使用自訂簽署金鑰審查及核准存取要求

本文說明如何使用Google Cloud 控制台和自訂簽署金鑰設定 Access Approval,以便在他人對專案提出存取要求時收到電子郵件通知。

Access Approval 可確保 Google 人員必須取得經過加密簽署的核准,才能存取儲存在Google Cloud的內容。

您可以透過 Access Approval 自行提供加密編譯金鑰,用來簽署存取要求。您可以使用 Cloud Key Management Service 建立金鑰,也可以使用 Cloud External Key Manager 匯入外部管理金鑰。

事前準備

註冊 Access Approval

如要註冊 Access Approval,請按照下列步驟操作:

  1. 在 Google Cloud 控制台選取要啟用存取核准的專案。

    前往專案選取器

  2. 前往「Access Approval」頁面。

    前往存取權核准頁面

  3. 如要註冊 Access Approval,請按一下「註冊」

    註冊 Access Approval。

  4. 在對話方塊中,選取政策的註冊模式,然後按一下「註冊」

    存取權核准免責事項,說明支援時間會延長。

存取權核准主要註冊模式

您可以透過三種模式之一設定 Access Approval,並隨時在 Access Approval 設定中變更模式。可選模式如下:

  1. 透明模式 (建議):使用這個模式只會記錄 Google 管理員對工作負載的存取權,不會中斷 Google 對支援案件的支援,也不會中斷工作負載的主動維護作業。詳情請參閱資料存取透明化控管機制說明文件
  2. 簡化支援服務 (預先發布版):使用這個模式,自動核准客戶服務團隊存取權,以處理支援案件。系統會透過 Access Approval 要求核准主動維修存取權。這項功能目前為預先發布版。
  3. Access Approval:啟用這個模式,即可為所有存取作業啟用完整 Access Approval 功能。

系統會自動為所有存取核准政策產生資料存取透明化控管機制記錄。

調整設定

在 Google Cloud 控制台的「存取核准」頁面中,按一下「管理設定」

選取「管理設定」按鈕。

選取服務

Access Approval 設定 (包括已啟用產品的清單) 會沿用父項資源的設定。您可以為所有或所選的額外支援服務啟用 Access Approval,擴大註冊範圍。

勾選「啟用其他服務」核取方塊

設定電子郵件通知

本節說明如何接收這個專案的存取要求通知。

授予必要的 IAM 角色

如要查看及核准存取要求,您必須具備存取權核准要求核准者 (roles/accessapproval.approver) IAM 角色。

如要將這個 IAM 角色授予自己,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「IAM」IAM頁面。

    前往「IAM」頁面

  2. 在「按照主體查看」分頁中,按一下「授予存取權」
  3. 在右側窗格的「New principals」(新增主體) 欄位中,輸入您的電子郵件地址。
  4. 按一下「選取角色」欄位,然後從選單中選取「存取核准核准者」角色。
  5. 按一下「Save」(儲存)

將自己新增為存取權核准要求核准者

如要將自己新增為核准者,以便審查及核准存取要求,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「存取權核准」頁面。

    前往存取權核准頁面

  2. 按一下「管理設定」

  3. 在「設定核准通知」下方,於「使用者或群組電子郵件」欄位中新增電子郵件地址。

  4. 如要儲存通知設定,請按一下「儲存」

使用自訂簽署金鑰

Access Approval 會使用簽署金鑰,驗證 Access Approval 要求的完整性。

如果啟用 Cloud EKM,您可以選擇外部代管的簽署金鑰。如要瞭解如何使用外部金鑰,請參閱 Cloud EKM 總覽

您也可以選擇使用所選演算法建立 Cloud KMS 簽署金鑰。詳情請參閱建立非對稱金鑰

如要使用自訂簽署金鑰,請按照本節中的操作說明進行。

取得服務帳戶的電子郵件地址

服務帳戶的電子郵件地址格式如下:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

PROJECT_NUMBER 替換為專案編號。

舉例來說,如果專案編號為 123456789,該專案中服務帳戶的電子郵件地址就是 service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com

如要使用簽署金鑰,請執行下列步驟:

  1. 在 Google Cloud 控制台的「存取核准」頁面中,選取「使用 Cloud KMS 簽署金鑰 (進階)」

  2. 新增加密編譯金鑰版本資源 ID。

    加密金鑰版本資源 ID 必須採用下列格式:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    詳情請參閱「取得 Cloud KMS 資源 ID」。

  3. 如要儲存設定,請按一下「儲存」

    如要使用自訂簽署金鑰,您必須將專案的 Cloud KMS CryptoKey Signer/Verifier (roles/cloudkms.signerVerifier) IAM 角色提供給存取核准服務帳戶。

    如果存取核准服務帳戶沒有權限,無法使用您提供的金鑰簽署,請按一下「授予」,授予必要權限。授予權限後,按一下「儲存」

    儲存所選設定。

查看存取權核准要求

您已註冊存取權核准服務,並將自己新增為存取要求核准者,因此會收到存取要求電子郵件通知。

下圖顯示 Google 人員要求存取「客戶資料」時,Access Approval 傳送的電子郵件通知範例。

Google 人員要求存取「客戶資料」時傳送的電子郵件通知。

如要審查及核准存取要求,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「存取權核准」頁面。

    前往存取權核准頁面

    如要前往這個頁面,也可以點選系統傳送給您的電子郵件中的連結 (內含核准要求)。

  2. 按一下「核准」。

核准要求後,Google 員工只要特徵符合核准條件 (例如相同理由、地點或辦公室位置),就能在核准時間範圍內存取指定資源及其子項資源。

清除所用資源

  1. 如要取消註冊 Access Approval,請按照下列步驟操作:
    1. 在 Google Cloud 管理中心的「存取核准」頁面中, 按一下「管理設定」
    2. 按一下「取消註冊」
    3. 在開啟的對話方塊中,按一下「取消註冊」
  2. 如要為貴機構停用資料存取透明化控管機制,請與 Cloud 客戶服務聯絡。

如要避免系統向您的帳戶收取費用,不需要採取其他步驟。

後續步驟