使用自定义签名密钥审核和批准访问请求

本文档介绍了如何使用Google Cloud 控制台和自定义签名密钥设置 Access Approval,以接收项目访问请求的电子邮件通知。

通过访问权限审批,您可以确保 Google 员工在访问存储在Google Cloud上的内容时,必须拥有经过加密签名的批准。

借助 Access Approval,您可以使用自己的加密密钥对访问请求进行签名。您可以使用 Cloud Key Management Service 创建密钥,也可以使用 Cloud External Key Manager 导入外部管理的密钥。

准备工作

注册 Access Approval

如需注册 Access Approval,请执行以下操作:

  1. 在 Google Cloud 控制台中,选择要为其启用访问权限审批的项目。

    转到“项目选择器”

  2. 前往 Access Approval 页面。

    前往 Access Approval

  3. 如需注册 Access Approval,请点击注册

    选择“注册”按钮。

  4. 在随即打开的对话框中,点击注册

    关于支持时间延长的 Access Approval 免责声明。

配置设置

在 Google Cloud 控制台中的访问权限审批页面上,点击管理设置

选择“管理设置”按钮。

选择服务

默认情况下,需要 Access Approval 的服务会从项目的父级资源继承。您可以选择自动为所有受支持的服务启用 Access Approval,从而扩大注册范围。

设置电子邮件通知

本部分介绍了如何接收此项目的访问权限请求通知。

授予所需的 IAM 角色

如需查看和批准访问权限请求,您必须拥有 Access Approval Approver (roles/accessapproval.approver) IAM 角色。

如需向自己授予此 IAM 角色,请执行以下操作:

  1. 在 Google Cloud 控制台中,前往 IAM 页面。

    前往 IAM

  2. 按主账号查看标签页中,点击 授予访问权限
  3. 在右侧窗格中的新的主账号字段中,输入您的电子邮件地址。
  4. 点击选择角色字段,然后从菜单中选择访问权限审批批准人角色。
  5. 点击保存

将自己添加为 Access Approval 请求的批准人

如需将自己添加为审批人,以便审核和批准访问权限请求,请执行以下操作:

  1. 前往 Google Cloud 控制台中的访问权限审批页面。

    前往 Access Approval

  2. 点击 管理设置

  3. 设置审批通知下,在用户或群组电子邮件地址字段中添加您的电子邮件地址。

  4. 如需保存通知设置,请点击保存

使用自定义签名密钥

访问权限审批会使用签名密钥来验证访问权限审批的完整性。

如果您已启用 Cloud EKM,则可以选择外部管理的签名密钥。如需了解如何使用外部密钥,请参阅 Cloud EKM 概览

您还可以选择使用您选择的算法创建 Cloud KMS 签名密钥。如需了解详情,请参阅创建非对称密钥

如需使用自定义签名密钥,请按照本部分中的说明操作。

获取服务账号的电子邮件地址

服务账号的电子邮件地址采用以下格式:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

PROJECT_NUMBER 替换为项目编号。

例如,如果项目编号为 123456789 的项目中有一个服务账号,则该服务账号的电子邮件地址为 service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com

如需使用签名密钥,请执行以下操作:

  1. 在 Google Cloud 控制台中的访问权限审批页面上,选择使用 Cloud KMS 签名密钥(高级)

  2. 添加加密密钥版本资源 ID。

    加密密钥版本资源 ID 必须采用以下格式:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    如需了解详情,请参阅获取 Cloud KMS 资源 ID

  3. 如需保存设置,请点击保存

    如需使用自定义签名密钥,您必须向项目的 Access Approval 服务账号提供 Cloud KMS CryptoKey Signer/Verifier (roles/cloudkms.signerVerifier) IAM 角色。

    如果“访问权限审批”服务账号没有使用您提供的密钥进行签名的权限,您可以点击授予来授予所需权限。授予权限后,点击保存

    保存所选设置。

审核 Access Approval 请求

现在,您已注册使用 Access Approval,并将自己添加为访问权限请求的审批人,因此您应该会收到访问权限请求的电子邮件通知。

下图显示了 Access Approval 在 Google 员工请求访问客户内容时发送的电子邮件通知示例。

当 Google 员工请求访问客户内容时发送的电子邮件通知。

如需查看并批准收到的访问权限请求,请执行以下操作:

  1. 前往 Google Cloud 控制台中的访问权限审批页面。

    前往 Access Approval

    您也可以点击发送给您的电子邮件中带有批准请求的链接,以转到此页面。

  2. 点击批准

您批准请求后,具有与批准相匹配的特征(例如,相同的理由、位置或办公桌位置)的 Google 员工可以在批准的时间范围内访问指定资源及其子资源。

清理

  1. 如需取消注册 Access Approval,请执行以下操作:
    1. 在 Google Cloud 控制台中的访问权限审批页面上,点击管理设置
    2. 点击取消注册
    3. 在随即打开的对话框中,点击取消注册
  2. 如需为贵组织停用 Access Transparency,请与 Cloud Customer Care 联系。

无需采取其他步骤即可避免您的账号产生费用。

后续步骤