使用自定义签名密钥审核和批准访问请求
本文档介绍如何使用 Google Cloud Console 和自定义签名密钥设置 Access Approval,以接收项目访问请求的电子邮件通知。
Access Approval 可确保存在经过加密签名的批准,以便 Google 员工访问存储在 Google Cloud 上的内容。
借助 Access Approval,您可以使用自己的加密密钥为访问请求签名。您可以使用 Cloud Key Management Service 创建密钥,也可以使用 Cloud External Key Manager 引入外部管理的密钥。
准备工作
- 为您的组织启用 Access Transparency。如需了解详情,请参阅启用 Access Transparency。
- 确保您拥有 Access Approval Config Editor (
roles/accessapproval.configEditor
) IAM 角色。 - 要使用自定义签名密钥,请使用 Access Approval 自定义签名密钥���单进行注册。
注册 Access Approval
如需注册 Access Approval,请执行以下操作:
在 Cloud Console 中,选择您要为其启用 Access Approval 的项目。
转到 Access Approval 页面。
要注册 Access Approval,请点击注册。
在打开的对话框中,点击注册。
配置设置
在 Cloud Console 的 Access Approval 页面上,点击
Manage settings。
选择服务
默认情况下,需要 Access Approval 的服务会从项目的父级资源继承。您可以通过选择为所有支持的服务自动启用 Access Approval 的选项,来扩展注册范围。
设置电子邮件通知
本部分介绍如何接收此项目的访问权限请求通知。
授予所需的 IAM 角色
如需查看和批准访问请求,您必须具有 Access Approval Approver (roles/accessapproval.approver
) IAM 角色。
如需向自己授予此 IAM 角色,请执行以下操作:
- 转到 Cloud Console 中的 IAM 页面。
- 点击 Add(添加)。
- 在右侧窗格中的新主帐号字段中,输入您的电子邮件地址。
- 点击选择角色字段,然后从菜单中选择 Access Approval Approver 角色。
- 点击保存。
将您添加为 Access Approval 请求的审批人
要将您自己添加为审批人,以便您审核和批准访问权限请求,请执行以下操作:
转到 Cloud Console 中的 Access Approval 页面。
点击
管理设置。在设置审批通知下的用户或群组电子邮件地址字段中添加您的电子邮件地址。
要保存通知设置,请点击保存。
使用自定义签名密钥
Access Approval 使用签名密钥来验证 Access Approval 的完整性。
如果您启用了 Cloud EKM,则可以选择由外部管理的签名密钥。如需了解如何使用外部密钥,请参阅 Cloud EKM 概览。
您也可以选择使用所选的算法创建 Cloud KMS 签名密钥。如需了解详情,��参阅创建非对称密钥。
如需使用自定义签名密钥,请按照本部分中的说明操作。
授予所需的 IAM 角色
如需使用自定义签名密钥,您必须为项目的 Access Approval 服务帐号提供 Cloud KMS CryptoKey Signer/Verifier (roles/cloudkms.signerVerifier
) IAM 角色。
获取服务帐号的电子邮件地址
服务帐号的电子邮件地址采用以下格式:
service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com
将 PROJECT_NUMBER 替换为项目编号。
例如,对于项目编号为 123456789
的项目中的服务帐号,其电子邮件地址为 service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com
。
将 IAM 角色分配给服务帐号
要向服务帐号分配 Cloud KMS CryptoKey Signer/Verifier (roles/cloudkms.signerVerifier
) IAM 角色,请按以下说明操作:
转到 Cloud Console 中的密钥管理页面。
点击包含您要使用的密钥的密钥环的名称。
选中所需密钥对应的复选框。
在权限标签页中,点击添加主帐号。
在添加主帐号对话框中,在新主帐号字段中输入服务帐号的电子邮件地址。
在选择角色列表中,选择 Cloud KMS CryptoKey Signer/Verifier。
点击保存。
现在,您已将所需的 IAM 角色分配给服务帐号,请按照以下说明使用签名密钥:
在 Cloud Console 的 Access Approval 页面上,选择使用 Cloud KMS 签名密钥(高级)。
添加加密密钥版本资源 ID。
加密密钥版本资源 ID 必须采用以下格式:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
如需了解详情,请参阅获取 Cloud KMS 资源 ID。
要保存设置,请点击保存。
查看访问权限审批请求
现在,您已注册 Access Approval,并将自己添加为访问请求的审批人,接下来您应该会收到访问请求的电子邮件通知。
下图显示了一个示例电子邮件通知,在 Google 员工请求访问客户内容时,Access Approval 会发送此通知。
要查看和批准传入访问请求,请执行以下操作:
转到 Cloud Console 中的 Access Approval 页面。
要转到此页面,您也可以点击包含审批请求发送给您的电子邮件中的链接。
点击批准。
您批准请求后,特性与审批相匹配的 Google 人员(例如同一理由、位置或办公桌位置)可以在已获批准的时间范围内访问指定资源及其子资源。
清理
-
如需取消注册 Access Approval,请执行以下操作:
- 在 Cloud Console 的 Access Approval 页面上,点击管理设置。
- 点击取消注册。
- 在打开的对话框中,点击取消注册。
- 要为您的单位停用 Access Transparency,请与 Cloud Customer Care 联系。
无需采取其他步骤即可避免您的帐号产生费用。
后续步骤
- 了解访问请求分析。
- 了解如何批准 Access Approval 请求。
- 了解如何查看 Access Approval 的历史请求。