Zugriffsanfragen mit einem benutzerdefinierten Signaturschlüssel prüfen und genehmigen

In diesem Dokument wird gezeigt, wie Sie die Zugriffsgenehmigung mithilfe der Google Cloud Console und eines benutzerdefinierten Signaturschlüssels einrichten, um E-Mail-Benachrichtigungen über Zugriffsanfragen für ein Projekt zu erhalten.

Access Approval sorgt dafür, dass Google-Mitarbeitern eine kryptografisch signierte Genehmigung für den Zugriff auf Ihre in Google Cloud gespeicherten Inhalte vorliegt.

Mit der Zugriffsgenehmigung können Sie Ihren eigenen kryptografischen Schlüssel zum Signieren der Zugriffsanfrage verwenden. Sie können einen Schlüssel mit dem Cloud Key Management Service erstellen oder einen extern verwalteten Schlüssel mit Cloud External Key Manager verwenden.

Hinweise

Bei Access Approval anmelden

So registrieren Sie sich für Access Approval:

  1. Wählen Sie in der Google Cloud Console das Projekt aus, für das Sie die Zugriffsgenehmigung aktivieren möchten.

    Zur Projektauswahl

  2. Rufen Sie die Seite Zugriffsgenehmigung auf.

    Zur Zugriffsgenehmigung

  3. Klicken Sie auf Registrieren, um sich für Access Approval anzumelden.

    Wählen Sie die Schaltfläche Anmelden aus.

  4. Klicken Sie im angezeigten Dialogfeld auf Anmelden.

    Haftungsausschluss für die Zugriffsgenehmigung über verlängerte Supportzeit.

Einstellungen konfigurieren

Klicken Sie in der Google Cloud Console auf der Seite Zugriffsgenehmigung auf Einstellungen verwalten.

Wählen Sie die Schaltfläche Einstellungen verwalten aus.

Dienste auswählen

Standardmäßig werden die Dienste, die Access Approval erfordern, von der übergeordneten Ressource des Projekts übernommen. Sie können den Umfang der Registrierung erweitern. Wählen Sie dazu die Option zur automatischen Aktivierung der Zugriffsgenehmigung für alle unterstützten Dienste aus.

E-Mail-Benachrichtigungen einrichten

In diesem Abschnitt wird erläutert, wie Sie Benachrichtigungen zu Zugriffsanfragen für dieses Projekt erhalten können.

Erforderliche IAM-Rolle gewähren

Sie benötigen die IAM-Rolle „Genehmiger für Zugriffsgenehmigungen“ (roles/accessapproval.approver), um Zugriffsanfragen anzusehen und zu genehmigen.

So weisen Sie sich diese IAM-Rolle zu:

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf Zugriff gewähren.
  3. Geben Sie im rechten Bereich im Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
  4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie aus dem Menü die Rolle Genehmiger für Zugriffsgenehmigungen aus.
  5. Klicken Sie auf Speichern.

Sich selbst als Genehmiger für Anfragen für die Zugriffsgenehmigung hinzufügen

So fügen Sie sich selbst als Genehmiger hinzu, damit Sie Zugriffsanfragen prüfen und genehmigen können:

  1. Rufen Sie in der Google Cloud Console die Seite Zugriffsgenehmigung auf.

    Zur Zugriffsgenehmigung

  2. Klicken Sie auf Einstellungen verwalten.

  3. Fügen Sie unter Genehmigungsbenachrichtigungen einrichten Ihre E-Mail-Adresse in das Feld E-Mail-Adresse des Nutzers oder der Gruppe ein.

  4. Klicken Sie auf Speichern, um die Benachrichtigungseinstellungen zu speichern.

Benutzerdefinierten Signaturschlüssel verwenden

Bei der Zugriffsgenehmigung wird ein Signaturschlüssel verwendet, um die Integrität der Zugriffsgenehmigung zu überprüfen.

Wenn Sie Cloud EKM aktiviert haben, können Sie einen extern verwalteten Signaturschlüssel auswählen. Informationen zur Verwendung externer Schlüssel finden Sie unter Cloud EKM – Übersicht.

Sie können auch einen Cloud KMS-Signaturschlüssel mit einem Algorithmus Ihrer Wahl erstellen. Weitere Informationen finden Sie unter Asymmetrische Schlüssel erstellen.

Wenn Sie einen benutzerdefinierten Signaturschlüssel verwenden möchten, folgen Sie der Anleitung in diesem Abschnitt.

E-Mail-Adresse des Dienstkontos abrufen

Die E-Mail-Adresse für das Dienstkonto hat das folgende Format:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Ersetzen Sie PROJECT_NUMBER durch die Projektnummer.

Die E-Mail-Adresse für ein Dienstkonto in einem Projekt mit der Projektnummer 123456789 lautet beispielsweise service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com.

So verwenden Sie Ihren Signaturschlüssel:

  1. Wählen Sie in der Google Cloud Console auf der Seite Zugriffsgenehmigung die Option Cloud KMS-Signaturschlüssel verwenden (erweitert) aus.

  2. Fügen Sie die Ressourcen-ID der Version des kryptografischen Schlüssels hinzu.

    Die Ressourcen-ID der kryptografischen Schlüsselversion muss das folgende Format haben:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    Weitere Informationen finden Sie unter Cloud KMS-Ressourcen-ID abrufen.

  3. Klicken Sie auf Speichern, um die Einstellungen zu speichern.

    Wenn Sie einen benutzerdefinierten Signaturschlüssel verwenden möchten, müssen Sie dem Dienstkonto für die Zugriffsgenehmigung für Ihr Projekt die IAM-Rolle Cloud KMS CryptoKey-Signer/Prüffunktion (roles/cloudkms.signerVerifier) zuweisen.

    Wenn das Dienstkonto für die Zugriffsgenehmigung nicht die Berechtigungen zum Signieren mit dem von Ihnen angegebenen Schlüssel hat, können Sie die erforderlichen Berechtigungen gewähren. Klicken Sie dazu auf Erteilen. Klicken Sie nach dem Erteilen der Berechtigungen auf Speichern.

    Speichern Sie die ausgewählten Einstellungen.

Anfragen für die Zugriffsgenehmigung prüfen

Nachdem Sie sich nun bei Access Approval angemeldet und sich selbst als Genehmiger für Zugriffsanfragen hinzugefügt haben, können Sie damit rechnen, E-Mail-Benachrichtigungen für Zugriffsanfragen zu erhalten.

Die folgende Abbildung zeigt eine Beispiel-E-Mail-Benachrichtigung, die von der Zugriffsgenehmigung gesendet wird, wenn Google-Mitarbeiter Zugriff auf Kundeninhalte anfordern.

Die E-Mail-Benachrichtigung, die gesendet wird, wenn Google-Mitarbeiter Zugriff auf Kundeninhalte anfordern.

So prüfen und genehmigen Sie eine eingehende Zugriffsanfrage:

  1. Rufen Sie in der Google Cloud Console die Seite Zugriffsgenehmigung auf.

    Zur Zugriffsgenehmigung

    Sie können diese Seite auch aufrufen, indem Sie auf den Link in der E-Mail klicken, die Sie mit der Genehmigungsanfrage erhalten haben.

  2. Klicken Sie auf Genehmigen.

Nachdem Sie die Anfrage genehmigt haben, können Google-Mitarbeiter mit Eigenschaften, die der Genehmigung entsprechen, z. B. Begründung, Standort oder Desktopstandort, innerhalb des genehmigten Zeitrahmens auf die angegebene Ressource und ihre untergeordneten Ressourcen zugreifen.

Bereinigen

  1. So melden Sie sich von Access Approval ab:
    1. Klicken Sie in der Google Cloud Console auf der Seite Zugriffsgenehmigung auf Einstellungen verwalten.
    2. Klicken Sie auf Abmelden.
    3. Klicken Sie im angezeigten Dialogfeld auf Abmelden.
  2. Wenn Sie Access Transparency für Ihre Organisation deaktivieren möchten, wenden Sie sich an Cloud Customer Care.

Es sind keine zusätzlichen Schritte erforderlich, um zu vermeiden, dass Gebühren für Ihr Konto anfallen.

Nächste Schritte