Examiner et approuver les demandes d'accès à l'aide d'une clé de signature personnalisée

Ce document explique comment configurer Access Approval à l'aide de la console Google Cloud et d'une clé de signature personnalisée pour recevoir des notifications par e-mail concernant les demandes d'accès sur un projet.

Access Approval garantit la présence d'une signature cryptographique permettant au personnel de Google d'accéder au contenu stocké sur Google Cloud.

Access Approval vous permet d'utiliser votre propre clé cryptographique pour signer la demande d'accès. Vous pouvez créer une clé à l'aide de Cloud Key Management Service ou utiliser une clé gérée en externe à l'aide de Cloud External Key Manager.

Avant de commencer

S'inscrire à Access Approval

Pour vous inscrire à Access Approval, procédez comme suit:

  1. Dans la console Google Cloud, sélectionnez le projet pour lequel vous souhaitez activer Access Approval.

    Accéder au sélecteur de projet

  2. Accédez à la page Access Approval.

    Accéder à Access Approval

  3. Pour vous inscrire à Access Approval, cliquez sur Enregistrer.

    Sélectionnez le bouton "Enregistrer".

  4. Dans la boîte de dialogue qui s'affiche, cliquez sur Enregistrer.

    Clause de non-responsabilité d'Access Approval concernant l'augmentation du temps d'assistance

Configurer les paramètres

Sur la page Access Approval de la console Google Cloud, cliquez sur Gérer les paramètres.

Sélectionnez le bouton "Gérer les paramètres".

Sélectionner les services

Par défaut, les services qui nécessitent Access Approval sont hérités de la ressource parente du projet. Vous pouvez étendre le champ d'application de l'enregistrement en sélectionnant l'option permettant d'activer automatiquement Access Approval pour tous les services compatibles.

Configurer les notifications par e-mail

Cette section explique comment recevoir des notifications de demande d'accès pour ce projet.

Attribuer le rôle IAM requis

Pour afficher et approuver les demandes d'accès, vous devez disposer du rôle IAM "Approbateur des autorisations d'accès" (roles/accessapproval.approver).

Pour vous attribuer ce rôle IAM, procédez comme suit:

  1. Accédez à la page IAM de la console Google Cloud.

    Accéder à IAM

  2. Dans l'onglet Afficher par comptes principaux, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionnez un rôle, puis sélectionnez le rôle Approbateur des autorisations d'accès dans le menu.
  5. Cliquez sur Enregistrer.

Vous ajouter en tant qu'approbateur pour les demandes Access Approval

Pour vous ajouter en tant qu'approbateur afin d'examiner et d'approuver les demandes d'accès, procédez comme suit:

  1. Accédez à la page Access Approval dans la console Google Cloud.

    Accéder à Access Approval

  2. Cliquez sur Gérer les paramètres.

  3. Sous Configurer les notifications d'approbation, ajoutez votre adresse e-mail dans le champ Adresse e-mail de l'utilisateur ou du groupe.

  4. Pour enregistrer les paramètres de notification, cliquez sur Enregistrer.

Utiliser une clé de signature personnalisée

Access Approval vérifie l'intégrité de l'autorisation d'accès à l'aide d'une clé de signature.

Si Cloud EKM est activé, vous pouvez choisir une clé de signature gérée en externe. Pour en savoir plus sur l'utilisation de clés externes, consultez la page Présentation de Cloud EKM.

Vous pouvez également choisir de créer une clé de signature Cloud KMS avec un algorithme de votre choix. Pour en savoir plus, consultez la page Créer des clés asymétriques.

Pour utiliser une clé de signature personnalisée, suivez les instructions de cette section.

Obtenir l'adresse e-mail du compte de service

L'adresse e-mail du compte de service se présente au format suivant:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Remplacez PROJECT_NUMBER par le numéro du projet.

Par exemple, l'adresse e-mail est service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com pour un compte de service dans un projet dont le numéro de projet est 123456789.

Pour utiliser votre clé de signature, procédez comme suit:

  1. Sur la page Access Approval de la console Google Cloud, sélectionnez Utiliser une clé de signature Cloud KMS (avancé).

  2. Ajoutez l'ID de ressource de la version de clé cryptographique.

    L'ID de ressource de la version de clé cryptographique doit se présenter au format suivant:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    Pour en savoir plus, consultez la section Obtenir un ID de ressource Cloud KMS.

  3. Pour enregistrer vos paramètres, cliquez sur Enregistrer.

    Pour utiliser une clé de signature personnalisée, vous devez attribuer le rôle IAM Signature/validation de CryptoKey Cloud KMS (roles/cloudkms.signerVerifier) au compte de service Access Approval de votre projet.

    Si le compte de service Access Approval ne dispose pas des autorisations nécessaires pour signer avec la clé que vous avez fournie, vous pouvez accorder les autorisations requises en cliquant sur Accorder. Une fois les autorisations accordées, cliquez sur Enregistrer.

    Enregistrez les paramètres sélectionnés.

Examiner les demandes Access Approval

Maintenant que vous êtes inscrit à Access Approval et que vous vous êtes ajouté en tant qu'approbateur des demandes d'accès, attendez-vous à recevoir des notifications par e-mail pour ces demandes.

L'image suivante illustre un exemple de notification par e-mail envoyée par Access Approval lorsque le personnel de Google demande l'accès au contenu d'un client.

Notification par e-mail envoyée lorsque le personnel de Google demande à accéder au contenu du client.

Pour examiner et approuver une demande d'accès entrante, procédez comme suit:

  1. Accédez à la page Access Approval dans la console Google Cloud.

    Accéder à Access Approval

    Pour accéder à cette page, vous pouvez également cliquer sur le lien figurant dans l'e-mail qui vous a été envoyé avec la demande d'approbation.

  2. Cliquez sur Approuver.

Une fois la demande approuvée, le personnel de Google dont les caractéristiques correspondent à l'approbation, telles que la même justification, le même emplacement ou le même emplacement de bureau, peut accéder à la ressource spécifiée et à ses ressources enfants dans le délai approuvé.

Effectuer un nettoyage

  1. Pour vous désinscrire d'Access Approval, procédez comme suit :
    1. Sur la page Access Approval de la console Google Cloud, cliquez sur Gérer les paramètres.
    2. Cliquez sur Se désinscrire.
    3. Dans la boîte de dialogue qui s'affiche, cliquez sur Se désinscrire.
  2. Pour désactiver Access Transparency pour votre organisation, contactez le Cloud Customer Care.

Aucune étape supplémentaire n'est requise pour éviter des frais sur votre compte.

Étapes suivantes