Esaminare e approvare le richieste di accesso utilizzando una chiave di firma personalizzata

Questo documento mostra come configurare l'approvazione dell'accesso utilizzando la console Google Cloud e una chiave di firma personalizzata per ricevere notifiche via email delle richieste di accesso a un progetto.

Access Approval garantisce che sia presente un'approvazione firmata in modo crittografico per consentire al personale di Google di accedere ai tuoi contenuti archiviati su Google Cloud.

Access Approval ti consente di utilizzare la tua chiave di crittografia per firmare la richiesta di accesso. Puoi creare una chiave utilizzando Cloud Key Management Service o importare una chiave gestita esternamente utilizzando Cloud External Key Manager.

Prima di iniziare

Registrati ad Access Approval

Per registrarti ad Access Approval:

  1. Nella console Google Cloud, seleziona il progetto per cui vuoi attivare l'approvazione dell'accesso.

    Vai al selettore dei progetti

  2. Vai alla pagina Access Approval (Approvazione accesso).

    Vai ad Access Approval

  3. Per registrarti ad Access Approval, fai clic su Registrati.

    Seleziona il pulsante Registrati.

  4. Nella finestra di dialogo visualizzata, fai clic su Registrati.

    Disclaimer di Access Approval relativo all'aumento del tempo di assistenza.

Configura le impostazioni

Nella pagina Access Approval (Approvazione accesso) della console Google Cloud, fai clic su Gestisci impostazioni.

Seleziona il pulsante Gestisci impostazioni.

Seleziona i servizi

Per impostazione predefinita, i servizi che richiedono Access Approval vengono ereditati dalla risorsa padre del progetto. Puoi espandere l'ambito della registrazione selezionando l'opzione per attivare automaticamente Access Approval per tutti i servizi supportati.

Imposta le notifiche email

Questa sezione spiega come ricevere notifiche relative alle richieste di accesso per questo progetto.

Concedi il ruolo IAM richiesto

Per visualizzare e approvare le richieste di accesso, devi disporre del ruolo IAM Approvatore accesso (roles/accessapproval.approver).

Per concederti questo ruolo IAM:

  1. Vai alla pagina IAM nella console Google Cloud.

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Approvatore dell'approvazione dell'accesso dal menu.
  5. Fai clic su Salva.

Aggiungere te stesso come approvatore per le richieste di approvazione dell'accesso

Per aggiungerti come approvatore in modo da poter esaminare e approvare le richieste di accesso:

  1. Vai alla pagina Approvazione accesso nella console Google Cloud.

    Vai ad Access Approval

  2. Fai clic su Gestisci impostazioni.

  3. In Configura notifiche di approvazione, aggiungi il tuo indirizzo email nel campo Indirizzo email utente o gruppo.

  4. Per salvare le impostazioni di notifica, fai clic su Salva.

Utilizza una chiave di firma personalizzata

L'approvazione dell'accesso utilizza una chiave di firma per verificare l'integrità dell'approvazione dell'accesso.

Se hai attivato Cloud EKM, puoi scegliere una chiave di firma gestita esternamente. Per informazioni sull'utilizzo delle chiavi esterne, consulta la panoramica di Cloud EKM.

Puoi anche scegliere di creare una chiave di firma Cloud KMS con un algoritmo a tua scelta. Per saperne di più, consulta la sezione Creare chiavi asimmetriche.

Per utilizzare una chiave di firma personalizzata, segui le istruzioni riportate in questa sezione.

Ottieni l'indirizzo email dell'account di servizio

L'indirizzo email dell'account di servizio è del seguente tipo:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Sostituisci PROJECT_NUMBER con il numero del progetto.

Ad esempio, l'indirizzo email è service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com per un account di servizio in un progetto il cui numero è 123456789.

Per utilizzare la chiave di firma:

  1. Nella pagina Approvazione accesso della console Google Cloud, seleziona Usa una chiave di firma Cloud KMS (opzione avanzata).

  2. Aggiungi l'ID risorsa della versione della chiave di crittografia.

    L'ID risorsa della versione della chiave di crittografia deve avere il seguente formato:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    Per ulteriori informazioni, consulta Ottenere un ID risorsa Cloud KMS.

  3. Per salvare le impostazioni, fai clic su Salva.

    Per utilizzare una chiave di firma personalizzata, devi fornire il ruolo IAM Autore/verificatore della firma della chiave di crittografia Cloud KMS (roles/cloudkms.signerVerifier) all'account di servizio Access Approval per il tuo progetto.

    Se l'account di servizio Approvazione accesso non dispone delle autorizzazioni per firmare con la chiave che hai fornito, puoi concederle facendo clic su Concede. Dopo aver concesso le autorizzazioni, fai clic su Salva.

    Salva le impostazioni selezionate.

Esaminare le richieste di Access Approval

Ora che hai eseguito la registrazione ad Approvazione dell'accesso e ti sei aggiunto come approvatore per le richieste di accesso, dovresti ricevere notifiche via email per queste richieste.

L'immagine seguente mostra un esempio di notifica via email inviata da Access Approval quando il personale di Google richiede l'accesso ai contenuti dei clienti.

La notifica via email che viene inviata quando il personale di Google richiede l'accesso ai contenuti dei clienti.

Per esaminare e approvare una richiesta di accesso in arrivo:

  1. Vai alla pagina Approvazione accesso nella console Google Cloud.

    Vai ad Access Approval

    Per accedere a questa pagina, puoi anche fare clic sul link nell'email che ti è stata inviata con la richiesta di approvazione.

  2. Fai clic su Approva.

Dopo che avrai approvato la richiesta, il personale di Google con caratteristiche corrispondenti all'approvazione, ad esempio la stessa motivazione, la stessa località o la stessa sede, potrà accedere alla risorsa specificata e alle relative risorse secondarie entro il periodo di tempo approvato.

Esegui la pulizia

  1. Per annullare la registrazione ad Access Approval:
    1. Nella pagina Access Approval (Approvazione accesso) della console Google Cloud, fai clic su Gestisci impostazioni.
    2. Fai clic su Annulla iscrizione.
    3. Nella finestra di dialogo che si apre, fai clic su Disiscrizione.
  2. Per disattivare Access Transparency per la tua organizzazione, contatta l'assistenza clienti di Cloud.

Non sono necessari ulteriori passaggi per evitare addebiti sul tuo account.

Passaggi successivi