Examinez et approuvez les demandes d'accès à l'aide de la clé de signature gérée par Google
Ce document explique comment configurer Access Approval à l'aide de la console Google Cloud afin de recevoir des notifications par e-mail pour les demandes d'accès à un projet.
Access Approval garantit la présence d'une signature cryptographique permettant au personnel de Google d'accéder au contenu stocké sur Google Cloud.
Avant de commencer
- Activez Access Transparency pour votre organisation. Pour en savoir plus, consultez la page Activer Access Transparency.
- Assurez-vous de disposer du rôle IAM Éditeur de configuration des autorisations d'accès (
roles/accessapproval.configEditor
).
S'inscrire à Access Approval
Pour vous inscrire à Access Approval, procédez comme suit:
Dans la console Google Cloud, sélectionnez le projet pour lequel vous souhaitez activer Access Approval.
Accédez à la page Access Approval.
Pour vous inscrire à Access Approval, cliquez sur Enregistrer.
Dans la boîte de dialogue qui s'affiche, cliquez sur Enregistrer.
Configurer les paramètres
Sur la page Access Approval de la console Google Cloud, cliquez sur
Gérer les paramètres.
Sélectionner les services
Par défaut, les services qui nécessitent Access Approval sont hérités de la ressource parente du projet. Vous pouvez étendre le champ d'application de l'enregistrement en sélectionnant l'option permettant d'activer automatiquement Access Approval pour tous les services compatibles.
Configurer la messagerie et les notifications Pub/Sub
Cette section explique comment recevoir des notifications de demande d'accès pour ce projet.
Accorder à votre compte le rôle IAM requis
Pour afficher et approuver les demandes d'accès, vous devez disposer du rôle IAM "Approbateur des autorisations d'accès" (roles/accessapproval.approver
).
Pour vous attribuer ce rôle IAM, procédez comme suit:
- Accédez à la page IAM de la console Google Cloud.
- Dans l'onglet Afficher par comptes principaux, cliquez sur Accorder l'accès.
- Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
- Cliquez sur le champ Sélectionnez un rôle, puis sélectionnez le rôle Approbateur des autorisations d'accès dans le menu.
- Cliquez sur Enregistrer.
Vous ajouter en tant qu'approbateur pour les demandes Access Approval et configurer les notifications
Pour vous ajouter en tant qu'approbateur afin d'examiner et d'approuver les demandes d'accès, procédez comme suit:
Accédez à la page Access Approval dans la console Google Cloud.
Cliquez sur
Gérer les paramètres.Pour activer les notifications par e-mail, ajoutez votre adresse e-mail dans le champ Adresse e-mail de l'utilisateur ou du groupe sous Configurer les notifications d'approbation.
Pour activer les notifications Pub/Sub, ajoutez votre sujet Pub/Sub dans le champ Sujet Pub/Sub sous Configurer les notifications d'approbation.
Sélectionner une clé de signature gérée par Google
Access Approval vérifie l'intégrité de l'autorisation d'accès à l'aide d'une clé de signature.
La clé de signature gérée par Google est l'option par défaut. L'utilisation d'une clé gérée par Google ne nécessite aucune configuration supplémentaire.
Examiner les demandes Access Approval
Maintenant que vous êtes inscrit à Access Approval et que vous vous êtes ajouté en tant qu'approbateur des demandes d'accès, attendez-vous à recevoir des notifications par e-mail pour ces demandes.
L'image suivante illustre un exemple de notification par e-mail envoyée par Access Approval lorsque le personnel de Google demande l'accès au contenu d'un client.
Pour examiner et approuver une demande d'accès entrante, procédez comme suit:
Accédez à la page Access Approval dans la console Google Cloud.
Pour accéder à cette page, vous pouvez également cliquer sur le lien figurant dans l'e-mail qui vous a été envoyé avec la demande d'approbation.
Cliquez sur Approuver.
Une fois la demande approuvée, le personnel de Google dont les caractéristiques correspondent à l'approbation, telles que la justification, le même emplacement ou le même bureau, peut accéder à la ressource spécifiée et à ses ressources enfants dans le délai approuvé.
Effectuer un nettoyage
-
Pour vous désinscrire d'Access Approval, procédez comme suit :
- Sur la page Access Approval de la console Google Cloud, cliquez sur Gérer les paramètres.
- Cliquez sur Se désinscrire.
- Dans la boîte de dialogue qui s'affiche, cliquez sur Se désinscrire.
- Pour désactiver Access Transparency pour votre organisation, contactez le Cloud Customer Care.
Aucune étape supplémentaire n'est requise pour éviter des frais sur votre compte.
Étapes suivantes
- Découvrez l'anatomie d'une demande d'accès.
- Découvrez comment approuver des demandes Access Approval.
- Découvrez comment consulter l'historique des demandes Access Approval.