Cambiarán los nombres de algunos paquetes de control de Assured Workloads. Para obtener información sobre el cambio de nombre, consulta el Aviso de cambio de nombre del paquete de control.

Se usó la API de Cloud Translation para traducir esta página.

Valida la firma de una solicitud aprobada

Cada solicitud de aprobación de acceso aprobada se firma con una clave criptográfica asimétrica para validar la aprobación. Las solicitudes aprobadas se pueden firmar con una clave de Cloud KMS proporcionada por el cliente o con una Google-owned and managed key .

Cuando validas una firma, puedes tener la certeza de que la cadena de bytes de la solicitud aprobada serializada es válida. Para terminar de validar el contenido de la aprobación, debes deserializar el mensaje y comparar el mensaje deserializado con el contenido de la solicitud aprobada.

Antes de comenzar

Para asegurarte de que la cuenta de servicio de Aprobación de acceso de tu recurso tenga los permisos necesarios para verificar las firmas de solicitudes aprobadas, pídele a tu administrador que le otorgue el rol de IAM de Firmante/Verificador de CryptoKey de Cloud KMS (roles/cloudkms.signerVerifier) en la clave, el llavero de claves o el proyecto de claves.

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Es posible que tu administrador también pueda otorgar a la cuenta de servicio de Aprobación de acceso para tu recurso los permisos necesarios a través de roles personalizados o de otros roles predefinidos.

Valida una solicitud firmada con un objeto Google-owned and managed key

En la consola de Google Cloud , ve a la página Aprobación de acceso.

Ir a Aprobación de acceso
Busca y selecciona la solicitud de Aprobación de acceso aprobada que deseas validar. Se abrirá la página Detalles de la solicitud.
En Clave pública administrada por Google, haz clic en content_copy Copiar.
Abre Cloud Shell y, luego, guarda la clave pública como un archivo nuevo llamado public_key:
```
echo GOOGLE_MANAGED_PUBLIC_KEY > ./public_key
```
Reemplaza GOOGLE_MANAGED_PUBLIC_KEY por el contenido del campo Clave pública administrada por Google.
En la consola de Google Cloud , en la página Detalles de la solicitud, en Firma, haz clic en content_copy Copiar.
Abre Cloud Shell y, luego, guarda la firma como un archivo nuevo llamado signature.txt:
```
echo SIGNATURE > ./signature.txt
```
Reemplaza SIGNATURE por el contenido del campo Signature.
Decodifica la firma con el comando base64 y guarda el resultado como decoded_signature:
```
base64 ./signature.txt -d > ./decoded_signature
```
En la consola de Google Cloud , en la página Detalles de la solicitud, en Solicitud de aprobación serializada, haz clic en content_copy Copiar.
Abre Cloud Shell y, luego, guarda la solicitud de aprobación serializada como un archivo nuevo llamado serialized_approval_request.txt:
```
echo SERIALIZED_APPROVAL_REQUEST > ./serialized_approval_request.txt
```
Reemplaza SERIALIZED_APPROVAL_REQUEST por el contenido del campo Serialized Approval Request.
Decodifica la solicitud de aprobación serializada y guarda el resultado como decoded_serialized_approval_request:
```
base64 ./serialized_approval_request.txt -d > ./decoded_serialized_approval_request
```
Usa openssl para verificar la firma:
```
openssl dgst \
    -sha256 \
    -verify ./public_key \
    -signature ./decoded_signature \
    ./decoded_serialized_approval_request
```
Si la firma es válida, el resultado debería ser Verified OK. Esto confirma que la solicitud de aprobación serializada es válida.

Valida una solicitud firmada con una clave proporcionada por el cliente

En la consola de Google Cloud , ve a la página Aprobación de acceso.

Ir a Aprobación de acceso
Busca y selecciona la solicitud de Aprobación de acceso aprobada que deseas validar. Se abrirá la página Detalles de la solicitud.
En la consola de Google Cloud , en la página Detalles de la solicitud, en Firma, haz clic en content_copy Copiar.
Abre Cloud Shell y, luego, guarda la firma como un archivo nuevo llamado signature.txt:
```
echo SIGNATURE > ./signature.txt
```
Reemplaza SIGNATURE por el contenido del campo Signature.
Decodifica la firma y guarda el resultado como decoded_signature:
```
base64 ./signature.txt -d > ./decoded_signature
```
En la consola de Google Cloud , en la página Detalles de la solicitud, en Solicitud de aprobación serializada, haz clic en content_copy Copiar.
Abre Cloud Shell y, luego, guarda la solicitud de aprobación serializada como un archivo nuevo llamado serialized_approval_request.txt:
```
echo SERIALIZED_APPROVAL_REQUEST > ./serialized_approval_request.txt
```
Reemplaza SERIALIZED_APPROVAL_REQUEST por el contenido del campo Serialized Approval Request.
Decodifica la solicitud de aprobación serializada y guarda el resultado como decoded_serialized_approval_request:
```
base64 ./serialized_approval_request.txt -d > ./decoded_serialized_approval_request
```
En Clave administrada por el cliente, anota el identificador de recurso de la clave.
Recupera la clave pública de la clave que identificaste en el paso anterior. Guarda la clave pública descargada en formato PEM como ./public_key.
Usa openssl para verificar la firma:
```
openssl dgst \
    -sha256 \
    -verify ./public_key \
    -signature ./decoded_signature \
    ./decoded_serialized_approval_request
```
Si la firma es válida, el resultado debería ser Verified OK. Esto confirma que la solicitud de aprobación serializada es válida.