使用 Google 管理的签名密钥审核和批准访问权限请求
本文档介绍了如何使用 Google Cloud 控制台设置 Access Approval,以接收项目访问请求的电子邮件通知。
Access Approval 可确保 Google 员工在访问您存储在Google Cloud上的内容时,必须先获得经过加密签名的批准。
准备工作
- 为您的组织启用 Access Transparency。如需了解详情,请参阅启用 Access Transparency。
- 确保您具有 Access Approval Config Editor (
roles/accessapproval.configEditor
) IAM 角色。
注册 Access Approval
如需注册 Access Approval,请执行以下操作:
在 Google Cloud 控制台中,选择要为其启用 Access Approval 的项目。
前往 Access Approval 页面。
如需注册 Access Approval,请点击注册。
在随即打开的对话框中,点击注册。
配置设置
在 Google Cloud 控制台中的访问权限审批页面上,点击
管理设置。
选择服务
默认情况下,需要 Access Approval 的服务会从项目的父级资源继承。您可以选择自动为所有受支持的服务启用 Access Approval,从而扩大注册范围。
设置电子邮件和 Pub/Sub 通知
本部分介绍了如何接收此项目的访问权限请求通知。
为自己授予所需的 IAM 角色
如需查看和批准访问权限请求,您必须拥有 Access Approval Approver (roles/accessapproval.approver
) IAM 角色。
如需向自己授予此 IAM 角色,请执行以下操作:
- 在 Google Cloud 控制台中,前往 IAM 页面。
- 在按主账号查看标签页中,点击 授予访问权限。
- 在右侧窗格中的新的主账号字段中,输入您的电子邮件地址。
- 点击选择角色字段,然后从菜单中选择访问权限审批批准人角色。
- 点击保存。
将自己添加为访问权限审批请求的审批人并配置通知
如需将自己添加为审批人,以便审核和批准访问权限请求,请执行以下操作:
前往 Google Cloud 控制台中的访问权限审批页面。
点击
管理设置。如需启用电子邮件通知,请在设置审批通知下的用户或群组电子邮件地址字段中添加您的电子邮件地址。
如需启用 Pub/Sub 通知,请在设置审批通知下的 Pub/Sub 主题字段中添加您的 Pub/Sub 主题。
选择 Google 管理的签名密钥
访问权限审批会使用签名密钥来验证访问权限审批的完整性。
Google 管理的签名密钥是默认选项。使用Google-owned and managed key 无需任何额外配置。
审核 Access Approval 请求
现在,您已注册使用 Access Approval,并将自己添加为访问权限请求的审批人,因此您应该会收到访问权限请求的电子邮件通知。
下图显示了 Access Approval 在 Google 员工请求访问客户内容时发送的电子邮件通知示例。
如需查看并批准收到的访问权限请求,请执行以下操作:
前往 Google Cloud 控制台中的访问权限审批页面。
您也可以点击发送给您的电子邮件中带有批准请求的链接,以转到此页面。
点击批准。
您批准请求后,具有与批准相匹配的特征(例如,相同的理由、位置或办公桌位置)的 Google 人员可以在批准的时间范围内访问指定资源及其子资源。
清理
-
如需取消注册 Access Approval,请执行以下操作:
- 在 Google Cloud 控制台中的访问权限审批页面上,点击管理设置。
- 点击取消注册。
- 在随即打开的对话框中,点击取消注册。
- 如需为贵组织停用 Access Transparency,请与 Cloud Customer Care 联系。
无需采取其他步骤即可避免您的账号产生费用。
后续步骤
- 了解访问权限请求的构成。
- 了解如何批准 Access Approval 请求。
- 了解如何查看 Access Approval 历史请求。