Examinez et approuvez les demandes d'accès à l'aide d'une clé de signature personnalisée

Ce document explique comment configurer Access Approval à l'aide de la console Google Cloud et d'une clé de signature personnalisée pour recevoir des notifications par e-mail des demandes d'accès à un projet.

Access Approval garantit qu'une approbation avec signature cryptographique permet au personnel de Google d'accéder à votre contenu stocké Google Cloud.

Access Approval vous permet d'utiliser votre propre clé cryptographique pour signer le demande d'accès. Vous pouvez créer une clé à l'aide de Cloud Key Management Service ou importer une clé gérée en externe à l'aide de Cloud External Key Manager.

Avant de commencer

S'inscrire à Access Approval

Pour vous inscrire à Access Approval, procédez comme suit :

  1. Dans la console Google Cloud, sélectionnez le projet pour lequel vous souhaitez activer Access Approval.

    Accéder au sélecteur de projet

  2. Accédez à la page Access Approval.

    Accéder à Access Approval

  3. Pour vous inscrire à Access Approval, cliquez sur S'inscrire.

    Sélectionnez le bouton "Enregistrer".

  4. Dans la boîte de dialogue qui s'affiche, cliquez sur Enregistrer.

    Clause de non-responsabilité concernant l'augmentation du temps d'attente pour l'assistance avec Access Approval

Configurer les paramètres

Sur la page Access Approval de la console Google Cloud, cliquez sur Gérer les paramètres

Sélectionnez le bouton Gérer les paramètres.

Sélectionner les services

Par défaut, les services nécessitant Access Approval sont hérités à partir de la ressource parente du projet. Vous pouvez étendre le champ d'application de l'inscription en procédant comme suit : en sélectionnant l'option permettant d'activer automatiquement Access Approval services compatibles.

Configurer les notifications par e-mail

Cette section explique comment recevoir des notifications de demande d'accès pour ce projet.

Attribuer le rôle IAM requis

Pour afficher et approuver les demandes d'accès, vous devez disposer de l'approbateur Access Approval (roles/accessapproval.approver) rôle IAM.

Pour vous attribuer ce rôle IAM, procédez comme suit :

  1. Accédez à la page IAM de la console Google Cloud.

    Accéder à IAM

  2. Dans l'onglet Afficher par compte principal, cliquez sur  Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionnez un rôle, puis sélectionnez le rôle Approbateur des autorisations d'accès dans le menu.
  5. Cliquez sur Enregistrer.

Vous ajouter en tant qu'approbateur pour les demandes Access Approval

Pour vous ajouter en tant qu'approbateur afin de pouvoir examiner et approuver les demandes d'accès, procédez comme suit :

  1. Accédez à la page Access Approval (Approbation des accès) dans la console Google Cloud.

    Accéder à Access Approval

  2. Cliquez sur Gérer les paramètres.

  3. Sous Configurer les notifications d'approbation, ajoutez votre adresse e-mail dans le champ Adresse e-mail de l'utilisateur ou du groupe.

  4. Pour enregistrer les paramètres de notification, cliquez sur Enregistrer.

Utiliser une clé de signature personnalisée

Access Approval utilise une clé de signature pour vérifier l'intégrité Access Approval.

Si Cloud EKM est activé, vous pouvez choisissez une clé de signature gérée en externe. Pour en savoir plus sur l'utilisation des clés externes, consultez la page Présentation de Cloud EKM.

Vous pouvez également choisir de créer une clé de signature Cloud KMS avec un algorithme de votre choix. Pour en savoir plus, consultez la page Créer des clés asymétriques.

Pour utiliser une clé de signature personnalisée, suivez les instructions de cette section.

Obtenir l'adresse e-mail du compte de service

L'adresse e-mail du compte de service se présente sous la forme suivante:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Remplacez PROJECT_NUMBER par le numéro du projet.

Par exemple, l'adresse e-mail est service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com. pour un compte de service dans un projet dont le numéro de projet est 123456789.

Pour utiliser votre clé de signature:

  1. Sur la page Access Approval (Approbation de l'accès) de la console Google Cloud, sélectionnez Use a Cloud KMS signing key (advanced) (Utiliser une clé de signature Cloud KMS (avancé)).

  2. Ajoutez l'ID de ressource de la version de clé cryptographique.

    L'ID de ressource de la version de clé cryptographique doit se présenter au format suivant:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    Pour en savoir plus, consultez la page Obtenir un ID de ressource Cloud KMS.

  3. Pour enregistrer vos paramètres, cliquez sur Enregistrer.

    Pour utiliser une clé de signature personnalisée, vous devez indiquer le paramètre Signature/validation de CryptoKey Cloud KMS autorisées (roles/cloudkms.signerVerifier) IAM au compte de service Access Approval de votre projet.

    Si le compte de service Access Approval ne dispose pas des autorisations à signer avec la clé que vous avez fournie, vous pouvez accorder les autorisations requises en cliquez sur Attribuer. Une fois les autorisations accordées, cliquez sur Enregistrer.

    Enregistrez les paramètres sélectionnés.

Examiner les demandes d'approbation d'accès

Maintenant que vous vous êtes inscrit à Access Approval et que vous vous êtes ajouté en tant qu'approbateur des demandes d'accès, vous devriez recevoir des notifications par e-mail pour les demandes d'accès.

L'image suivante montre un exemple de notification par e-mail envoyée par Access Approval lorsque le personnel Google demande à accéder au contenu des clients.

Notification par e-mail envoyée lorsque le personnel Google demande à accéder au contenu d'un client.

Pour examiner et approuver une demande d'accès entrante, procédez comme suit:

  1. Accédez à la page Access Approval (Approbation des accès) dans la console Google Cloud.

    Accéder à Access Approval

    Pour accéder à cette page, vous pouvez également cliquer sur le lien figurant dans l'e-mail. envoyé avec la demande d'approbation.

  2. Cliquez sur Approuver.

Une fois la demande approuvée, le personnel de Google dont les caractéristiques correspondent à l'approbation (par exemple, même motif de justification, même adresse ou même bureau) peut accéder à la ressource spécifiée et à ses ressources enfants dans le délai approuvé.

Effectuer un nettoyage

  1. Pour vous désinscrire d'Access Approval, procédez comme suit :
    1. Sur la page Approbation des accès de la console Google Cloud, cliquez sur Gérer les paramètres.
    2. Cliquez sur Se désinscrire.
    3. Dans la boîte de dialogue qui s'affiche, cliquez sur Désinscrire.
  2. Pour désactiver Access Transparency pour votre organisation, contactez Cloud Customer Care.

Aucune étape supplémentaire n'est requise pour éviter des frais sur votre compte.

Étape suivante