使用自定义签名密钥审核和批准访问权限请求

本文档介绍了如何使用 用于接收以下电子邮件通知的 Google Cloud 控制台和自定义签名密钥: 项目的访问请求数量

Access Approval 可确保 Google 员工在访问您存储在 Google Cloud 上的内容时,必须先获得经过加密签名的批准。

借助 Access Approval,您可以使用自己的加密密钥对 权限申请。您可以使用 Cloud Key Management Service 创建密钥,也可以使用 Cloud External Key Manager 导入外部管理的密钥。

准备工作

注册 Access Approval

如需注册 Access Approval,请执行以下操作:

  1. 在 Google Cloud 控制台中,选择要为其启用 Access Approval 的项目。

    转到“项目选择器”

  2. 前往 Access Approval 页面。

    前往“Access Approval”页面

  3. 如需注册 Access Approval,请点击注册

    选择“注册”按钮。

  4. 在打开的对话框中,点击注册

    关于支持时间延长的 Access Approval 免责声明。

配置设置

在 Google Cloud 控制台的 Access Approval 页面上,点击 管理设置

选择“管理设置”按钮。

选择服务

默认情况下,需要 Access Approval 的服务会继承 来自项目的父级资源。您可以选择自动为所有受支持的服务启用 Access Approval,从而扩大注册范围。

设置电子邮件通知

本部分介绍如何接收有关 项目。

授予所需的 IAM 角色

要查看和批准访问请求,您必须拥有 Access Approval 审批人 (roles/accessapproval.approver) IAM 角色。

如需将此 IAM 角色授予自己,请执行以下操作:

  1. 在 Google Cloud 控制台中,前往 IAM 页面。

    前往 IAM

  2. 按主账号查看标签页中,点击 授予访问权限
  3. 在右侧窗格的新的主账号字段中,输入您的电子邮件地址 地址。
  4. 点击选择角色字段,然后从菜单中选择访问权限审批批准人角色。
  5. 点击保存

将您自己添加为 Access Approval 请求的审批人

要将您自己添加为审批人,以便您查看和批准访问请求,请按以下步骤操作: 以下:

  1. 前往 Google Cloud 控制台中的 Access Approval 页面。

    前往 Access Approval

  2. 点击 管理设置

  3. 设置审批通知下方,将您的电子邮件地址添加到 用户或群组电子邮件地址字段。

  4. 要保存通知设置,请点击保存

使用自定义签名密钥

访问权限审批会使用签名密钥来验证访问权限审批的完整性。

如果您已启用 Cloud EKM,则可以选择外部管理的签名密钥。有关如何使用外部 请参阅 Cloud EKM 概览

您还可以选择使用 您选择的算法如需了解详情,请参阅 创建非对称密钥

如需使用自定义签名密钥,请按照本部分中的说明操作。

获取服务账号的电子邮件地址

服务账号的电子邮件地址采用以下格式:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

PROJECT_NUMBER 替换为项目编号。

例如,电子邮件地址为 service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com 代表项目编号为 123456789 的项目中的服务账号。

如需使用您的签名密钥,请执行以下操作:

  1. 在 Google Cloud 控制台中的 Access Approval 页面上,选择 Use a Cloud KMS signing key (advanced)

  2. 添加加密密钥版本资源 ID。

    加密密钥版本资源 ID 必须采用以下格式:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    如需了解详情,请参阅获取 Cloud KMS 资源 ID

  3. 如需保存设置,请点击保存

    要使用自定义签名密钥,您必须提供 Cloud KMS CryptoKey Signer/Verifier (roles/cloudkms.signerVerifier) IAM 您项目的 Access Approval 服务账号。

    如果 Access Approval 服务账号没有权限 使用您提供的密钥签名,则可以通过以下方式授予必要权限: 点击授权。授予权限后,点击保存

    保存所选设置。

审核 Access Approval 请求

现在您已注册了 Access Approval 并将自己添加为 审批人,您应该会收到关于以下内容的电子邮件通知: 权限申请。

下图显示了 Access Approval 的电子邮件通知示例, 在 Google 员工请求访问客户内容时发送。

Google 员工请求访问客户内容时发送的电子邮件通知。

如需审核和批准传入的访问权限请求,请执行以下操作:

  1. 前往 Google Cloud 控制台中的 Access Approval 页面。

    前往 Access Approval

    要转到此页面,您也可以点击电子邮件中的链接 审批请求一同发送给您

  2. 点击批准

在您批准该请求后,Google 员工 characteristics 匹配 批准信息,例如相同的理由、地点或办公桌位置 可以在已获批准的资源中访问指定资源及其子资源 时间范围

清理

  1. 如需取消注册 Access Approval,请执行以下操作:
    1. 在 Google Cloud 控制台的 Access Approval 页面上, 点击管理设置
    2. 点击取消注册
    3. 在打开的对话框中,点击取消注册
  2. 要为您的组织停用 Access Transparency,请与 Cloud Customer Care 团队联系。

无需采取其他步骤即可避免您的账号产生费用。

后续步骤