Valider la signature d'une demande approuvée

Chaque demande d'approbation d'accès approuvée est signée avec une clé cryptographique asymétrique pour valider l'approbation. Les demandes approuvées peuvent être signées avec une Google-owned and managed key ou une clé Cloud KMS fournie par le client.

Lorsque vous validez une signature, vous pouvez être sûr que la chaîne d'octets de la requête approuvée sérialisée est valide. Pour terminer la validation du contenu de l'approbation, vous devez désérialiser le message et le comparer au contenu de la demande approuvée.

Avant de commencer

Pour vous assurer que le compte de service Approbation de l'accès pour votre ressource dispose des autorisations nécessaires pour valider les signatures des demandes approuvées, demandez à votre administrateur d'attribuer au compte de service Approbation de l'accès pour votre ressource le rôle IAM Signataire/Validateur de clés de chiffrement Cloud KMS (roles/cloudkms.signerVerifier) sur la clé, le trousseau de clés ou le projet de clé.

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Votre administrateur peut également attribuer au compte de service Approbation de l'accès pour votre ressource les autorisations requises à l'aide de rôles personnalisés ou d'autres rôles prédéfinis.

Valider une requête signée à l'aide d'un Google-owned and managed key

  1. Dans la console Google Cloud , accédez à la page Access Approval.

    Accéder à Access Approval

  2. Recherchez et sélectionnez la demande Access Approval approuvée que vous souhaitez valider. La page Détails de la demande s'ouvre.

  3. Sous Clé publique gérée par Google, cliquez sur content_copy Copier.

  4. Ouvrez Cloud Shell, puis enregistrez la clé publique dans un fichier nommé public_key :

    echo GOOGLE_MANAGED_PUBLIC_KEY > ./public_key

    Remplacez GOOGLE_MANAGED_PUBLIC_KEY par le contenu du champ Clé publique gérée par Google.

  5. Dans la console Google Cloud , sur la page Détails de la requête, sous Signature, cliquez sur content_copy Copier.

  6. Ouvrez Cloud Shell, puis enregistrez la signature dans un fichier nommé signature.txt :

    echo SIGNATURE > ./signature.txt

    Remplacez SIGNATURE par le contenu du champ Signature.

  7. Décodez la signature à l'aide de la commande base64 et enregistrez le résultat sous decoded_signature :

    base64 ./signature.txt -d > ./decoded_signature

  8. Dans la console Google Cloud , sur la page Détails de la demande, sous Demande d'approbation sérialisée, cliquez sur content_copy Copier.

  9. Ouvrez Cloud Shell, puis enregistrez la demande d'approbation sérialisée dans un fichier nommé serialized_approval_request.txt :

    echo SERIALIZED_APPROVAL_REQUEST > ./serialized_approval_request.txt

    Remplacez SERIALIZED_APPROVAL_REQUEST par le contenu du champ Serialized Approval Request (Demande d'approbation sérialisée).

  10. Décodez la demande d'approbation sérialisée et enregistrez le résultat sous le nom decoded_serialized_approval_request :

    base64 ./serialized_approval_request.txt -d > ./decoded_serialized_approval_request

  11. Utilisez openssl pour valider la signature :

    openssl dgst \
    -sha256 \
    -verify ./public_key \
    -signature ./decoded_signature \
    ./decoded_serialized_approval_request

    Si la signature est valide, le résultat doit être Verified OK. Cela confirme que la demande d'approbation sérialisée est valide.

Valider une requête signée à l'aide d'une clé fournie par le client

  1. Dans la console Google Cloud , accédez à la page Access Approval.

    Accéder à Access Approval

  2. Recherchez et sélectionnez la demande Access Approval approuvée que vous souhaitez valider. La page Détails de la demande s'ouvre.

  3. Dans la console Google Cloud , sur la page Détails de la requête, sous Signature, cliquez sur content_copy Copier.

  4. Ouvrez Cloud Shell, puis enregistrez la signature dans un fichier nommé signature.txt :

    echo SIGNATURE > ./signature.txt

    Remplacez SIGNATURE par le contenu du champ Signature.

  5. Décodez la signature et enregistrez le résultat sous le nom decoded_signature :

    base64 ./signature.txt -d > ./decoded_signature

  6. Dans la console Google Cloud , sur la page Détails de la demande, sous Demande d'approbation sérialisée, cliquez sur content_copy Copier.

  7. Ouvrez Cloud Shell, puis enregistrez la demande d'approbation sérialisée dans un fichier nommé serialized_approval_request.txt :

    echo SERIALIZED_APPROVAL_REQUEST > ./serialized_approval_request.txt

    Remplacez SERIALIZED_APPROVAL_REQUEST par le contenu du champ Serialized Approval Request (Demande d'approbation sérialisée).

  8. Décodez la demande d'approbation sérialisée et enregistrez le résultat sous le nom decoded_serialized_approval_request :

    base64 ./serialized_approval_request.txt -d > ./decoded_serialized_approval_request

  9. Sous Clé gérée par le client, notez l'identifiant de ressource de la clé.

  10. Récupérez la clé publique pour la clé que vous avez identifiée à l'étape précédente. Enregistrez la clé publique téléchargée au format PEM sous le nom ./public_key.

  11. Utilisez openssl pour valider la signature :

    openssl dgst \
    -sha256 \
    -verify ./public_key \
    -signature ./decoded_signature \
    ./decoded_serialized_approval_request

    Si la signature est valide, le résultat doit être Verified OK. Cela confirme que la demande d'approbation sérialisée est valide.