Revisa y aprueba las solicitudes de acceso con una clave de firma personalizada

En este documento, se muestra cómo configurar la aprobación de acceso con la consola deGoogle Cloud y una clave de firma personalizada para recibir notificaciones por correo electrónico de las solicitudes de acceso de un proyecto.

La aprobación de acceso garantiza que haya una aprobación firmada de forma criptográfica para que el personal de Google acceda a tu contenido almacenado enGoogle Cloud.

La aprobación de acceso te permite llevar tu propia clave criptográfica para firmar la solicitud de acceso. Puedes crear una clave con Cloud Key Management Service o incorporar una clave administrada de forma externa con Cloud External Key Manager.

Antes de comenzar

Inscríbete en la Aprobación de acceso

Para inscribirte en Access Approval, haz lo siguiente:

  1. En la consola de Google Cloud , selecciona el proyecto para el que deseas habilitar la aprobación de acceso.

    Ir al selector de proyectos

  2. Ve a la página Aprobación de acceso.

    Ir a Aprobación de acceso

  3. Para inscribirte en Aprobación de acceso, haz clic en Inscribirse.

    Selecciona el botón Inscribirse.

  4. En el cuadro de diálogo que se abre, haz clic en Matricularse.

    Renuncia de responsabilidad de la Aprobación de acceso sobre el aumento del tiempo de asistencia

Configura ajustes

En la página Aprobación de acceso de la consola de Google Cloud , haz clic en Administrar configuración.

Selecciona el botón Administrar configuración.

Selecciona los servicios

De forma predeterminada, los servicios que requieren Aprobación de acceso se heredan del recurso superior del proyecto. Para expandir el alcance de la inscripción, selecciona la opción de habilitar automáticamente la Aprobación de acceso para todos los servicios compatibles.

Configura las notificaciones por correo electrónico

En esta sección, se explica cómo puedes recibir notificaciones de solicitudes de acceso para este proyecto.

Otorga el rol de IAM requerido

Para ver y aprobar solicitudes de acceso, debes tener el rol de IAM de Aprobador de aprobación de acceso (roles/accessapproval.approver).

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página IAM en la consola de Google Cloud .

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
  4. Haz clic en el campo Seleccionar una función y selecciona el rol Aprobador de la aprobación de acceso en el menú.
  5. Haz clic en Guardar.

Cómo agregarte como responsable de aprobación de solicitudes de aprobación de acceso

Para agregarte como responsable de aprobación y poder revisar y aprobar las solicitudes de acceso, haz lo siguiente:

  1. Ve a la página Aprobación de acceso en la consola de Google Cloud .

    Ir a Aprobación de acceso

  2. Haz clic en Administrar configuración.

  3. En Configurar notificaciones de aprobación, agrega tu dirección de correo electrónico en el campo Correo electrónico del usuario o grupo.

  4. Para guardar la configuración de notificaciones, haz clic en Guardar.

Usa una clave de firma personalizada

La aprobación de acceso usa una clave de firma para verificar la integridad de la aprobación de acceso.

Si tienes habilitado Cloud EKM, puedes elegir una clave de firma administrada de forma externa. Para obtener información sobre el uso de claves externas, consulta la descripción general de Cloud EKM.

También puedes optar por crear una clave de firma de Cloud KMS con un algoritmo de tu elección. Para obtener más información, consulta Crea claves asimétricas.

Para usar una clave de firma personalizada, sigue las instrucciones de esta sección.

Obtén la dirección de correo electrónico de la cuenta de servicio

La dirección de correo electrónico de la cuenta de servicio tiene el siguiente formato:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Reemplaza PROJECT_NUMBER por el número de proyecto.

Por ejemplo, la dirección de correo electrónico es service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com para una cuenta de servicio en un proyecto cuyo número es 123456789.

Para usar tu clave de firma, haz lo siguiente:

  1. En la página Aprobación de acceso de la consola de Google Cloud , selecciona Usar una clave de firma de Cloud KMS (avanzada).

  2. Agrega el ID de recurso de la versión de la clave criptográfica.

    El ID de recurso de la versión de la clave criptográfica debe tener el siguiente formato:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    Para obtener más información, consulta Obtén un ID de recurso de Cloud KMS.

  3. Para guardar la configuración, haz clic en Guardar.

    Para usar una clave de firma personalizada, debes proporcionar el rol de IAM Firmante/verificador de CryptoKey de Cloud KMS (roles/cloudkms.signerVerifier) a la cuenta de servicio de aprobación de acceso de tu proyecto.

    Si la cuenta de servicio de Acceso aprobado no tiene los permisos para firmar con la clave que proporcionaste, puedes hacer clic en Otorgar para otorgar los permisos necesarios. Después de otorgar los permisos, haz clic en Guardar.

    Guarda la configuración seleccionada.

Revisa las solicitudes de aprobación de acceso

Ahora que te inscribiste en la Aprobación de acceso y te agregaste como revisor de las solicitudes de acceso, es posible que recibas notificaciones por correo electrónico sobre estas solicitudes.

En la siguiente imagen, se muestra un ejemplo de notificación por correo electrónico que envía la Aprobación de acceso cuando el personal de Google solicita acceso al contenido de los clientes.

Es la notificación por correo electrónico que se envía cuando el personal de Google solicita acceso al contenido de los clientes.

Para revisar y aprobar una solicitud de acceso entrante, haz lo siguiente:

  1. Ve a la página Aprobación de acceso en la consola de Google Cloud .

    Ir a Aprobación de acceso

    Para ir a esta página, también puedes hacer clic en el vínculo del correo electrónico que se te envió con la solicitud de aprobación.

  2. Haz clic en Aprobar.

Una vez que apruebes la solicitud, el personal de Google que tenga características que coincidan con la aprobación, como la misma justificación, ubicación geográfica o ubicación del escritorio, podrá acceder al recurso especificado y a sus recursos secundarios dentro del plazo aprobado.

Limpia

  1. Para dar de baja la inscripción en Aprobación de acceso, haz lo siguiente:
    1. En la página Aprobación de acceso de la consola de Google Cloud , haz clic en Administrar configuración.
    2. Haz clic en Anular la inscripción.
    3. En el cuadro de diálogo que se abre, haz clic en Cancelar inscripción.
  2. Para inhabilitar la Transparencia de acceso en tu organización, comunícate con Atención al cliente de Cloud.

No se requieren pasos adicionales para evitar que se apliquen cargos a tu cuenta.

¿Qué sigue?