Guide de démarrage rapide: examiner les demandes d'accès à l'aide d'une clé de signature personnalisée

Examiner et approuver les demandes d'accès à l'aide d'une clé de signature personnalisée

Ce document explique comment configurer Access Approval à l'aide de Google Cloud Console et d'une clé de signature personnalisée pour recevoir des notifications par e-mail des demandes d'accès sur un projet.

La fonctionnalité Access Approval garantit qu'une approbation signée de manière cryptographique est disponible pour que le personnel de Google puisse accéder à votre contenu stocké sur Google Cloud.

Access Approval vous permet d'utiliser votre propre clé cryptographique pour signer la requête d'accès. Vous pouvez créer une clé à l'aide de Cloud Key Management Service ou importer une clé gérée en externe à l'aide de Cloud External Key Manager.

Avant de commencer

S'inscrire à Access Approval

Pour vous inscrire à Access Approval, procédez comme suit:

  1. Dans Cloud Console, sélectionnez le projet pour lequel vous souhaitez activer Access Approval.

    Accéder au sélecteur de projet

  2. Accédez à la page Access Approval

    Accéder à la page "Access Approval"

  3. Pour vous inscrire à Access Approval, cliquez sur S'inscrire.

    Sélectionnez le bouton "Inscrire".

  4. Dans la boîte de dialogue qui s'ouvre, cliquez sur S'inscrire.

    Consultez la clause de non-responsabilité d'Access Approval en cas de délai d'assistance plus long.

Configurer les paramètres

Sur la page Access Approval dans Cloud Console, cliquez sur Gérer les paramètres.

Sélectionnez le bouton "Gérer les paramètres".

Sélectionner les services

Par défaut, les services nécessitant Access Approval sont hérités de la ressource parente du projet. Vous pouvez étendre le champ d'application de l'enregistrement en sélectionnant l'option permettant d'activer automatiquement Access Approval pour tous les services compatibles.

Configurer les notifications par e-mail

Cette section explique comment recevoir des notifications de demande d'accès pour ce projet.

Accorder le rôle IAM requis

Pour afficher et approuver les demandes d'accès, vous devez disposer du rôle IAM Validateur Access Approval (roles/accessapproval.approver).

Pour vous attribuer ce rôle IAM, procédez comme suit:

  1. Accédez à la page IAM de Cloud Console.

    Accéder à IAM

  2. Cliquez sur Ajouter.
  3. Dans le champ Nouveaux comptes principaux dans le volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le rôle Approbateur des autorisations d'accès dans le menu.
  5. Cliquez sur Enregistrer.

Vous ajouter en tant qu'approbateur pour les demandes Access Approval

Pour vous ajouter en tant qu'approbateur afin que vous puissiez examiner et approuver les demandes d'accès, procédez comme suit:

  1. Accédez à la page Access Approval dans Cloud Console.

    Accéder à la page "Access Approval"

  2. Cliquez sur Gérer les paramètres.

  3. Sous Configurer des notifications d'approbation, ajoutez votre adresse e-mail dans le champ Adresse e-mail d'utilisateur ou de groupe.

  4. Pour enregistrer les paramètres de notification, cliquez sur Enregistrer.

Utiliser une clé de signature personnalisée

Access Approval utilise une clé de signature pour vérifier l'intégrité de l'approbation d'accès.

Si Cloud EKM est activé, vous pouvez choisir une clé de signature gérée en externe. Pour en savoir plus sur l'utilisation de clés externes, consultez la page Présentation de Cloud EKM.

Vous pouvez également choisir de créer une clé de signature Cloud KMS avec l'algorithme de votre choix. Pour en savoir plus, consultez la page Créer des clés asymétriques.

Pour utiliser une clé de signature personnalisée, suivez les instructions de cette section.

Accorder le rôle IAM requis

Pour utiliser une clé de signature personnalisée, vous devez attribuer le rôle IAM Cloud KMS CryptoKey Signer/Verifier (roles/cloudkms.signerVerifier) au compte de service Access Approval pour votre projet.

Obtenir l'adresse e-mail du compte de service

L'adresse e-mail du compte de service est au format suivant:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Remplacez PROJECT_NUMBER par le numéro du projet.

Par exemple, l'adresse e-mail est service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com pour un compte de service dans un projet dont le numéro de projet est 123456789.

Attribuer le rôle IAM au compte de service

Pour attribuer le rôle IAM "Signataire/Validateur de CryptoKeys Cloud KMS (roles/cloudkms.signerVerifier)" au compte de service, procédez comme suit:

  1. Accédez à la page Gestion des clés dans Cloud Console.

    Accéder à la page "Gestion des clés"

  2. Cliquez sur le nom du trousseau de clés contenant la clé que vous souhaitez utiliser.

  3. Cochez la case correspondant à la clé souhaitée.

  4. Dans l'onglet Autorisations, cliquez sur Ajouter un compte principal.

  5. Dans la boîte de dialogue Ajouter des comptes principaux, saisissez l'adresse e-mail du compte de service dans le champ Nouveaux comptes principaux.

  6. Dans la liste Sélectionner un rôle, sélectionnez Signataire/Validateur de CryptoKeys Cloud KMS.

  7. Cliquez sur Enregistrer.

Maintenant que vous avez attribué le rôle IAM requis au compte de service, suivez les instructions ci-dessous pour utiliser votre clé de signature:

  1. Sur la page Access Approval dans Cloud Console, sélectionnez Utiliser une clé de signature Cloud KMS (avancé).

  2. Ajoutez l'ID de ressource de la version de clé cryptographique.

    L'ID de ressource de la version de clé cryptographique doit respecter le format suivant:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
    

    Pour en savoir plus, consultez la section Obtenir un ID de ressource Cloud KMS.

  3. Pour enregistrer vos paramètres, cliquez sur Enregistrer.

    Enregistrez les paramètres sélectionnés.

Examiner les demandes d'autorisation d'accès

Maintenant que vous êtes inscrit à Access Approval et que vous vous êtes ajouté en tant qu'approbateur pour les demandes d'accès, vous devriez recevoir des notifications par e-mail pour les demandes d'accès.

L'image suivante montre un exemple de notification envoyée par Access Approval lorsque le personnel de Google demande l'accès au contenu du client.

Notification par e-mail envoyée lorsque le personnel de Google demande l'accès au contenu du client.

Pour examiner et approuver une demande d'accès entrant, procédez comme suit:

  1. Accédez à la page Access Approval dans Cloud Console.

    Accéder à la page "Access Approval"

    Pour accéder à cette page, vous pouvez également cliquer sur le lien figurant dans l'e-mail qui vous a été envoyé avec la demande d'approbation.

  2. Cliquez sur Approuver.

Une fois que vous avez approuvé la requête, le personnel de Google dont les caractéristiques correspondent à l'approbation (par exemple, la même justification, le même emplacement ou le même bureau) peut accéder à la ressource spécifiée et à ses ressources enfants dans le délai imparti.

Effectuer un nettoyage

  1. Pour vous désinscrire d'Access Approval, procédez comme suit :
    1. Sur la page Access Approval dans Cloud Console, cliquez sur Gérer les paramètres.
    2. Cliquez sur Se désinscrire.
    3. Dans la boîte de dialogue qui s'ouvre, cliquez sur Se désinscrire.
  2. Pour désactiver Access Transparency pour votre organisation, contactez le service client Cloud.

Aucune étape supplémentaire n'est requise pour éviter des frais sur votre compte.

Étapes suivantes