使用 Google 代管的簽署金鑰，審查及核准存取要求

註冊 Access Approval

如要註冊 Access Approval，請按照下列步驟操作：

1. 在 Google Cloud 控制台選取要啟用存取核准的專案。

   前往專案選取器

2. 前往「Access Approval」頁面。

   前往存取權核准頁面

3. 如要註冊 Access Approval，請按一下「註冊」。

   

4. 在對話方塊中，選取政策的註冊模式，然後按一下「註冊」。

   

存取權核准主要註冊模式

您可以透過三種模式之一設定 Access Approval，並隨時在 Access Approval 設定中變更模式。可選模式如下：

1. 透明模式 (建議)：使用這個模式只會記錄 Google 管理員對工作負載的存取權，不會中斷 Google 對支援案件的支援，也不會中斷工作負載的主動維護作業。詳情請參閱資料存取透明化控管機制說明文件。
2. 簡化支援服務 (預先發布版)：使用這個模式，自動核准客戶服務團隊存取權，以處理支援案件。系統會透過 Access Approval 要求核准主動維修存取權。這項功能目前為預先發布版。
3. Access Approval：啟用這個模式，即可為所有存取作業啟用完整 Access Approval 功能。

系統會自動為所有存取權核准模式產生「資料存取透明化控管機制」記錄。

調整設定

在 Google Cloud 控制台的「存取核准」頁面中，按一下「管理設定」settings。

選取服務

Access Approval 設定 (包括已啟用產品的清單) 會沿用父項資源的設定。您可以為所有或所選的額外支援服務啟用 Access Approval，擴大註冊範圍。

設定電子郵件和 Pub/Sub 通知

本節說明如何接收這個專案的存取要求通知。

將必要的 IAM 角色授予自己

如要查看及核准存取要求，您必須具備存取權核准要求核准者 (roles/accessapproval.approver) IAM 角色。

如要將這個 IAM 角色授予自己，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「IAM」IAM頁面。

   前往「IAM」頁面

2. 在「按照主體查看」分頁中，按一下「授予存取權」person_add。
3. 在右側窗格的「New principals」(新增主體) 欄位中，輸入您的電子郵件地址。
4. 按一下「選取角色」欄位，然後從選單中選取「存取核准核准者」角色。
5. 按一下「Save」(儲存)。

將自己新增為存取權核准要求核准者，並設定通知

如要將自己新增為核准者，以便審查及核准存取要求，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「存取權核准」頁面。

   前往存取權核准頁面

2. 按一下「管理設定」settings。

3. 如要啟用電子郵件通知，請在「設定核准通知」下方的「使用者或群組電子郵件」欄位中新增電子郵件地址。

4. 如要啟用 Pub/Sub 通知，請在「設定核准通知」下方的「Pub/Sub 主題」欄位中新增 Pub/Sub 主題。

選取由 Google 代管的簽署金鑰

Access Approval 會使用簽署金鑰，驗證 Access Approval 要求的完整性。

Google 代管的簽署金鑰是預設選項。使用Google-owned and managed key 不需要任何額外設定。

查看存取權核准要求

您已註冊存取權核准服務，並將自己新增為存取要求核准者，因此會收到存取要求電子郵件通知。

下圖顯示 Google 人員要求存取「客戶資料」時，Access Approval 傳送的電子郵件通知範例。

如要審查及核准存取要求，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「存取權核准」頁面。

   前往存取權核准頁面

   如要前往這個頁面，也可以點選系統傳送給您的電子郵件中的連結 (內含核准要求)。

2. 按一下「核准」。

核准要求後，Google 員工只要特徵符合核准條件 (例如相同的理由、地點或辦公室位置)，就能在核准的時間範圍內存取指定資源及其子項資源。