Meninjau dan menyetujui permintaan akses menggunakan kunci penandatanganan kustom
Dokumen ini menunjukkan cara menyiapkan Persetujuan Akses menggunakan Google Cloud Console dan kunci penandatanganan kustom untuk menerima notifikasi email tentang permintaan akses pada suatu project.
Access Approval memastikan bahwa persetujuan yang ditandatangani secara kriptografis tersedia bagi staf Google untuk mengakses konten Anda yang disimpan di Google Cloud.
Persetujuan Akses memungkinkan Anda membawa kunci kriptografis Anda sendiri untuk menandatangani permintaan akses. Anda dapat membuat kunci menggunakan Cloud Key Management Service atau membawa kunci yang dikelola secara eksternal menggunakan Cloud External Key Manager.
Sebelum memulai
- Aktifkan Transparansi Akses untuk organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan Transparansi Akses.
- Pastikan Anda memiliki peran IAM
Access Approval Config Editor
(
roles/accessapproval.configEditor).
Mendaftar ke Persetujuan Akses
Untuk mendaftar ke Access Approval, lakukan hal berikut:
Di Konsol Google Cloud, pilih project tempat Anda ingin mengaktifkan Access Approval.
Buka halaman Persetujuan Akses.
Untuk mendaftar ke Access Approval, klik Daftar.
Di kotak dialog yang terbuka, klik Daftar.
Mengonfigurasi setelan
Pada halaman Access Approval di Google Cloud Console, klik Manage settings.
Pilih layanan
Secara default, layanan yang memerlukan Access Approval diwarisi dari resource induk project. Anda dapat memperluas cakupan pendaftaran dengan memilih opsi untuk mengaktifkan Persetujuan Akses secara otomatis untuk semua layanan yang didukung.
Menyiapkan notifikasi email
Bagian ini menjelaskan cara menerima notifikasi permintaan akses untuk project ini.
Memberikan peran IAM yang diperlukan
Untuk melihat dan menyetujui permintaan akses, Anda harus memiliki peran IAM Access Approval Approvalr
(roles/accessapproval.approver).
Untuk memberikan peran IAM ini kepada diri Anda sendiri, lakukan hal berikut:
- Buka halaman IAM di Konsol Google Cloud.
- Di tab View by principals, klik Grant access.
- Di kolom New principals di panel kanan, masukkan alamat email Anda.
- Klik kolom Select a role, lalu pilih peran Access Approval Approval dari menu.
- Klik Simpan.
Menambahkan diri Anda sebagai pemberi persetujuan untuk permintaan Persetujuan Akses
Untuk menambahkan diri Anda sebagai pemberi persetujuan sehingga Anda dapat meninjau dan menyetujui permintaan akses, lakukan hal berikut:
Buka halaman Persetujuan Akses di Konsol Google Cloud.
Klik Kelola setelan.
Di bagian Siapkan notifikasi persetujuan, tambahkan alamat email Anda di kolom Email pengguna atau grup.
Untuk menyimpan setelan notifikasi, klik Simpan.
Menggunakan kunci penandatanganan kustom
Access Approval menggunakan kunci penandatanganan untuk memverifikasi integritas persetujuan akses.
Jika telah mengaktifkan Cloud EKM, Anda dapat memilih kunci penandatanganan yang dikelola secara eksternal. Untuk mengetahui informasi tentang cara menggunakan kunci eksternal, lihat Ringkasan Cloud EKM.
Anda juga dapat memilih untuk membuat kunci penandatanganan Cloud KMS dengan algoritme pilihan Anda. Untuk mengetahui informasi selengkapnya, lihat Membuat kunci asimetris.
Untuk menggunakan kunci penandatanganan kustom, ikuti petunjuk di bagian ini.
Mendapatkan alamat email akun layanan
Alamat email untuk akun layanan memiliki format berikut:
service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com
Ganti PROJECT_NUMBER dengan nomor project.
Misalnya, alamat emailnya adalah service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com untuk akun layanan dalam project yang nomor project-nya adalah 123456789.
Untuk menggunakan kunci penandatanganan, lakukan hal berikut:
Pada halaman Access Approval di Google Cloud Console, pilih Use a Cloud KMS signing key (advanced).
Tambahkan ID resource versi kunci kripto.
ID resource versi kunci kripto harus memiliki bentuk berikut:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
Untuk mengetahui informasi selengkapnya, baca artikel Mendapatkan ID resource Cloud KMS.
Untuk menyimpan setelan, klik Simpan.
Untuk menggunakan kunci penandatanganan kustom, Anda harus memberikan peran IAM Cloud KMS Signer/Verifier (
roles/cloudkms.signerVerifier) ke akun layanan Persetujuan Akses untuk project Anda.Jika akun layanan Access Approval tidak memiliki izin untuk login dengan kunci yang Anda berikan, Anda dapat memberikan izin yang diperlukan dengan mengklik Grant. Setelah memberikan izin, klik Simpan.
Tinjau permintaan Persetujuan Akses
Setelah mendaftar di Persetujuan Akses dan menambahkan diri Anda sebagai pemberi persetujuan untuk permintaan akses, Anda akan menerima notifikasi email untuk permintaan akses.
Gambar berikut menunjukkan contoh notifikasi email yang dikirim Persetujuan Akses saat personel Google meminta akses ke konten pelanggan.
Untuk meninjau dan menyetujui permintaan akses masuk, lakukan hal berikut:
Buka halaman Persetujuan Akses di Konsol Google Cloud.
Untuk diarahkan ke halaman ini, Anda juga dapat mengklik link dalam email yang dikirimkan kepada Anda dengan permintaan persetujuan.
Klik Approve.
Setelah Anda menyetujui permintaan, personel Google dengan karakteristik yang cocok dengan persetujuan, seperti, justifikasi, lokasi, atau lokasi meja yang sama dapat mengakses resource yang ditentukan dan resource turunannya dalam jangka waktu yang disetujui.
Pembersihan
-
Untuk membatalkan pendaftaran dari Access Approval, lakukan hal berikut:
- Pada halaman Access Approval di Google Cloud Console, klik Manage settings.
- Klik Batalkan pendaftaran.
- Pada dialog yang terbuka, klik Batalkan pendaftaran.
- Untuk menonaktifkan Transparansi Akses bagi organisasi Anda, hubungi Cloud Customer Care.
Tidak ada langkah tambahan yang diperlukan untuk menghindari timbulnya biaya pada akun Anda.
Langkah selanjutnya
- Pelajari anatomi permintaan akses.
- Pelajari cara menyetujui permintaan Persetujuan Akses.
- Pelajari cara melihat permintaan Persetujuan Akses historis.