Revisar y aprobar solicitudes de acceso con la clave de firma gestionada por Google
En este documento se explica cómo configurar la función Aprobación de acceso con la consola deGoogle Cloud para recibir notificaciones por correo electrónico cuando se solicite acceso a un proyecto.
Aprobación de acceso asegura que el personal de Google tenga una aprobación firmada criptográficamente para acceder al contenido que hayas almacenado enGoogle Cloud.
Antes de empezar
- Habilita Transparencia de acceso en tu organización. Para obtener más información, consulta el artículo sobre cómo habilitar Transparencia de acceso.
- Asegúrate de que tienes el rol de gestión de identidades y accesos Editor de configuración de aprobaciones de acceso (
roles/accessapproval.configEditor).
Registrarse en Aprobación de acceso
Para registrarte en Aprobación de acceso, sigue estos pasos:
En la Google Cloud consola, selecciona el proyecto en el que quieras habilitar Aprobación de acceso.
Ve a la página Access Approval.
Para registrarte en Aprobación de acceso, haz clic en Registrarme.
En el cuadro de diálogo, selecciona el modo de registro de tu política y haz clic en Registrar.
Modo de registro principal de Aprobación de acceso
Puedes configurar Aprobación de acceso en uno de los tres modos y cambiarlo en cualquier momento en los ajustes de Aprobación de acceso. Se pueden seleccionar los siguientes modos:
- Transparencia (recomendado): usa este modo para registrar solo el acceso administrativo de Google a tus cargas de trabajo sin interrumpir la asistencia de Google para tus casos de asistencia o el mantenimiento proactivo de tus cargas de trabajo. Para obtener más información, consulta la documentación de Transparencia de acceso.
- Asistencia optimizada (vista previa): usa este modo para aprobar automáticamente el acceso del equipo de Atención al cliente para que pueda trabajar en tus casos de asistencia. Se solicitará la aprobación de acceso para el mantenimiento proactivo y las reparaciones con Aprobación de acceso. Esta función está en fase de prelanzamiento.
- Aprobación de acceso: usa este modo para habilitar todas las funciones de Aprobación de acceso.
Los registros de Transparencia de acceso se generan automáticamente en todos los modos de Aprobación de acceso.
Configurar los ajustes
En la página Aprobación de acceso de la Google Cloud consola, haz clic en Gestionar configuración.
Seleccionar servicios
Los ajustes de Aprobación de acceso, incluida la lista de productos habilitados, se heredan del recurso superior. Puedes ampliar el ámbito de la inscripción habilitando Aprobación de acceso en todos los servicios compatibles o en algunos de ellos.
Configurar notificaciones de Pub/Sub y por correo electrónico
En esta sección se explica cómo puedes recibir notificaciones de solicitudes de acceso para este proyecto.
Adquiere el rol de gestión de identidades y accesos necesario
Para ver y aprobar solicitudes de acceso, debes tener el rol de gestión de identidades y accesos Aprobador de Aprobación de acceso (roles/accessapproval.approver).
Para concederte este rol de gestión de identidades y accesos, sigue estos pasos:
- Ve a la página Gestión de identidades y accesos de la Google Cloud consola.
- En la pestaña Ver por principales, haz clic en Dar acceso.
- En el campo Principales nuevos del panel de la derecha, escribe tu dirección de correo.
- Haz clic en el campo Seleccionar un rol y, en el menú, selecciona el rol Aprobador de aprobaciones de acceso.
- Haz clic en Guardar.
Añadirte como aprobador de solicitudes de Aprobación de accesos y configurar las notificaciones
Para añadirte como responsable de aprobación y poder revisar y aprobar solicitudes de acceso, sigue estos pasos:
Ve a la página Aprobación de acceso de la Google Cloud consola.
Haz clic en Gestionar configuración.
Para habilitar las notificaciones por correo, añade tu dirección de correo en el campo Correo del usuario o del grupo de la sección Configurar notificaciones de aprobación.
Para habilitar las notificaciones de Pub/Sub, añade tu tema de Pub/Sub en el campo Tema de Pub/Sub, en Configurar notificaciones de aprobación.
Seleccionar una clave de firma gestionada por Google
Aprobación de acceso usa una clave de firma para verificar la integridad de la solicitud de aprobación de acceso.
La clave de firma gestionada por Google es la opción predeterminada. Para usar un Google-owned and managed key no es necesario realizar ninguna configuración adicional.
Revisar solicitudes de aprobación de acceso
Ahora que te has registrado en Aprobación de acceso y te has añadido como aprobador de solicitudes de acceso, recibirás notificaciones por correo electrónico de las solicitudes de acceso.
En la siguiente imagen se muestra un ejemplo de notificación por correo que envía Aprobación de acceso cuando el personal de Google solicita acceso a los Datos del Cliente.
Para revisar y aprobar una solicitud de acceso entrante, siga estos pasos:
Ve a la página Aprobación de acceso de la Google Cloud consola.
Para acceder a esta página, también puede hacer clic en el enlace del correo que se le ha enviado con la solicitud de aprobación.
Haz clic en Aprobar.
Una vez que apruebes la solicitud, el personal de Google con características que coincidan con la aprobación (por ejemplo, la misma justificación, ubicación o ubicación de escritorio) podrá acceder al recurso especificado y a sus recursos secundarios durante el periodo aprobado.
Limpieza
-
Para cancelar el registro en Aprobación de acceso, sigue estos pasos:
- En la página Aprobación de acceso de la consola Google Cloud , haz clic en Gestionar configuración.
- Haz clic en Cancelar registro.
- En el cuadro de diálogo que se abre, haz clic en Darse de baja.
- Para inhabilitar Transparencia de acceso en tu organización, ponte en contacto con el equipo de Asistencia de Google Cloud.
No es necesario que hagas nada más para evitar que se te apliquen cargos en tu cuenta.
Siguientes pasos
- Consulta la anatomía de una solicitud de acceso.
- Consulta cómo aprobar solicitudes de aprobación de acceso.
- Consulta cómo ver el historial de solicitudes de aprobación de acceso.