Analisar e aprovar solicitações de acesso usando uma chave de assinatura personalizada
Neste documento, mostramos como configurar a aprovação de acesso usando o console do Google Cloud e uma chave de assinatura personalizada para receber notificações por e-mail de solicitações de acesso em um projeto.
A Access Approval garante que uma aprovação assinada criptograficamente esteja presente para que a equipe do Google acesse seu conteúdo armazenado no Google Cloud.
Com a Access Approval, você pode trazer sua própria chave criptográfica para assinar a solicitação de acesso. É possível criar uma chave usando o Cloud Key Management Service ou usar uma chave gerenciada externamente com o Cloud External Key Manager.
Antes de começar
- Ative a Transparência no acesso para a organização. Para mais informações, consulte Como ativar a transparência no acesso.
- Verifique se você tem o papel do IAM
Editor de configuração do Access Approval
(
roles/accessapproval.configEditor
).
Inscrever-se na Aprovação de acesso
Para se inscrever na Aprovação de acesso, faça o seguinte:
No console do Google Cloud, selecione o projeto em que você quer ativar a Access Approval.
Acesse a página Aprovação de acesso.
Para se inscrever na Aprovação de acesso, clique em Registrar.
Na caixa de diálogo que se abre, clique em Inscrever-se.
Como definir as configurações
Na página Access Approval no console do Google Cloud, clique em
Gerenciar configurações.
Selecione os serviços
Por padrão, os serviços que exigem a aprovação de acesso são herdados do recurso pai do projeto. Para expandir o escopo da inscrição, selecione a opção para ativar automaticamente a Aprovação de acesso para todos os serviços compatíveis.
Configurar notificações por e-mail
Nesta seção, explicamos como receber notificações de solicitação de acesso para este projeto.
Conceder o papel do IAM necessário
Para conferir e aprovar solicitações de acesso, você precisa ter o papel do IAM de Aprovador de acesso
(roles/accessapproval.approver
).
Para conceder esse papel do IAM a si mesmo, faça o seguinte:
- Acesse a página IAM no Console do Google Cloud.
- Na guia Visualizar por principais, clique em Conceder acesso.
- No campo Novos principais no painel à direita, insira seu endereço de e-mail.
- Clique no campo Selecionar um papel e escolha o papel Aprovador de acesso no menu.
- Clique em Save.
Adicionar seu próprio usuário como aprovador das solicitações de aprovação de acesso
Se quiser se adicionar como aprovador e poder analisar e aprovar solicitações de acesso, faça o seguinte:
Acesse a página Access Approval no console do Google Cloud.
Clique em
Gerenciar configurações.Em Configurar notificações de aprovação, adicione seu endereço de e-mail no campo E-mail do usuário ou do grupo.
Para salvar as configurações de notificação, clique em Salvar.
Usar uma chave de assinatura personalizada
O Access Approval usa uma chave de assinatura para verificar a integridade da aprovação de acesso.
Se o Cloud EKM estiver ativado, será possível escolher uma chave de assinatura gerenciada externamente. Para informações sobre o uso de chaves externas, consulte Visão geral do Cloud EKM.
Também é possível criar uma chave de assinatura do Cloud KMS com um algoritmo de sua escolha. Para mais informações, consulte Como criar chaves assimétricas.
Para usar uma chave de assinatura personalizada, siga as instruções nesta seção.
Consiga o endereço de e-mail da conta de serviço
O endereço de e-mail da conta de serviço tem o seguinte formato:
service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com
Substitua PROJECT_NUMBER pelo número do projeto.
Por exemplo, o endereço de e-mail é service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com
para uma conta de serviço em um projeto com o número 123456789
.
Para usar a chave de assinatura, faça o seguinte:
Na página Aprovação de acesso no Console do Google Cloud, selecione Usar uma chave de assinatura do Cloud KMS (avançado).
Adicione o ID do recurso da versão da chave criptográfica.
O ID do recurso da versão da chave criptográfica precisa ter o seguinte formato:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
Para mais informações, consulte Como conseguir um ID de recurso do Cloud KMS.
Para salvar as configurações, clique em Salvar.
Para usar uma chave de assinatura personalizada, forneça o papel de IAM de Signatário/verificador de CryptoKey do Cloud KMS (
roles/cloudkms.signerVerifier
) à conta de serviço de aprovação de acesso do projeto.Se a conta de serviço do Access Approval não tiver permissão para assinar com a chave fornecida, clique em Conceder para conceder as permissões necessárias. Depois de conceder as permissões, clique em Salvar.
Analisar solicitações de aprovação de acesso
Agora que você se inscreveu na Aprovação de acesso e se adicionou como aprovador de solicitações de acesso, espere receber notificações por e-mail sobre solicitações de acesso.
A imagem a seguir mostra um exemplo de notificação por e-mail que o Access Approval envia quando a equipe do Google solicita acesso ao conteúdo do cliente.
Para analisar e aprovar uma solicitação de acesso recebida, faça o seguinte:
Acesse a página Access Approval no console do Google Cloud.
Para acessar essa página, clique no link que está no e-mail enviado com a solicitação de aprovação.
Clique em Aprovar.
Depois que você aprovar a solicitação, a equipe do Google com características correspondentes à aprovação, como a mesma justificativa, local ou local de mesa, poderá acessar o recurso especificado e os respectivos recursos filhos dentro do período aprovado.
Limpar
-
Para cancelar a inscrição na Aprovação de acesso, faça o seguinte:
- Na página Access Approval no console do Google Cloud, clique em Gerenciar configurações.
- Clique em Cancelar inscrição.
- Na caixa de diálogo que aparecer, clique em Cancelar inscrição.
- Para desativar a Transparência no acesso na sua organização, entre em contato com o Cloud Customer Care.
Não são necessárias etapas adicionais para evitar cobranças na sua conta.
A seguir
- Saiba mais sobre a anatomia de uma solicitação de acesso.
- Saiba como aprovar solicitações de aprovação de acesso.
- Saiba como ver o histórico de solicitações de aprovação de acesso.