Analisar e aprovar solicitações de acesso usando uma chave de assinatura personalizada

Este documento mostra como configurar o Access Approval usando o consoleGoogle Cloud e uma chave de assinatura personalizada para receber notificações por e-mail de solicitações de acesso em um projeto.

A aprovação de acesso garante que uma aprovação assinada criptograficamente esteja presente para que a equipe do Google acesse seu conteúdo armazenado no Google Cloud.

O Access Approval permite que você use sua própria chave criptográfica para assinar a solicitação de acesso. É possível criar uma chave usando o Cloud Key Management Service ou usar uma chave gerenciada externamente com o Cloud External Key Manager.

Antes de começar

Inscrever-se no Access Approval

Para se inscrever no Access Approval, faça o seguinte:

  1. No console Google Cloud , selecione o projeto em que você quer ativar o Access Approval.

    Acessar o seletor de projetos

  2. Acesse a página Access Approval.

    Acessar a Aprovação de acesso

  3. Para se inscrever no Access Approval, clique em Inscrever-se.

    Inscreva-se no Access Approval.

  4. Na caixa de diálogo, selecione o modo de registro da sua política e clique em Registrar.

    Isenção de responsabilidade do Access Approval sobre o aumento do tempo de suporte.

Modo de inscrição principal do Access Approval

É possível configurar a aprovação de acesso em um dos três modos e mudar o modo a qualquer momento nas configurações de aprovação de acesso. Os seguintes modos podem ser selecionados:

  1. Transparência (recomendado): use esse modo para registrar apenas o acesso administrativo do Google às cargas de trabalho sem interromper o suporte do Google para seus casos de suporte ou a manutenção proativa nas cargas de trabalho. Consulte os documentos de transparência no acesso para mais informações.
  2. Suporte simplificado (pré-lançamento): use esse modo para aprovar automaticamente o acesso do atendimento ao cliente para trabalhar nos seus casos de suporte. O acesso para manutenção e reparos proativos será solicitado para aprovação com a aprovação de acesso. Esse recurso está na fase de pré-lançamento.
  3. Aprovação de acesso: use esse modo para ativar a funcionalidade completa de aprovação de acesso para todos os acessos.

Os registros de transparência no acesso são gerados automaticamente para todas as políticas de aprovação de acesso.

Definir configurações

Na página Aprovação de acesso do Google Cloud console, clique em Gerenciar configurações.

Selecione o botão "Gerenciar configurações".

Selecione os serviços

Por padrão, os serviços que exigem aprovação de acesso são herdados do recurso pai do projeto. É possível expandir o escopo da inscrição selecionando a opção para ativar automaticamente o Access Approval para todos os serviços compatíveis.

Configurar notificações por e-mail

Esta seção explica como receber notificações de solicitação de acesso para este projeto.

Conceder o papel do IAM necessário

Para visualizar e aprovar solicitações de acesso, você precisa ter a função do IAM Aprovador de aprovação de acesso (roles/accessapproval.approver).

Para conceder esse papel do IAM a você mesmo, faça o seguinte:

  1. Acesse a página IAM no Google Cloud console.

    Acessar o IAM

  2. Na guia Visualizar por principais, clique em Conceder acesso.
  3. No campo Novos participantes, no painel à direita, insira seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e selecione o papel Aprovador de aprovação de acesso no menu.
  5. Clique em Salvar.

Adicionar você mesmo como aprovador para solicitações de aprovação de acesso

Para adicionar você mesmo como aprovador e poder analisar e aprovar solicitações de acesso, faça o seguinte:

  1. Acesse a página Aprovação de acesso no console Google Cloud .

    Acessar a Aprovação de acesso

  2. Clique em Gerenciar configurações.

  3. Em Configurar notificações de aprovação, adicione seu endereço de e-mail no campo E-mail do usuário ou do grupo.

  4. Para salvar as configurações de notificação, clique em Salvar.

Usar uma chave de assinatura personalizada

O Access Approval usa uma chave de assinatura para verificar a integridade da solicitação do Access Approval.

Se o Cloud EKM estiver ativado, você poderá escolher uma chave de assinatura gerenciada externamente. Para informações sobre o uso de chaves externas, consulte Visão geral do Cloud EKM.

Também é possível criar uma chave de assinatura do Cloud KMS com um algoritmo de sua preferência. Para mais informações, consulte Como criar chaves assimétricas.

Para usar uma chave de assinatura personalizada, siga as instruções desta seção.

Conferir o endereço de e-mail da conta de serviço

O endereço de e-mail da conta de serviço tem o seguinte formato:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Substitua PROJECT_NUMBER pelo número do projeto.

Por exemplo, o endereço de e-mail é service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com para uma conta de serviço em um projeto cujo número é 123456789.

Para usar sua chave de assinatura, faça o seguinte:

  1. Na página Aprovação de acesso do Google Cloud console, selecione Usar uma chave de assinatura do Cloud KMS (avançado).

  2. Adicione o ID do recurso da versão da chave criptográfica.

    O ID do recurso da versão da chave criptográfica precisa ter o seguinte formato:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    Para mais informações, consulte Como conseguir um ID de recurso do Cloud KMS.

  3. Para salvar as configurações, clique em Salvar.

    Para usar uma chave de assinatura personalizada, forneça o papel do IAM Signatário/verificador de CryptoKey do Cloud KMS (roles/cloudkms.signerVerifier) à conta de serviço de aprovação de acesso do seu projeto.

    Se a conta de serviço de aprovação de acesso não tiver as permissões para assinar com a chave fornecida, conceda as permissões necessárias clicando em Conceder. Depois de conceder as permissões, clique em Salvar.

    Salve as configurações selecionadas.

Analisar solicitações de aprovação de acesso

Agora que você se inscreveu no Aprovação de acesso e se adicionou como aprovador para solicitações de acesso, você vai receber notificações por e-mail para essas solicitações.

A imagem a seguir mostra um exemplo de notificação por e-mail que o Access Approval envia quando a equipe do Google solicita acesso aos dados do cliente.

A notificação por e-mail que é enviada quando a equipe do Google solicita acesso aos dados do cliente.

Para analisar e aprovar uma solicitação de acesso recebida, faça o seguinte:

  1. Acesse a página Aprovação de acesso no console Google Cloud .

    Acessar a Aprovação de acesso

    Para acessar esta página, você também pode clicar no link no e-mail enviado com a solicitação de aprovação.

  2. Clique em Aprovar.

Depois que você aprovar a solicitação, a equipe do Google com características que correspondem à aprovação, como a mesma justificativa, local ou local do espaço de trabalho, poderá acessar o recurso especificado e os recursos filhos no prazo aprovado.

Limpar

  1. Para cancelar a inscrição da Aprovação de acesso, faça o seguinte:
    1. Na página Aprovação de acesso do Google Cloud console, clique em Gerenciar configurações.
    2. Clique em Cancelar inscrição.
    3. Na caixa de diálogo que aparecer, clique em Cancelar inscrição.
  2. Para desativar a transparência no acesso para sua organização, entre em contato com o Cloud Customer Care.

Não são necessárias etapas adicionais para evitar cobranças na sua conta.

A seguir