Examiner et approuver les demandes d'accès à l'aide de la clé de signature gérée par Google

Ce document explique comment configurer Access Approval à l'aide de la console Google Cloud pour recevoir des notifications par e-mail des demandes d'accès à un projet.

Access Approval vous garantit qu'une approbation signée de manière cryptographique est présente pour que le personnel Google puisse accéder à votre contenu stocké surGoogle Cloud.

Avant de commencer

S'inscrire à Access Approval

Pour vous inscrire à Access Approval, procédez comme suit:

  1. Dans la console Google Cloud, sélectionnez le projet pour lequel vous souhaitez activer Access Approval.

    Accéder au sélecteur de projet

  2. Accédez à la page Access Approval (Approbation des accès).

    Accéder à Access Approval

  3. Pour vous enregistrer auprès d'Access Approval, cliquez sur S'inscrire.

    Inscrivez-vous à Access Approval.

  4. Dans la boîte de dialogue qui s'affiche, cliquez sur S'inscrire.

    Clause de non-responsabilité concernant l'augmentation du temps d'attente pour l'assistance avec Access Approval

Configurer les paramètres

Sur la page Approbation des accès de la console Google Cloud, cliquez sur Gérer les paramètres.

Sélectionnez le bouton "Gérer les paramètres".

Sélectionner les services

Par défaut, les services nécessitant l'approbation de l'accès sont hérités de la ressource parente du projet. Vous pouvez étendre le champ d'application de l'enregistrement en sélectionnant l'option permettant d'activer automatiquement l'approbation d'accès pour tous les services compatibles.

Configurer les notifications par e-mail et Pub/Sub

Cette section explique comment recevoir des notifications de demande d'accès pour ce projet.

Accorder à votre compte le rôle IAM requis

Pour afficher et approuver les demandes d'accès, vous devez disposer du rôle IAM Approbateur d'autorisations d'accès (roles/accessapproval.approver).

Pour vous attribuer ce rôle IAM, procédez comme suit:

  1. Accédez à la page IAM de la console Google Cloud.

    Accéder à IAM

  2. Dans l'onglet Afficher par compte principal, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le rôle Approbateur de l'approbation de l'accès dans le menu.
  5. Cliquez sur Enregistrer.

Vous ajouter en tant qu'approbateur des demandes d'autorisation d'accès et configurer les notifications

Pour vous ajouter en tant qu'approbateur afin de pouvoir examiner et approuver les demandes d'accès, procédez comme suit:

  1. Accédez à la page Approbation des accès dans la console Google Cloud.

    Accéder à Access Approval

  2. Cliquez sur Gérer les paramètres.

  3. Pour activer les notifications par e-mail, ajoutez votre adresse e-mail dans le champ Adresse e-mail de l'utilisateur ou du groupe sous Configurer les notifications d'approbation.

  4. Pour activer les notifications Pub/Sub, ajoutez votre sujet Pub/Sub dans le champ Sujet Pub/Sub sous Configurer les notifications d'approbation.

Sélectionner une clé de signature gérée par Google

L'approbation d'accès utilise une clé de signature pour vérifier l'intégrité de l'approbation d'accès.

La clé de signature gérée par Google est l'option par défaut. L'utilisation d'unGoogle-owned and managed key ne nécessite aucune configuration supplémentaire.

Examiner les demandes d'approbation d'accès

Maintenant que vous vous êtes inscrit à Access Approval et que vous vous êtes ajouté en tant qu'approbateur des demandes d'accès, vous devriez recevoir des notifications par e-mail pour les demandes d'accès.

L'image suivante montre un exemple de notification par e-mail envoyée par Access Approval lorsque le personnel de Google demande l'accès au contenu client.

Notification par e-mail envoyée lorsque le personnel Google demande à accéder au contenu d'un client.

Pour examiner et approuver une demande d'accès entrante, procédez comme suit:

  1. Accédez à la page Approbation des accès dans la console Google Cloud.

    Accéder à Access Approval

    Pour accéder à cette page, vous pouvez également cliquer sur le lien de l'e-mail qui vous a été envoyé avec la demande d'approbation.

  2. Cliquez sur Approuver.

Une fois la demande approuvée, le personnel de Google dont les caractéristiques correspondent à l'approbation (par exemple, même motif de justification, même adresse ou adresse professionnelle) peut accéder à la ressource spécifiée et à ses ressources enfants dans le délai approuvé.

Effectuer un nettoyage

  1. Pour vous désinscrire d'Access Approval, procédez comme suit :
    1. Sur la page Approbation des accès de la console Google Cloud, cliquez sur Gérer les paramètres.
    2. Cliquez sur Se désinscrire.
    3. Dans la boîte de dialogue qui s'affiche, cliquez sur Désinscrire.
  2. Pour désactiver Access Transparency pour votre organisation, contactez l'assistance Cloud Customer Care.

Aucune étape supplémentaire n'est requise pour éviter des frais sur votre compte.

Étape suivante