notificação, clique em Salvar.

Usar uma chave de assinatura personalizada

O Access Approval usa uma chave de assinatura para verificar a integridade do aprovação de acesso.

Se o Cloud EKM estiver ativado, será possível escolher uma chave de assinatura gerenciada externamente. Para mais informações sobre como usar chaves, consulte a Visão geral do Cloud EKM.

Também é possível criar uma chave de assinatura do Cloud KMS com um algoritmo de sua escolha. Para mais informações, consulte Como criar chaves assimétricas.

Para usar uma chave de assinatura personalizada, siga as instruções nesta seção.

Encontre o endereço de e-mail da conta de serviço

O endereço de e-mail da conta de serviço tem o seguinte formato:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Substitua PROJECT_NUMBER pelo número do projeto.

Por exemplo, o endereço de e-mail é service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com para uma conta de serviço em um projeto com o número 123456789.

Para usar a chave de assinatura, faça o seguinte:

  1. Na página Access Approval no console do Google Cloud, selecione Usar uma chave de assinatura do Cloud KMS (avançado).

  2. Adicione o ID do recurso da versão da chave criptográfica.

    O ID do recurso da versão da chave criptográfica precisa ter o seguinte formato:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    Para mais informações, consulte Como conseguir um ID de recurso do Cloud KMS.

  3. Para salvar suas configurações, clique em Salvar.

    Para usar uma chave de assinatura personalizada, você precisa fornecer o Signatário/verificador de CryptoKey do Cloud KMS (roles/cloudkms.signerVerifier) IAM para a conta de serviço do Access Approval do projeto.

    Se a conta de serviço do Access Approval não tiver as permissões para assinar com a chave fornecida, é possível conceder as permissões necessárias clicando em Conceder. Depois de conceder as permissões, clique em Salvar.

    Salve as configurações selecionadas.

Analisar solicitações de aprovação de acesso

Agora que você se inscreveu na Aprovação de acesso e se adicionou como um aprovador de solicitações de acesso, receberá notificações por e-mail sobre solicitações de acesso.

A imagem a seguir mostra um exemplo de notificação por e-mail de que o Access Approval é enviada quando a equipe do Google solicita acesso ao conteúdo do cliente.

Notificação por e-mail enviada quando a equipe do Google solicita acesso ao conteúdo do cliente.

Para analisar e aprovar uma solicitação de acesso recebida, faça o seguinte:

  1. Acesse a página Aprovação de acesso no console do Google Cloud.

    Acessar o Access Approval

    Para acessar esta página, você também pode clicar no link no e-mail enviada com a solicitação de aprovação.

  2. Clique em Aprovar.

Depois que você aprovar a solicitação, a equipe do Google com correspondência de characteristics A aprovação, como a mesma justificativa, local ou localização da mesa pode acessar o recurso especificado e os recursos filhos dele dentro dos dentro do prazo.

Limpar

  1. Para cancelar a inscrição na Aprovação de acesso, faça o seguinte:
    1. Na página Aprovação de acesso no console do Google Cloud, faça o seguinte: Clique em Gerenciar configurações.
    2. Clique em Cancelar inscrição.
    3. Na caixa de diálogo que aparecer, clique em Cancelar inscrição.
  2. Para desativar a Transparência no acesso para sua organização, entre em contato com o Cloud Customer Care.

Não são necessárias etapas adicionais para evitar cobranças na sua conta.

A seguir