Revisa y aprueba las solicitudes de acceso con una clave de firma personalizada

En este documento, se muestra cómo configurar la Aprobación de acceso con la la consola de Google Cloud y una clave de firma personalizada para recibir notificaciones por correo electrónico de las solicitudes de acceso en un proyecto.

La Aprobación de acceso garantiza que una aprobación con firma criptográfica está presente para que el personal de Google acceda al contenido almacenado en en Google Cloud.

La aprobación de acceso te permite llevar tu propia clave criptográfica para firmar la solicitud de acceso. Puedes crear una clave con Cloud Key Management Service o incorporar una clave administrada de forma externa con Cloud External Key Manager.

Antes de comenzar

Inscríbete en Aprobación de acceso

Para inscribirte en la Aprobación de acceso, haz lo siguiente:

  1. En la consola de Google Cloud, selecciona el proyecto para el que quieres realizar la acción. habilitar la Aprobación de acceso.

    Ir al selector de proyectos

  2. Ve a la página Aprobación de acceso.

    Ir a Aprobación de acceso

  3. Para inscribirte en Aprobación de acceso, haz clic en Inscribirse.

    Selecciona el botón Inscribirse.

  4. En el cuadro de diálogo que se abre, haz clic en Inscribirse.

    Renuncia de responsabilidad de la Aprobación de acceso sobre el aumento del tiempo de asistencia

Ajustes de la configuración

En la página Aprobación de acceso de la consola de Google Cloud, haz clic en Administrar configuración.

Selecciona el botón Administrar configuración.

Selecciona los servicios

De forma predeterminada, los servicios que requieren Aprobación de acceso se heredan del recurso superior del proyecto. Para expandir el alcance de la inscripción, selecciona la opción para habilitar automáticamente la Aprobación de acceso para todos los servicios compatibles.

Configura las notificaciones por correo electrónico

En esta sección, se explica cómo puedes recibir notificaciones de solicitudes de acceso para este proyecto.

Otorga el rol de IAM requerido

Para ver y aprobar solicitudes de acceso, debes tener el rol de IAM Revisor de aprobación de acceso (roles/accessapproval.approver).

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página de IAM en la consola de Google Cloud.

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu correo electrónico. web.
  4. Haz clic en el campo Selecciona un rol y elige el Autorizador de aprobación de acceso en el menú.
  5. Haz clic en Guardar.

Cómo agregarte como responsable de aprobación de solicitudes de aprobación de acceso

Para agregarte como responsable de aprobación y revisar y aprobar las solicitudes de acceso, sigue estos pasos: lo siguiente:

  1. Ve a la página Aprobación de acceso en la consola de Google Cloud.

    Ir a Aprobación de acceso

  2. Haz clic en Administrar configuración.

  3. En Configurar notificaciones de aprobación, agrega tu dirección de correo electrónico en el campo Correo electrónico del usuario o grupo.

  4. Para guardar la configuración de notificaciones, haz clic en Guardar.

Cómo usar una clave de firma personalizada

La Aprobación de acceso usa una clave de firma para verificar la integridad del la aprobación de acceso.

Si tienes Cloud EKM habilitado, puedes elige una clave de firma administrada de forma externa. Para obtener información sobre el uso de consulta la Descripción general de Cloud EKM.

También puedes crear una clave de firma de Cloud KMS con el algoritmo que elijas. Para obtener más información, consulta Crea claves asimétricas.

Para usar una clave de firma personalizada, sigue las instrucciones que se indican en esta sección.

Obtén la dirección de correo electrónico de la cuenta de servicio

La dirección de correo electrónico de la cuenta de servicio tiene el siguiente formato:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Reemplaza PROJECT_NUMBER por el número de proyecto.

Por ejemplo, la dirección de correo electrónico es service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com para una cuenta de servicio en un proyecto cuyo número de proyecto es 123456789.

Para usar la clave de firma, haz lo siguiente:

  1. En la página Aprobación de acceso de la consola de Google Cloud, selecciona Usar una clave de firma de Cloud KMS (opción avanzada).

  2. Agrega el ID de recurso de la versión de la clave criptográfica.

    El ID de recurso de la versión de la clave criptográfica debe tener el siguiente formato:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
    

    Para obtener más información, consulta Obtén un ID de recurso de Cloud KMS.

  3. Para guardar la configuración, haz clic en Guardar.

    Para usar una clave de firma personalizada, debes proporcionar el rol de IAM Firmante/verificador de CryptoKey de Cloud KMS (roles/cloudkms.signerVerifier) a la cuenta de servicio de aprobación de acceso de tu proyecto.

    Si la cuenta de servicio de Aprobación de acceso no tiene los permisos para firmar con la clave que proporcionaste, puedes otorgar los permisos necesarios Haz clic en Otorgar. Después de otorgar los permisos, haz clic en Guardar.

    Guarda la configuración seleccionada.

Revisa las solicitudes de aprobación de acceso

Ahora que te inscribiste en la Aprobación de acceso y te agregaste como revisor de las solicitudes de acceso, es posible que recibas notificaciones por correo electrónico sobre estas solicitudes.

En la siguiente imagen, se muestra un ejemplo de notificación por correo electrónico que envía la Aprobación de acceso cuando el personal de Google solicita acceso al contenido de los clientes.

La notificación por correo electrónico que se envía cuando el personal de Google solicita acceso al contenido del cliente.

Para revisar y aprobar una solicitud de acceso entrante, haz lo siguiente:

  1. Ve a la página Aprobación de acceso en la consola de Google Cloud.

    Ir a Aprobación de acceso

    También puedes hacer clic en el vínculo del correo electrónico que recibiste con la solicitud de aprobación para ir a esta página.

  2. Haz clic en Aprobar.

Después de aprobar la solicitud, el personal de Google Coincidencia de características la aprobación, como la misma justificación, ubicación o ubicación del escritorio puede acceder al recurso especificado y a sus recursos secundarios dentro del durante un período de tiempo determinado.

Limpia

  1. Para dar de baja la inscripción en Aprobación de acceso, haz lo siguiente:
    1. En la página Aprobación de acceso de la consola de Google Cloud, haz clic en Administrar configuración.
    2. Haz clic en Dar de baja.
    3. En el diálogo que se abre, haz clic en Dar de baja.
  2. Si quieres inhabilitar la Transparencia de acceso en tu organización, comunícate con Atención al cliente de Cloud.

No se requieren pasos adicionales para evitar que se apliquen cargos a tu cuenta.

¿Qué sigue?