Os nomes de alguns pacotes de controlos do Assured Workload estão a ser alterados. Para obter informações sobre a alteração de nome, consulte o artigo Controle o aviso de mudança do nome do pacote.

Esta página foi traduzida pela API Cloud Translation.

Reveja e aprove pedidos de acesso através de uma chave de assinatura personalizada

Este documento mostra como configurar a aprovação de acesso através da consolaGoogle Cloud e de uma chave de assinatura personalizada para receber notificações por email de pedidos de acesso num projeto.

A aprovação de acesso garante que existe uma aprovação assinada criptograficamente para o pessoal da Google aceder ao seu conteúdo armazenado noGoogle Cloud.

A aprovação de acesso permite-lhe usar a sua própria chave criptográfica para assinar o pedido de acesso. Pode criar uma chave através do Cloud Key Management Service ou usar uma chave gerida externamente através do Cloud External Key Manager.

Antes de começar

Ative a transparência de acesso para a sua organização. Para mais informações, consulte o artigo Ativar a Transparência de acesso.
Certifique-se de que tem a função de IAM Editor de configuração da aprovação de acesso (roles/accessapproval.configEditor).

Inscreva-se na aprovação de acesso

Para se inscrever na aprovação de acesso, faça o seguinte:

Na Google Cloud consola, selecione o projeto para o qual quer ativar a aprovação de acesso.

Aceder ao seletor de projetos
Aceda à página Aprovação de acesso.

Aceda à aprovação de acesso
Para se inscrever na aprovação de acesso, clique em Inscrever-se.
Na caixa de diálogo, selecione o modo de inscrição para a sua política e clique em Inscrever.

Modo de inscrição principal da aprovação de acesso

Pode configurar a Aprovação de acesso num de três modos e alterar o modo em qualquer altura nas definições da Aprovação de acesso. Podem ser selecionados os seguintes modos:

Transparência (recomendado): use este modo para registar apenas o acesso administrativo da Google nas suas cargas de trabalho sem interromper o apoio técnico da Google para os seus registos de apoio técnico ou a manutenção proativa nas suas cargas de trabalho. Consulte os documentos de transparência de acesso para mais informações.
Apoio técnico simplificado (pré-visualização): use este modo para aprovar automaticamente o acesso do serviço de apoio ao cliente para trabalhar nos seus registos de apoio técnico. O acesso proativo de manutenção e reparação vai ser pedido para aprovação com a aprovação de acesso. Esta funcionalidade está na fase de lançamento de pré-visualização.
Aprovação de acesso: use este modo para ativar a funcionalidade de aprovação de acesso completa para todos os acessos.

Os registos da Transparência de acesso são gerados automaticamente para todas as políticas de aprovação de acesso.

Configure as definições

Na página Aprovação de acesso na consola Google Cloud , clique em Gerir definições.

Selecione o botão Gerir definições.

Selecione os serviços

As definições de aprovação de acesso, incluindo a lista de produtos ativados, são herdadas do recurso principal. Pode expandir o âmbito da inscrição ativando a aprovação de acesso para todos ou alguns serviços adicionais serviços suportados.

Selecione as caixas de verificação de ativação de serviços adicionais

Configure notificações por email

Esta secção explica como pode receber notificações de pedidos de acesso para este projeto.

Conceda a função IAM necessária

Para ver e aprovar pedidos de acesso, tem de ter a função de IAM Access Approval Approver (roles/accessapproval.approver).

Para conceder esta função do IAM a si próprio, faça o seguinte:

Aceda à página IAM na Google Cloud consola.
Aceda ao IAM
No separador Ver por responsáveis, clique em Conceder acesso.
No campo Novos membros no painel do lado direito, introduza o seu endereço de email.
Clique no campo Selecionar uma função e selecione a função Aprovador da aprovação de acesso no menu.
Clique em Guardar.

Adicione-se como aprovador de pedidos de aprovação de acesso

Para se adicionar como aprovador para poder rever e aprovar pedidos de acesso, faça o seguinte:

Aceda à página Aprovação de acesso na Google Cloud consola.

Aceda à aprovação de acesso
Clique em Gerir definições.
Em Configurar notificações de aprovação, adicione o seu endereço de email no campo Email do utilizador ou do grupo.
Para guardar as definições de notificação, clique em Guardar.

Use uma chave de assinatura personalizada

A aprovação de acesso usa uma chave de assinatura para validar a integridade do pedido de aprovação de acesso.

Se tiver o Cloud EKM ativado, pode escolher uma chave de assinatura gerida externamente. Para ver informações sobre a utilização de chaves externas, consulte o artigo Vista geral do Cloud EKM.

Também pode optar por criar uma chave de assinatura do Cloud KMS com um algoritmo à sua escolha. Para mais informações, consulte o artigo Criar chaves assimétricas.

Para usar uma chave de assinatura personalizada, siga as instruções nesta secção.

Obtenha o endereço de email da conta de serviço

O endereço de email da conta de serviço tem o seguinte formato:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Substitua PROJECT_NUMBER pelo número do projeto.

Por exemplo, o endereço de email é service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com para uma conta de serviço num projeto cujo número do projeto é 123456789.

Para usar a chave de assinatura, faça o seguinte:

Na página Aprovação de acesso na Google Cloud consola, selecione Usar uma chave de assinatura do Cloud KMS (avançado).
Adicione o ID do recurso da versão da chave criptográfica.

O ID de recurso da versão da chave criptográfica tem de ter o seguinte formato:
```
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
```
Para mais informações, consulte o artigo Obter um ID de recurso do Cloud KMS.
Para guardar as definições, clique em Guardar.

Para usar uma chave de assinatura personalizada, tem de fornecer a função da IAM Encriptador/desencriptador de CryptoKey do Cloud KMS (roles/cloudkms.signerVerifier) à conta de serviço de aprovação de acesso do seu projeto.

Se a conta de serviço da Aprovação de acesso não tiver as autorizações para assinar com a chave que forneceu, pode conceder as autorizações necessárias clicando em Conceder. Depois de conceder as autorizações, clique em Guardar.

Reveja pedidos de aprovação de acesso

Agora que se inscreveu na aprovação de acesso e se adicionou como aprovador de pedidos de acesso, vai receber notificações por email para pedidos de acesso.

A imagem seguinte mostra um exemplo de notificação por email que a Aprovação de acesso envia quando o pessoal da Google pede acesso aos Dados do Cliente.

A notificação por email que é enviada quando o pessoal da Google solicita acesso aos Dados do Cliente.

Para rever e aprovar um pedido de acesso recebido, faça o seguinte:

Aceda à página Aprovação de acesso na Google Cloud consola.

Aceda à aprovação de acesso

Para aceder a esta página, também pode clicar no link no email que lhe foi enviado com o pedido de aprovação.
Clique em Aprovar.

Depois de aprovar o pedido, o pessoal da Google com características correspondentes à aprovação, como a mesma justificação, localização ou localização da mesa, pode aceder ao recurso especificado e aos respetivos recursos subordinados no período aprovado.

Limpar

Para anular a inscrição na aprovação de acesso, faça o seguinte:
1. Na página Aprovação de acesso na consola Google Cloud , clique em Gerir definições.
2. Clique em Anular inscrição.
3. Na caixa de diálogo apresentada, clique em Anular inscrição.
Para desativar a Transparência de acesso para a sua organização, contacte o apoio técnico ao cliente do Google Cloud.

Não são necessários passos adicionais para evitar incorrer em encargos na sua conta.

O que se segue?

Saiba mais sobre a anatomia de um pedido de acesso.
Saiba como aprovar pedidos de aprovação de acesso.
Saiba como ver o histórico de pedidos de aprovação de acesso.