Revisa y aprueba las solicitudes de acceso mediante una clave de firma personalizada

Inscríbete en Aprobación de acceso

Para inscribirte en Aprobación de acceso, haz lo siguiente:

1. En Cloud Console, selecciona el proyecto para el que deseas habilitar la Aprobación de acceso.

   Ir al selector de proyectos

2. Ve a la página Aprobación de acceso.

   Ir a Aprobación de acceso

3. Para inscribirte en Aprobación de acceso, haz clic en Inscribirse.

   

4. En el cuadro de diálogo que se abre, haz clic en Inscribirse.

   

Opciones de configuración

En la página Aprobación de acceso en Cloud Console, haz clic en settingsAdministrar configuración.

Selecciona los servicios

De forma predeterminada, los servicios que requieren Aprobación de acceso se heredan del recurso superior del proyecto. Puedes expandir el alcance de la inscripción si seleccionas la opción de habilitar automáticamente la aprobación de acceso para todos los servicios compatibles.

Configura las notificaciones por correo electrónico

En esta sección, se explica cómo puedes recibir notificaciones de solicitudes de acceso para este proyecto.

Otorga la función de IAM necesaria

Para ver y aprobar las solicitudes de acceso, debes tener la función de IAM de responsable de aprobación de acceso (roles/accessapproval.approver).

Para otorgarte esta función de IAM, haz lo siguiente:

1. Dirígete a la página IAM en Cloud Console.

   Ir a IAM

2. Haga clic en person_addAdd.
3. En el campo Principales nuevos del panel derecho, ingresa la dirección de correo electrónico.
4. Haz clic en el campo Seleccionar una función y selecciona la función Aprobador de acceso en el menú.
5. Haz clic en Guardar.

Agrégate como responsable de solicitudes de Aprobación de acceso

Para agregarte como responsable de aprobación a fin de que puedas revisar y aprobar las solicitudes de acceso, haz lo siguiente:

1. Ve a la página Aprobación de acceso en Cloud Console.

   Ir a Aprobación de acceso

2. Haz clic en settingsAdministrar configuración.

3. En Configura las notificaciones de aprobación, agrega tu dirección de correo electrónico en el campo Correo electrónico de usuario o grupo.

4. Para guardar la configuración de notificaciones, haz clic en Guardar.

Cómo usar una clave de firma personalizada

La aprobación de acceso usa una clave de firma para verificar la integridad de la aprobación de acceso.

Si tienes habilitado Cloud EKM, puedes elegir una clave de firma administrada de forma externa. Para obtener información sobre el uso de claves externas, consulta Descripción general de Cloud EKM.

También puedes optar por crear una clave de firma de Cloud KMS con el algoritmo que elijas. Para obtener más información, consulta Crea claves asimétricas.

Para usar una clave de firma personalizada, sigue las instrucciones de esta sección.

Otorga la función de IAM necesaria

Para usar una clave de firma personalizada, debes proporcionar la función de IAM de verificador y firmante de CryptoKey de Cloud KMS (roles/cloudkms.signerVerifier) a la cuenta de servicio de aprobación de acceso para el proyecto.

Obtén la dirección de correo electrónico de la cuenta de servicio.

La dirección de correo electrónico para la cuenta de servicio tiene el siguiente formato:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Reemplaza PROJECT_NUMBER por el número de proyecto.

Por ejemplo, la dirección de correo electrónico es service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com para una cuenta de servicio en un proyecto cuyo número de proyecto es 123456789.

Asigna la función de IAM a la cuenta de servicio

Para asignar la función de IAM de firmante y verificador (roles/cloudkms.signerVerifier) de Cloud KMS a la cuenta de servicio, usa las siguientes instrucciones:

1. Ve a la página Administración de claves en Cloud Console.

   Ir a Administración de claves

2. Haz clic en el nombre del llavero de claves que contiene la clave que deseas usar.

3. Selecciona la casilla de verificación de la clave que deseas.

4. En la pestaña Permisos, haz clic en Agregar principal.

5. En el cuadro de diálogo Agregar principales, ingresa la dirección de correo electrónico de la cuenta de servicio en el campo Principales nuevos.

6. En la lista Seleccionar una función, selecciona Firmante/verificador de CryptoKey de Cloud KMS.

7. Haz clic en Guardar.

Ahora que asignaste la función de IAM necesaria a la cuenta de servicio, usa las siguientes instrucciones para usar tu clave de firma:

1. En la página Aprobación de acceso en Cloud Console, selecciona Usar una clave de firma de Cloud KMS (avanzada).

2. Agrega el ID de recurso de la versión de la clave criptográfica.

   El ID de recurso de la versión de la clave criptográfica debe tener el siguiente formato:

   projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
   

   Para obtener más información, consulta Obtén un ID de recurso de Cloud KMS.

3. Para guardar la configuración, haz clic en Guardar.

   

Revisa las solicitudes de Aprobación de acceso

Ahora que te inscribiste en la Aprobación de acceso y te agregaste como responsable de las solicitudes de acceso, puedes recibir notificaciones por correo electrónico sobre las solicitudes.

En la siguiente imagen, se muestra una notificación por correo electrónico de ejemplo que la Aprobación de acceso envía cuando el personal de Google solicita acceso al contenido del cliente.

Para revisar y aprobar una solicitud de acceso entrante, haz lo siguiente:

1. Ve a la página Aprobación de acceso en Cloud Console.

   Ir a Aprobación de acceso

   Para acceder a esta página, también puedes hacer clic en el vínculo del correo electrónico que te enviamos con la solicitud de aprobación.

2. Haz clic en Aprobar.

Una vez que apruebas la solicitud, el personal de Google con características que coincidan con la aprobación, como la misma justificación, la ubicación o la ubicación del escritorio, puede acceder al recurso especificado y a sus recursos secundarios dentro del período aprobado.