Zugriffsanfragen mit einem benutzerdefinierten Signaturschlüssel prüfen und genehmigen
In diesem Dokument wird gezeigt, wie Sie die Zugriffsgenehmigung mithilfe der Google Cloud Console und einem benutzerdefinierten Signaturschlüssel, um E-Mail-Benachrichtigungen zu erhalten Zugriffsanfragen für ein Projekt.
Mit der Zugriffsgenehmigung wird sichergestellt, dass Google-Mitarbeiter eine kryptografisch signierte Genehmigung haben, um auf Ihre in Google Cloud gespeicherten Inhalte zuzugreifen.
Mit der Zugriffsgenehmigung können Sie Ihren eigenen kryptografischen Schlüssel zum Signieren Zugriffsanforderung. Sie können einen Schlüssel mit dem Cloud Key Management Service erstellen oder einen extern verwalteten Schlüssel mit Cloud External Key Manager verwenden.
Hinweise
- aktivieren Access Transparency für Ihre Organisation. Weitere Informationen finden Sie unter Access Transparency aktivieren
- Stellen Sie sicher, dass Sie
Bearbeiter der Zugriffsgenehmigungskonfiguration
(
roles/accessapproval.configEditor
) IAM-Rolle.
Bei Access Approval anmelden
So registrieren Sie sich bei Access Approval:
Wählen Sie in der Google Cloud Console das Projekt aus, für das Sie die Zugriffsgenehmigung aktivieren möchten.
Rufen Sie die Seite Zugriffsgenehmigung auf.
Klicken Sie auf Anmelden, um sich bei Access Approval zu registrieren.
Klicken Sie im daraufhin angezeigten Dialogfeld auf Anmelden.
Einstellungen konfigurieren
Klicken Sie in der Google Cloud Console auf der Seite Zugriffsgenehmigung auf
Einstellungen verwalten.
Dienste auswählen
Standardmäßig werden die Dienste, für die eine Zugriffsberechtigung erforderlich ist, von der übergeordneten Ressource des Projekts übernommen. Sie können den Umfang der Anmeldung erweitern, indem Sie Auswahl der Option zum automatischen Aktivieren der Zugriffsgenehmigung für alle die unterstützten Dienste.
E-Mail-Benachrichtigungen einrichten
In diesem Abschnitt wird erläutert, wie Sie Benachrichtigungen zu Zugriffsanfragen für diese Projekt arbeiten.
Erforderliche IAM-Rolle gewähren
Wenn Sie Zugriffsanfragen ansehen und genehmigen möchten, benötigen Sie die IAM-Rolle „Genehmiger für Zugriffsgenehmigungen“ (roles/accessapproval.approver
).
So weisen Sie sich selbst diese IAM-Rolle zu:
- Rufen Sie in der Google Cloud Console die Seite IAM auf.
- Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
- Geben Sie im rechten Bereich im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
- Klicken Sie auf das Feld Rolle auswählen und wählen Sie im Menü die Rolle Genehmiger für Zugriffsgenehmigungen aus.
- Klicken Sie auf Speichern.
Sich selbst als Genehmiger für Anfragen für die Zugriffsgenehmigung hinzufügen
So fügen Sie sich selbst als Genehmiger hinzu, damit Sie Zugriffsanfragen prüfen und genehmigen können: Folgendes:
Rufen Sie in der Google Cloud Console die Seite Zugriffsgenehmigung auf.
Klicken Sie auf
Einstellungen verwalten.Fügen Sie unter Genehmigungsbenachrichtigungen einrichten Ihre E-Mail-Adresse in das Feld E-Mail-Adresse des Nutzers oder der Gruppe ein.
Klicken Sie auf Speichern, um die Benachrichtigungseinstellungen zu speichern.
Benutzerdefinierten Signaturschlüssel verwenden
Bei der Zugriffsgenehmigung wird die Integrität der Zugriffsgenehmigung mit einem Signaturschlüssel überprüft.
Wenn Sie Cloud EKM aktiviert haben, können Sie einen extern verwalteten Signaturschlüssel aus. Informationen zur Verwendung externer Schlüssel finden Sie unter Cloud EKM-Übersicht.
Sie können auch einen Cloud KMS-Signaturschlüssel mit einem Algorithmus Ihrer Wahl erstellen. Weitere Informationen finden Sie unter Asymmetrische Schlüssel erstellen
Folgen Sie der Anleitung in diesem Abschnitt, um einen benutzerdefinierten Signaturschlüssel zu verwenden.
E-Mail-Adresse des Dienstkontos abrufen
Die E-Mail-Adresse des Dienstkontos hat das folgende Format:
service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com
Ersetzen Sie PROJECT_NUMBER durch die Projektnummer.
Die E-Mail-Adresse ist beispielsweise service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com
für ein Dienstkonto in einem Projekt mit der Projektnummer 123456789
.
So verwenden Sie Ihren Signaturschlüssel:
Wählen Sie in der Google Cloud Console auf der Seite Zugriffsgenehmigung die Option Cloud KMS-Signaturschlüssel verwenden (erweitert) aus.
Fügen Sie die Ressourcen-ID der Kryptoschlüsselversion hinzu.
Die Ressourcen-ID der kryptografischen Schlüsselversion muss das folgende Format haben:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
Weitere Informationen finden Sie unter Cloud KMS-Ressourcen-ID abrufen.
Klicken Sie auf Speichern, um Ihre Einstellungen zu speichern.
Um einen benutzerdefinierten Signaturschlüssel zu verwenden, müssen Sie den Cloud KMS CryptoKey-Signer/Prüffunktion (
roles/cloudkms.signerVerifier
) IAM dem Dienstkonto für die Zugriffsgenehmigung für Ihr Projekt.Wenn das Dienstkonto für die Zugriffsgenehmigung nicht die erforderlichen Berechtigungen hat zum Signieren mit dem von Ihnen angegebenen Schlüssel verwenden, können Sie die erforderlichen Berechtigungen erteilen, indem Sie Klicken Sie auf Erteilen. Klicken Sie nach dem Gewähren der Berechtigungen auf Speichern.
Anfragen für die Zugriffsgenehmigung überprüfen
Nachdem Sie die Zugriffsgenehmigung aktiviert und sich als Genehmiger für Zugriffsanfragen hinzugefügt haben, erhalten Sie E-Mail-Benachrichtigungen zu Zugriffsanfragen.
Das folgende Bild zeigt eine Beispiel-E-Mail-Benachrichtigung, die von der Zugriffsgenehmigung gesendet wird, wenn Google-Mitarbeiter Zugriff auf Kundeninhalte anfordern.
So überprüfen und genehmigen Sie eine eingehende Zugriffsanfrage:
Rufen Sie in der Google Cloud Console die Seite Zugriffsgenehmigung auf.
Sie können auch auf den Link in der E-Mail klicken, um zu dieser Seite zu gelangen. mit der Genehmigungsanfrage erhalten haben.
Klicken Sie auf Genehmigen.
Nachdem Sie den Antrag genehmigt haben, Abgleich von characteristics Genehmigung, z. B. Begründung, Standort oder Arbeitsplatz kann auf die angegebene Ressource und ihre untergeordneten Ressourcen innerhalb der genehmigten Ressourcen Zeitraum.
Bereinigen
-
So melden Sie sich von Access Approval ab:
- Gehen Sie in der Google Cloud Console auf der Seite Zugriffsgenehmigung so vor: Klicken Sie auf Einstellungen verwalten.
- Klicken Sie auf Abmelden.
- Klicken Sie im Dialogfeld, das geöffnet wird, auf Abmelden.
- Wenden Sie sich an Cloud Customer Care, um Access Transparency für Ihre Organisation zu deaktivieren.
Es sind keine zusätzlichen Schritte erforderlich, um zu vermeiden, dass Gebühren für Ihr Konto anfallen.