使用自訂簽署金鑰審查及核准存取要求

本文說明如何使用Google Cloud 控制台和自訂簽署金鑰設定 Access Approval,以便在他人對專案提出存取要求時收到電子郵件通知。

Access Approval 可確保 Google 人員必須取得經過加密簽署的核准,才能存取儲存在Google Cloud的內容。

您可以透過 Access Approval 自行提供加密編譯金鑰,用來簽署存取要求。您可以使用 Cloud Key Management Service 建立金鑰,也可以使用 Cloud External Key Manager 匯入外部代管金鑰。

事前準備

註冊 Access Approval

如要註冊 Access Approval,請按照下列步驟操作:

  1. 在 Google Cloud 控制台選取要啟用存取核准的專案。

    前往專案選取器

  2. 前往「Access Approval」頁面。 前往存取權核准頁面

  3. 如要註冊 Access Approval,請按一下「註冊」註冊 Access Approval。

  4. 在對話方塊中,選取政策的註冊模式,然後按一下「註冊」存取權核准免責事項:支援時間會延長。

存取權核准主要註冊模式

您可以透過三種模式之一設定 Access Approval,並隨時在 Access Approval 設定中變更模式。可選模式如下:

  1. 透明化 (建議):使用這個模式記錄 Google 管理權限。詳情請參閱資料存取透明化控管機制說明文件
  2. 簡化支援服務:使用這個模式,系統會自動核准客戶服務人員存取權,處理您的支援案件。如要主動維護和維修,必須透過 Access Approval 核准。
  3. 存取權核准:使用這個模式可為所有存取權啟用完整存取權核准功能。

系統會針對所有存取核准政策自動產生資料存取透明化控管機制記錄。

調整設定

在 Google Cloud 控制台的「存取核准」頁面中,按一下「管理設定」

選取「管理設定」按鈕。

選取服務

Access Approval 設定 (包括已啟用產品的清單) 會沿用上層資源的設定。您可以為所有或所選的支援服務啟用 Access Approval,擴大註冊範圍。

勾選「啟用其他服務」核取方塊

設定電子郵件通知

本節說明如何接收這個專案的存取要求通知。

查看預設設定

預設設定會控管存取權核准要求的行為。

  • 偏好資源專屬核准要求 設定存取權核准要求的預設範圍。這項設定預設為停用。啟用這項設定後,您可能會收到更多存取相同資料的 Access Approval 要求,導致 Google 支援團隊延後提供協助。示例:
    • 已停用:資源:product.googleapis.com/project/12345/
    • 已啟用:資源:product.googleapis.com/project/12345/instances/abcde
  • 核准要求預設失效時間 設定存取權核准要求的預設失效時間。您可以在核准每項要求時變更這項設定。
  • 偏好的最大存取範圍 設定 Google 管理員要求存取權時,建議的最大資源存取範圍。 舉例來說,如果設為「專案」,Google 管理員會要求專案或資源層級的存取權。

授予必要的 IAM 角色

如要查看及核准存取要求,您必須具備存取權核准要求核准者 (roles/accessapproval.approver) IAM 角色。

如要將這個 IAM 角色授予自己,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「IAM」頁面。

    前往 IAM

  2. 在「按照主體查看」分頁中,點選「授予存取權」
  3. 在右側窗格的「New principals」(新增主體) 欄位中,輸入您的電子郵件地址。
  4. 按一下「選取角色」欄位,然後從選單中選取「存取核准核准者」角色。
  5. 按一下「Save」(儲存)

將自己新增為存取權核准要求核准者,並設定通知

如要將自己新增為核准者,以便審查及核准存取要求,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「存取權核准」頁面。

    前往存取權核准頁面

  2. 按一下「管理設定」

  3. 如要啟用電子郵件通知,請在「設定核准通知」下方的「使用者或群組電子郵件」欄位中新增電子郵件地址。

  4. 如要啟用 Pub/Sub 通知,請在「設定核准通知」下方的「Pub/Sub 主題」欄位中新增 Pub/Sub 主題。

  5. 如要儲存設定,請按一下「儲存」

使用自訂簽署金鑰

Access Approval 會使用簽署金鑰,驗證 Access Approval 要求的完整性。

如果已啟用 Cloud EKM,您可以選擇外部代管的簽署金鑰。如要瞭解如何使用外部金鑰,請參閱 Cloud EKM 總覽

您也可以選擇使用所選演算法建立 Cloud KMS 簽署金鑰。詳情請參閱「建立非對稱金鑰」。

如要使用自訂簽署金鑰,請按照本節中的操作說明進行。

取得服務帳戶的電子郵件地址

服務帳戶的電子郵件地址格式如下:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

PROJECT_NUMBER 替換為專案編號。

舉例來說,如果專案編號為 123456789,該專案中服務帳戶的電子郵件地址就是 service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com

如要使用簽署金鑰,請執行下列操作:

  1. 在 Google Cloud 控制台的「存取核准」頁面中,選取「使用 Cloud KMS 簽署金鑰 (進階)」

  2. 新增加密編譯金鑰版本資源 ID。

    加密金鑰版本資源 ID 必須採用下列格式:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    詳情請參閱「取得 Cloud KMS 資源 ID」。

  3. 如要儲存設定,請按一下「儲存」

    如要使用自訂簽署金鑰,您必須將 Cloud KMS CryptoKey Signer/Verifier (roles/cloudkms.signerVerifier) IAM 角色授予專案的存取核准服務帳戶。

    如果存取核准服務帳戶沒有權限,無法使用您提供的金鑰簽署,請按一下「授予」,授予必要權限。授予權限後,按一下「儲存」

    儲存所選設定。

查看存取權核准要求

您已註冊存取權核准服務,並將自己新增為存取要求核准者,因此會收到存取要求電子郵件通知。

下圖顯示 Google 人員要求存取「客戶資料」時,Access Approval 傳送的電子郵件通知範例。

Google 人員要求存取「客戶資料」時傳送的電子郵件通知。

如要審查及核准存取要求,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「存取權核准」頁面。

    前往存取權核准頁面

    如要前往這個頁面,也可以點選系統傳送給您的電子郵件中的連結 (內含核准要求)。

  2. 按一下「核准」。

核准要求後,Google 員工只要具備與核准內容相符的特徵,例如相同的理由、位置或辦公室位置,就能在核准的時間範圍內存取指定資源及其子資源。

清除所用資源

  1. 如要取消註冊 Access Approval,請按照下列步驟操作:
    1. 在 Google Cloud 控制台的「存取核准」頁面中, 按一下「管理設定」
    2. 按一下「取消註冊」
    3. 在開啟的對話方塊中,按一下「取消註冊」
  2. 如要為貴機構停用資料存取透明化控管機制,請與 Cloud 客戶服務聯絡。

如要避免系統向您的帳戶收取費用,不需要採取其他步驟。

後續步驟