Os nomes de alguns pacotes de controle do Assured Workloads estão mudando. Para saber mais sobre a mudança de nome, consulte Aviso de renomeação do pacote de controle.
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Revisar e aprovar solicitações de acesso usando uma chave de assinatura personalizada
Este documento mostra como configurar a aprovação de acesso usando o
consoleGoogle Cloud e uma chave de assinatura personalizada para receber notificações por e-mail de
solicitações de acesso em um projeto.
A aprovação de acesso garante que uma aprovação assinada criptograficamente
esteja presente para que a equipe do Google acesse seu conteúdo armazenado no
Google Cloud.
Com o Access Approval, você pode usar sua própria chave criptográfica para assinar o pedido de acesso. É possível criar uma chave usando o Cloud Key Management Service ou trazer uma chave gerenciada externamente usando o Cloud External Key Manager.
Para se inscrever no Access Approval, clique em Inscrever-se.
Na caixa de diálogo, selecione o modo de inscrição da política
e clique em Inscrever.
Modo principal de inscrição do Access Approval
É possível configurar a aprovação de acesso em um de três modos e mudar o modo a qualquer momento nas configurações de aprovação de acesso. Os seguintes modos podem ser selecionados:
Transparência (recomendado): use esse modo para registrar apenas o acesso administrativo do Google às suas cargas de trabalho sem interromper o suporte do Google aos seus casos de suporte ou a manutenção proativa nas suas cargas de trabalho. Consulte a
documentação da transparência no acesso para mais
informações.
Suporte simplificado (prévia): use esse modo para aprovar automaticamente o acesso do atendimento ao cliente para trabalhar nos seus casos de suporte. A manutenção proativa e o acesso para conserto serão solicitados para aprovação com a aprovação de acesso. Esse recurso está na fase de pré-lançamento.
Aprovação de acesso: use esse modo para ativar a funcionalidade completa da Aprovação de acesso para todos os acessos.
Os registros de transparência no acesso são gerados automaticamente para todas as políticas do Access Approval.
Definir configurações
Na página Aprovação de acesso no Google Cloud console, clique em
settingsGerenciar configurações.
Selecionar serviços
As configurações da Aprovação de acesso, incluindo a lista de produtos ativados, são herdadas do recurso pai. É possível expandir o escopo da inscrição ativando a Aprovação de acesso para todos ou alguns serviços compatíveis.
Configurar notificações por e-mail
Esta seção explica como receber notificações de solicitação de acesso para este
projeto.
Conceder o papel do IAM necessário
Para visualizar e aprovar solicitações de acesso, você precisa ter o papel do IAM de aprovador da aprovação de acesso
(roles/accessapproval.approver).
Para conceder esse papel do IAM a você mesmo, faça o seguinte:
Em Configurar notificações de aprovação, adicione seu endereço de e-mail no campo E-mail do usuário ou grupo.
Para salvar as configurações de notificação, clique em Salvar.
Usar uma chave de assinatura personalizada
O Access Approval usa uma chave de assinatura para verificar a integridade da solicitação.
Se o Cloud EKM estiver ativado, você poderá
escolher uma chave de assinatura gerenciada externamente. Para informações sobre o uso de chaves
externas, consulte a Visão geral do Cloud EKM.
Também é possível criar uma chave de assinatura do Cloud KMS com
um algoritmo de sua escolha. Para mais informações, consulte
Como criar chaves assimétricas.
Para usar uma chave de assinatura personalizada, siga as instruções nesta seção.
Pegue o endereço de e-mail da conta de serviço
O endereço de e-mail da conta de serviço tem o seguinte formato:
Por exemplo, o endereço de e-mail é service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com
para uma conta de serviço em um projeto cujo número é 123456789.
Para usar sua chave de assinatura, faça o seguinte:
Na página Aprovação de acesso no console Google Cloud , selecione
Usar uma chave de assinatura do Cloud KMS (avançado).
Adicione o ID do recurso da versão da chave criptográfica.
O ID do recurso da versão da chave criptográfica precisa ter o seguinte formato:
Para usar uma chave de assinatura personalizada, conceda à conta de serviço da Aprovação de acesso o papel do IAM Signatário/Verificador de CryptoKey do Cloud KMS (roles/cloudkms.signerVerifier) no seu projeto.
Se a conta de serviço da Aprovação de acesso não tiver as permissões para assinar com a chave fornecida, clique em Conceder para conceder as permissões necessárias. Depois de conceder as permissões, clique em Salvar.
Revisar solicitações de aprovação de acesso
Agora que você se inscreveu na Aprovação de acesso e se adicionou como aprovador de solicitações de acesso, vai receber notificações por e-mail sobre essas solicitações.
A imagem a seguir mostra um exemplo de notificação por e-mail que o Access Approval envia quando a equipe do Google solicita acesso aos dados do cliente.
Para revisar e aprovar uma solicitação de acesso recebida, faça o seguinte:
Acesse a página Access Approval no console do Google Cloud .
Para acessar esta página, clique no link no e-mail enviado a você com a solicitação de aprovação.
Clique em Aprovar.
Depois que você aprovar a solicitação, a equipe do Google com características que correspondem à aprovação, como mesma justificativa, local ou local do espaço de trabalho, poderá acessar o recurso especificado e os recursos filhos dele dentro do período aprovado.
Limpar
Para cancelar a inscrição da Aprovação de acesso, faça o seguinte:
Na página Aprovação de acesso no console Google Cloud , clique em Gerenciar configurações.
Clique em Cancelar inscrição.
Na caixa de diálogo exibida, clique em Cancelar inscrição.
Para desativar a transparência no acesso na sua organização, entre em contato com o Cloud Customer Care.
Não são necessárias etapas adicionais para evitar cobranças na sua conta.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-18 UTC."],[[["\u003cp\u003eAccess Approval allows you to ensure that Google personnel have a cryptographically-signed approval before accessing your content stored on Google Cloud.\u003c/p\u003e\n"],["\u003cp\u003eYou can enroll in Access Approval, configure settings for supported services, and set up email notifications to receive access request alerts.\u003c/p\u003e\n"],["\u003cp\u003eTo review and approve access requests, you must be granted the Access Approval Approver IAM role and add yourself as an approver within the Access Approval settings.\u003c/p\u003e\n"],["\u003cp\u003eAccess Approval utilizes a signing key, and you have the option to use a custom signing key managed through Cloud KMS or an externally-managed key via Cloud EKM.\u003c/p\u003e\n"],["\u003cp\u003eYou can unenroll from Access approval at any time, and to disable Access Transparency you must contact Cloud Customer Care.\u003c/p\u003e\n"]]],[],null,["# Quickstart: Review access requests using a custom signing key\n\nReview and approve access requests using a custom signing key\n=============================================================\n\nThis document shows how to set up Access Approval using the\nGoogle Cloud console and a custom signing key to receive email notifications of\naccess requests on a project.\n\nAccess Approval ensures that a cryptographically-signed approval\nis present for Google personnel to access your content stored on\nGoogle Cloud.\n\nAccess Approval lets you bring your own cryptographic key to sign the\naccess request. You can create a key using Cloud Key Management Service or bring an\nexternally-managed key using Cloud External Key Manager.\n\nBefore you begin\n----------------\n\n- Enable [Access Transparency](/assured-workloads/access-transparency/docs/overview) for your organization. For more information, see [Enabling Access Transparency](/assured-workloads/access-transparency/docs/enable).\n- Ensure that you have the [Access Approval Config Editor](/iam/docs/understanding-roles#access-approval-roles) (`roles/accessapproval.configEditor`) IAM role.\n\nEnroll in Access Approval\n-------------------------\n\nTo enroll in Access Approval, do the following:\n\n1. In the Google Cloud console, select the project for which you want to\n enable Access Approval.\n\n [Go to project selector](https://console.cloud.google.com/projectselector2/home/dashboard)\n2. Go to the **Access Approval** page.\n\n [Go to Access Approval](https://console.cloud.google.com/security/access-approval)\n3. To enroll in Access Approval, click **Enroll**.\n\n4. In the dialog, select the [enrollment mode](#enrollment-mode) for your policy\n and click **Enroll**.\n\n### Access Approval primary enrollment mode\n\nYou can configure Access Approval in one of three modes, and can change\nthe mode at any time in the Access Approval settings. The following\nmodes can be selected:\n\n1. Transparency (Recommended): Use this mode to only log Google administrative access into your workloads without interrupting Google's support for your support cases or proactive maintenance on your workloads. See the [Access Transparency docs](/assured-workloads/access-transparency/docs) for more information.\n2. Streamlined support (Preview): Use this mode to automatically approve Customer Care access to work on your support cases. Proactive maintenance and repair access will be requested for approval with Access Approval. This feature is in the Preview launch stage.\n3. Access Approval: Use this mode to enable full Access Approval functionality for all accesses.\n\nAccess Transparency logs are generated automatically for all Access Approval policies.\n\nConfigure settings\n------------------\n\nOn the **Access Approval** page in the Google Cloud console, click\nsettings**Manage settings**.\n\n\n### Select services\n\nAccess Approval settings, including the list of enabled products, are inherited from the parent resource. You can expand the scope of enrollment by enabling Access Approval for all or selected additional services [supported services](/assured-workloads/access-approval/docs/supported-services).\n\n### Set up email notifications\n\nThis section explains how you can receive access request notifications for this\nproject.\n\n#### Grant the required IAM role\n\n\nTo view and approve access requests, you must have the Access Approval Approver\n(`roles/accessapproval.approver`) IAM role.\n\n\nTo grant this IAM role to yourself, do the following:\n\n1. Go to the **IAM** page in the Google Cloud console.\n\n\n [Go to IAM](https://console.cloud.google.com/iam-admin/iam?supportedpurview=project)\n2. In the **View by principals** tab, click person_add**Grant access**.\n3. In the **New principals** field in the right pane, enter your email address.\n4. Click the **Select a role** field, and select the **Access Approval Approver** role from the menu.\n5. Click **Save**.\n\n#### Add yourself as an approver for Access Approval requests\n\nTo add yourself as an approver so you can review and approve access requests, do\nthe following:\n\n1. Go to the **Access Approval** page in the Google Cloud console.\n\n [Go to Access Approval](https://console.cloud.google.com/security/access-approval)\n2. Click settings**Manage settings**.\n\n3. Under **Set up approval notifications** , add your email address in the\n **User or group email** field.\n\n4. To save the notification settings, click **Save**.\n\n### Use a custom signing key\n\nAccess Approval uses a signing key to verify the integrity of the\nAccess Approval request.\n\nIf you have Cloud EKM enabled, you can\nchoose an externally-managed signing key. For information about using external\nkeys, see [Cloud EKM overview](/kms/docs/ekm#overview).\n\nYou can also choose to create a Cloud KMS signing key with\nan algorithm of your choice. For more information, see\n[Creating asymmetric keys](/kms/docs/creating-asymmetric-keys).\n\nTo use a custom signing key, follow the instructions in this section.\n\n**Get the email address of the service account**\n\nThe email address for the service account is of the following form: \n\n service-\u003cvar translate=\"no\"\u003ep\u003c/var\u003e\u003cvar translate=\"no\"\u003ePROJECT_NUMBER\u003c/var\u003e@gcp-sa-accessapproval.iam.gserviceaccount.com\n\nReplace \u003cvar translate=\"no\"\u003ePROJECT_NUMBER\u003c/var\u003e with the project number.\n\nFor example, the email address is `service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com`\nfor a service account in a project whose project number is `123456789`.\n\nTo use your signing key, do the following:\n\n1. On the **Access Approval** page in the Google Cloud console, select\n **Use a Cloud KMS signing key (advanced)**.\n\n2. Add the crypto key version resource ID.\n\n The crypto key version resource ID must have the following form: \n\n ```\n projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID\n ```\n\n For more information, see [Getting a Cloud KMS resource ID](/kms/docs/getting-resource-ids).\n3. To save your settings, click **Save**.\n\n To use a custom signing key, you must provide the\n [Cloud KMS CryptoKey Signer/Verifier](/iam/docs/understanding-roles#cloud-kms-roles)\n (`roles/cloudkms.signerVerifier`) IAM\n role to the Access Approval service account for your project.\n\n If the Access Approval service account doesn't have the permissions\n to sign with the key you provided, you can grant the required permissions by\n clicking **Grant** . After granting the permissions, click **Save**.\n\n\nReview Access Approval requests\n-------------------------------\n\nNow that you have enrolled in Access Approval and added yourself as an\napprover for access requests, you can expect to receive email notifications for\naccess requests.\n\nThe following image shows a sample email notification that Access Approval\nsends when Google personnel request access to Customer Data.\n\n\nTo review and approve an incoming access request, do the following:\n\n1. Go to the **Access Approval** page in the Google Cloud console.\n\n [Go to Access Approval](https://console.cloud.google.com/security/access-approval)\n\n To be taken to this page, you can also click the link in the email\n sent to you with the approval request.\n2. Click **Approve**.\n\nAfter you approve the request, Google personnel with\n[characteristics](/assured-workloads/access-approval/docs/approval-request-details) matching\nthe approval, such as, same justification, location, or desk location\ncan access the specified resource and its child resources within the approved\ntimeframe.\n\nClean up\n--------\n\n1. To unenroll from Access Approval, do the following:\n 1. On the **Access Approval** page in the Google Cloud console, click **Manage settings**.\n 2. Click **Unenroll**.\n 3. In the dialog that opens, click **Unenroll**.\n2. To disable Access Transparency for your organization, contact [Cloud Customer Care](/support).\n\nNo additional steps are required to avoid incurring charges to your account.\n\nWhat's next\n-----------\n\n- Learn about the [anatomy of an access request](/assured-workloads/access-approval/docs/approval-request-details).\n- Learn how to [approve Access Approval requests](/assured-workloads/access-approval/docs/approve-requests).\n- Learn how to [view historical Access Approval\n requests](/assured-workloads/access-approval/docs/view-historical-requests)."]]