Examiner et approuver les demandes d'accès à l'aide d'une clé de signature gérée par Google
Ce document vous explique comment configurer Access Approval à l'aide de Google Cloud Console pour recevoir des notifications par e-mail des demandes d'accès pour un projet.
La fonctionnalité Access Approval garantit qu'une approbation signée de manière cryptographique est disponible pour que le personnel de Google puisse accéder à votre contenu stocké sur Google Cloud.
Avant de commencer
- Activez Access Transparency pour votre organisation. Pour en savoir plus, consultez la page Activer Access Transparency.
- Assurez-vous de disposer du rôle IAM Éditeur pour la configuration d'Access Approval (
roles/accessapproval.configEditor
).
S'inscrire à Access Approval
Pour vous inscrire à Access Approval, procédez comme suit:
Dans Cloud Console, sélectionnez le projet pour lequel vous souhaitez activer Access Approval.
Accédez à la page Access Approval
Pour vous inscrire à Access Approval, cliquez sur S'inscrire.
Dans la boîte de dialogue qui s'ouvre, cliquez sur S'inscrire.
Configurer les paramètres
Sur la page Access Approval dans Cloud Console, cliquez sur
Gérer les paramètres.
Sélectionner les services
Par défaut, les services nécessitant Access Approval sont hérités de la ressource parente du projet. Vous pouvez étendre le champ d'application de l'enregistrement en sélectionnant l'option permettant d'activer automatiquement Access Approval pour tous les services compatibles.
Configurer les notifications par e-mail
Cette section explique comment recevoir des notifications de demande d'accès pour ce projet.
Accordez-vous le rôle IAM requis.
Pour afficher et approuver les demandes d'accès, vous devez disposer du rôle IAM Validateur Access Approval (roles/accessapproval.approver
).
Pour vous attribuer ce rôle IAM, procédez comme suit:
- Accédez à la page IAM de Cloud Console.
- Cliquez sur Ajouter.
- Dans le champ Nouveaux comptes principaux dans le volet de droite, saisissez votre adresse e-mail.
- Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le rôle Approbateur des autorisations d'accès dans le menu.
- Cliquez sur Enregistrer.
Vous ajouter en tant qu'approbateur pour les demandes Access Approval
Pour vous ajouter en tant qu'approbateur afin que vous puissiez examiner et approuver les demandes d'accès, procédez comme suit:
Accédez à la page Access Approval dans Cloud Console.
Cliquez sur
Gérer les paramètres.Sous Configurer des notifications d'approbation, ajoutez votre adresse e-mail dans le champ Adresse e-mail d'utilisateur ou de groupe.
Sélectionner une clé de signature gérée par Google
Access Approval utilise une clé de signature pour vérifier l'intégrité de l'approbation d'accès.
L'option par défaut est une clé de signature gérée par Google. L'utilisation d'une clé gérée par Google ne nécessite aucune configuration supplémentaire.
Examiner les demandes d'autorisation d'accès
Maintenant que vous êtes inscrit à Access Approval et que vous vous êtes ajouté en tant qu'approbateur pour les demandes d'accès, vous devriez recevoir des notifications par e-mail pour les demandes d'accès.
L'image suivante montre un exemple de notification envoyée par Access Approval lorsque le personnel de Google demande l'accès au contenu du client.
Pour examiner et approuver une demande d'accès entrant, procédez comme suit:
Accédez à la page Access Approval dans Cloud Console.
Accéder à la page "Access Approval"
Pour accéder à cette page, vous pouvez également cliquer sur le lien figurant dans l'e-mail qui vous a été envoyé avec la demande d'approbation.
Cliquez sur Approuver.
Une fois que vous avez approuvé la demande, le personnel de Google dont les caractéristiques correspondent à l'approbation (par exemple, même justification, emplacement ou emplacement du bureau) peut accéder à la ressource spécifiée et à ses ressources enfants dans le délai imparti.
Effectuer un nettoyage
-
Pour vous désinscrire d'Access Approval, procédez comme suit :
- Sur la page Access Approval dans Cloud Console, cliquez sur Gérer les paramètres.
- Cliquez sur Se désinscrire.
- Dans la boîte de dialogue qui s'ouvre, cliquez sur Se désinscrire.
- Pour désactiver Access Transparency pour votre organisation, contactez le service client Cloud.
Aucune étape supplémentaire n'est requise pour éviter des frais sur votre compte.
Étapes suivantes
- Découvrez l'anatomie d'une demande d'accès.
- Découvrez comment approuver les demandes d'approbation d'accès.
- Découvrez comment consulter l'historique des demandes d'approbation d'accès.