使用自訂簽署金鑰審查及核准存取權要求

本文說明如何使用Google Cloud 主控台和自訂簽署金鑰設定 Access Approval,以便在他人對專案提出存取要求時收到電子郵件通知。

存取權核准功能可確保 Google 人員存取Google Cloud上儲存的內容時,會顯示加密簽署的核准訊息。

您可以使用自己的加密編譯金鑰簽署存取要求。您可以使用 Cloud Key Management Service 建立金鑰,也可以使用 Cloud External Key Manager 導入外部管理的金鑰。

事前準備

註冊存取權核准

如要註冊 Access Approval,請按照下列步驟操作:

  1. 在 Google Cloud 控制台中,選取要啟用存取權核准功能的專案。

    前往專案選取器

  2. 前往「存取權核准」頁面。

    前往存取權核准頁面

  3. 如要註冊 Access Approval,請按一下「註冊」

    註冊 Access Approval。

  4. 在對話方塊中,選取政策的註冊模式,然後按一下「註冊」

    存取權核准要求的免責事項,說明支援時間增加。

Access Approval 主要註冊模式

您可以使用三種模式設定 Access Approval,並隨時在 Access Approval 設定中變更模式。您可以選取下列模式:

  1. 公開 (建議):使用這個模式時,系統只會記錄 Google 管理員對工作負載的存取權,不會影響 Google 對您的支援案件或工作負載主動維護作業。詳情請參閱資料存取透明化控管機制說明文件
  2. Streamlined 支援服務 (預先發布版):使用這個模式,自動核准客戶服務團隊處理客服案件的權限。我們會透過 Access Approval 要求取得主動維護和維修存取權。這項功能目前為預先發布版。
  3. 存取權核准:使用這個模式,為所有存取權啟用完整的存取權核准功能。

系統會自動針對所有存取權核准政策產生資料存取透明化控管機制記錄。

調整設定

在 Google Cloud 控制台的「Access Approval」頁面中,按一下「Manage settings」

選取「管理設定」按鈕。

選取服務

根據預設,需要 Access Approval 的服務會繼承專案的父項資源。您可以選取自動為所有支援的服務啟用 Access Approval 的選項,擴大註冊範圍。

設定電子郵件通知

本節說明如何接收此專案的存取權要求通知。

授予必要的 IAM 角色

如要查看及核准存取權要求,您必須具備存取權核准核准者 (roles/accessapproval.approver) IAM 角色。

如要將這個 IAM 角色授予自己,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「IAM」頁面。

    前往身分與存取權管理頁面

  2. 在「按照主體查看」分頁中,按一下「授予存取權」
  3. 在右側窗格中的「New principals」(新增主體) 欄位中,輸入您的電子郵件地址。
  4. 按一下「請選取角色」欄位,然後從選單中選取「存取權核准核准者」角色。
  5. 按一下「Save」(儲存)

將自己新增為存取權核准要求的核准者

如要將自己新增為核准者,以便審查及核准存取權要求,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「存取權核准」頁面。

    前往存取權核准頁面

  2. 按一下「管理設定」

  3. 在「設定核准通知」下方,在「使用者或群組電子郵件」欄位中新增電子郵件地址。

  4. 如要儲存通知設定,請按一下「儲存」

使用自訂簽署金鑰

Access Approval 會使用簽署金鑰驗證 Access Approval 要求的完整性。

如果您已啟用 Cloud EKM,可以選擇外部代管的簽署金鑰。如要瞭解如何使用外部金鑰,請參閱「Cloud EKM 總覽」一文。

您也可以選擇使用自選演算法建立 Cloud KMS 簽署金鑰。詳情請參閱「建立非對稱式金鑰」。

如要使用自訂簽署金鑰,請按照本節中的操作說明進行。

取得服務帳戶的電子郵件地址

服務帳戶的電子郵件地址格式如下:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

PROJECT_NUMBER 替換為專案編號。

舉例來說,如果專案編號為 123456789,專案中的服務帳戶電子郵件地址為 service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com

如要使用簽署金鑰,請執行下列操作:

  1. 在 Google Cloud 控制台的「Access Approval」頁面中,選取「Use a Cloud KMS signing key (advanced)」

  2. 新增加密編譯金鑰版本資源 ID。

    加密金鑰版本資源 ID 必須採用下列格式:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    詳情請參閱「取得 Cloud KMS 資源 ID」。

  3. 如要儲存設定,請按一下「儲存」

    如要使用自訂簽署金鑰,您必須為專案的存取權核准服務帳戶提供 Cloud KMS CryptoKey 簽署者/驗證者 (roles/cloudkms.signerVerifier) IAM 角色。

    如果存取核准服務帳戶沒有使用您提供的金鑰簽署的權限,請按一下「授權」授予必要權限。授予權限後,按一下「儲存」

    儲存所選設定。

查看存取權核准要求

您已註冊存取權核准功能,並將自己新增為存取權要求的核准者,因此會收到存取權要求的電子郵件通知。

下圖顯示 Google 人員要求存取客戶資料時,Access Approval 會傳送的電子郵件通知範例。

Google 人員要求存取客戶資料時,系統會傳送的電子郵件通知。

如要查看並核准存取權要求,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「存取權核准」頁面。

    前往存取權核准頁面

    如要前往這個頁面,您也可以點選我們傳送給您的核准要求電子郵件中的連結。

  2. 按一下「核准」。

核准要求後,符合核准特性 (例如相同的理由、位置或辦公室位置) 的 Google 人員,就能在核准的時限內存取指定資源及其子項資源。

清除所用資源

  1. 如要取消註冊 Access Approval,請按照下列步驟操作:
    1. 在 Google Cloud 控制台的「存取權核准」頁面中,按一下「管理設定」
    2. 按一下「取消報名」
    3. 在隨即開啟的對話方塊中,按一下「取消註冊」
  2. 如要停用貴機構的資料存取透明化控管機制,請與 Cloud 客戶服務團隊聯絡。

您不需要採取額外步驟,即可避免系統向您的帳戶收取費用。

後續步驟