使用 Google 管理的签名密钥审核和批准访问请求
本文档介绍如何使用 Google Cloud Console 设置 Access Approval,以接收项目访问请求的电子邮件通知。
Access Approval 可确保存在经过加密签名的批准,以便 Google 员工访问存储在 Google Cloud 上的内容。
准备工作
- 为您的组织启用 Access Transparency。如需了解详情,请参阅启用 Access Transparency。
- 确保您拥有 Access Approval Config Editor (
roles/accessapproval.configEditor) IAM 角色。
注册 Access Approval
如需注册 Access Approval,请执行以下操作:
在 Cloud Console 中,选择您要为其启用 Access Approval 的项目。
转到 Access Approval 页面。
要注册 Access Approval,请点击注册。
在打开的对话框中,点击注册。
配置设置
在 Cloud Console 的 Access Approval 页面上,点击 Manage settings。
选择服务
默认情况下,需要 Access Approval 的服务会从项目的父级资源继承。您可以通过选择为所有支持的服务自动启用 Access Approval 的选项,来扩展注册范围。
设置电子邮件通知
本部分介绍如何接收此项目的访问权限请求通知。
为自己授予所需的 IAM 角色
如需查看和批准访问请求,您必须具有 Access Approval Approver (roles/accessapproval.approver) IAM 角色。
如需向自己授予此 IAM 角色,请执行以下操作:
- 转到 Cloud Console 中的 IAM 页面。
- 点击 Add(添加)。
- 在右侧窗格中的新主帐号字段中,输入您的电子邮件地址。
- 点击选择角色字段,然后从菜单中选择 Access Approval Approver 角色。
- 点击保存。
将您添加为 Access Approval 请求的审批人
要将您自己添加为审批人,以便您审核和批准访问权限请求,请执行以下操作:
转到 Cloud Console 中的 Access Approval 页面。
点击 管理设置。
在设置审批通知下的用户或群组电子邮件地址字段中添加您的电子邮件地址。
选择 Google 管理的签名密钥
Access Approval 使用签名密钥来验证 Access Approval 的完整性。
默认使用 Google 管理的签名密钥。使用 Google 管理的密钥不需要任何其他配置。
查看访问权限审批请求
现在,您已注册 Access Approval,并将自己添加为访问请求的审批人,接下来您应该会收到访问请求的电子邮件通知。
下图显示了一个示例电子邮件通知,在 Google 员工请求访问客户内容时,Access Approval 会发送此通知。
要查看和批准传入访问请求,请执行以下操作:
转到 Cloud Console 中的 Access Approval 页面。
要转到此页面,您也可以点击包含审批请求发送给您的电子邮件中的链接。
点击批准。
您批准请求后,特征与审批相匹配的 Google 人员(例如同一理由、位置或办公桌位置)可以在批准的时间范围内访问指定的资源及其子资源。
清理
-
如需取消注册 Access Approval,请执行以下操作:
- 在 Cloud Console 的 Access Approval 页面上,点击管理设置。
- 点击取消注册。
- 在打开的对话框中,点击取消注册。
- 要为您的单位停用 Access Transparency,请与 Cloud Customer Care 联系。
无需采取其他步骤即可避免您的帐号产生费用。
后续步骤
- 了解访问请求分析。
- 了解如何批准 Access Approval 请求。
- 了解如何查看 Access Approval 历史请求。