Esamina e approva le richieste di accesso utilizzando una chiave di firma personalizzata
Questo documento mostra come configurare Access Approval utilizzando la console Google Cloud e una chiave di firma personalizzata per ricevere notifiche via email relative alle richieste di accesso a un progetto.
Access Approval garantisce la presenza di un'approvazione firmata tramite crittografia per consentire al personale Google di accedere ai tuoi contenuti archiviati su Google Cloud.
Access Approval ti consente di utilizzare la tua chiave di crittografia per firmare la richiesta di accesso. Puoi creare una chiave utilizzando Cloud Key Management Service o portare una chiave gestita esternamente utilizzando Cloud External Key Manager.
Prima di iniziare
- Abilita Access Transparency per la tua organizzazione. Per maggiori informazioni, consulta Attivare Access Transparency.
- Assicurati di disporre del ruolo IAM
Editor configurazione Access Approval
(
roles/accessapproval.configEditor
).
Registrati ad Access Approval
Per registrarti ad Access Approval, segui questi passaggi:
Nella console Google Cloud, seleziona il progetto per il quale vuoi abilitare Access Approval.
Vai alla pagina Access Approval.
Per registrarti ad Access Approval, fai clic su Registrati.
Nella finestra di dialogo che si apre, fai clic su Registrati.
Configura le impostazioni
Nella pagina Access Approval della console Google Cloud, fai clic su
Gestisci impostazioni.
Seleziona i servizi
Per impostazione predefinita, i servizi che richiedono Access Approval vengono ereditati dalla risorsa padre del progetto. Puoi espandere l'ambito della registrazione selezionando l'opzione per abilitare automaticamente Access Approval per tutti i servizi supportati.
Configura le notifiche email
Questa sezione spiega come ricevere notifiche per le richieste di accesso per questo progetto.
Concedi il ruolo IAM richiesto
Per visualizzare e approvare le richieste di accesso, devi avere il ruolo IAM Autore approvazione Access Approval (roles/accessapproval.approver
).
Per concedere questo ruolo IAM a te stesso:
- Vai alla pagina IAM nella console Google Cloud.
- Nella scheda Visualizza per entità, fai clic su Concedi l'accesso.
- Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
- Fai clic sul campo Seleziona un ruolo e seleziona il ruolo di Approvatore Access Approval dal menu.
- Fai clic su Salva.
Aggiungiti come approvatore per le richieste di Access Approval
Per aggiungerti come approvatore in modo da poter esaminare e approvare le richieste di accesso:
Vai alla pagina Access Approval nella console Google Cloud.
Fai clic su
Gestisci impostazioni.In Imposta le notifiche di approvazione, aggiungi il tuo indirizzo email nel campo Email dell'utente o del gruppo.
Per salvare le impostazioni di notifica, fai clic su Salva.
Usa una chiave di firma personalizzata
Access Approval utilizza una chiave di firma per verificare l'integrità dell'approvazione dell'accesso.
Se hai abilitato Cloud EKM, puoi scegliere una chiave di firma gestita esternamente. Per informazioni sull'utilizzo di chiavi esterne, consulta la panoramica di Cloud EKM.
Puoi anche scegliere di creare una chiave di firma Cloud KMS con un algoritmo a tua scelta. Per saperne di più, consulta la sezione Creazione di chiavi asimmetriche.
Per usare una chiave di firma personalizzata, segui le istruzioni riportate in questa sezione.
Recuperare l'indirizzo email dell'account di servizio
L'indirizzo email per l'account di servizio è nel seguente formato:
service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com
Sostituisci PROJECT_NUMBER con il numero del progetto.
Ad esempio, l'indirizzo email è service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com
per un account di servizio in un progetto il cui numero di progetto è 123456789
.
Per usare la tua chiave di firma:
Nella pagina Access Approval della console Google Cloud, seleziona Utilizza una chiave di firma Cloud KMS (avanzata).
Aggiungi l'ID risorsa della versione della chiave di crittografia.
L'ID risorsa della versione della chiave di crittografia deve avere il seguente formato:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
Per ulteriori informazioni, vedi Ottenere un ID risorsa di Cloud KMS.
Per salvare le impostazioni, fai clic su Salva.
Per utilizzare una chiave di firma personalizzata, devi fornire il ruolo IAM Firmatario/Verificatore CryptoKey Cloud KMS (
roles/cloudkms.signerVerifier
) all'account di servizio Access Approval per il tuo progetto.Se l'account di servizio Access Approval non dispone delle autorizzazioni per firmare con la chiave che hai fornito, puoi concedere le autorizzazioni richieste facendo clic su Concedi. Dopo aver concesso le autorizzazioni, fai clic su Salva.
Rivedi le richieste di Access Approval
Ora che hai effettuato la registrazione ad Access Approval e ti sei aggiunto come approvatore delle richieste di accesso, dovresti ricevere notifiche via email per le richieste di accesso.
La seguente immagine mostra una notifica via email di esempio che Access Approval invia quando il personale Google richiede l'accesso ai contenuti del cliente.
Per esaminare e approvare una richiesta di accesso in arrivo:
Vai alla pagina Access Approval nella console Google Cloud.
Per accedere a questa pagina, puoi anche fare clic sul link nell'email che ti è stata inviata con la richiesta di approvazione.
Fai clic su Approva.
Dopo aver approvato la richiesta, il personale Google con caratteristiche corrispondenti all'approvazione, ad esempio la stessa giustificazione, la stessa posizione o la stessa posizione della scrivania, può accedere alla risorsa specificata e alle relative risorse secondarie entro il periodo di tempo approvato.
Esegui la pulizia
-
Per annullare la registrazione ad Access Approval:
- Nella pagina Access Approval della console Google Cloud, fai clic su Gestisci impostazioni.
- Fai clic su Annulla iscrizione.
- Nella finestra di dialogo che si apre, fai clic su Annulla iscrizione.
- Per disattivare Access Transparency per la tua organizzazione, contatta l'assistenza clienti Google Cloud.
Non sono necessari ulteriori passaggi per evitare addebiti sul tuo account.
Passaggi successivi
- Scopri di più sull'anatomia di una richiesta di accesso.
- Scopri come approvare le richieste di Access Approval.
- Scopri come visualizzare la cronologia delle richieste di Access Approval.