Revisar e aprovar solicitações de acesso usando uma chave de assinatura personalizada

Este documento mostra como configurar a aprovação de acesso usando o consoleGoogle Cloud e uma chave de assinatura personalizada para receber notificações por e-mail de solicitações de acesso em um projeto.

A aprovação de acesso garante que uma aprovação assinada criptograficamente esteja presente para que a equipe do Google acesse seu conteúdo armazenado no Google Cloud.

Com o Access Approval, você pode usar sua própria chave criptográfica para assinar o pedido de acesso. É possível criar uma chave usando o Cloud Key Management Service ou trazer uma chave gerenciada externamente usando o Cloud External Key Manager.

Antes de começar

Inscrever-se no Access Approval

Para se inscrever na Aprovação de acesso, faça o seguinte:

  1. No console Google Cloud , selecione o projeto em que você quer ativar a aprovação de acesso.

    Acessar o seletor de projetos

  2. Acesse a página Access Approval. Acessar a Aprovação de acesso

  3. Para se inscrever no Access Approval, clique em Inscrever-se. Inscreva-se no Access Approval.

  4. Na caixa de diálogo, selecione o modo de inscrição da política e clique em Inscrever. Exoneração de responsabilidade da aprovação de acesso sobre o aumento do tempo de suporte.

Modo principal de inscrição do Access Approval

É possível configurar a aprovação de acesso em um de três modos e mudar o modo a qualquer momento nas configurações de aprovação de acesso. Os seguintes modos podem ser selecionados:

  1. Transparência (recomendado): use este modo para registrar o acesso administrativo do Google. Consulte a documentação da transparência no acesso para mais informações.
  2. Suporte simplificado: use esse modo para aprovar automaticamente o acesso do atendimento ao cliente para trabalhar nos seus casos de suporte. O acesso para manutenção e reparo proativos exige aprovação com a aprovação de acesso.
  3. Aprovação de acesso: use esse modo para ativar a funcionalidade completa da Aprovação de acesso para todos os acessos.

Os registros de transparência no acesso são gerados automaticamente para todas as políticas do Access Approval.

Definir configurações

Na página Aprovação de acesso no Google Cloud console, clique em Gerenciar configurações.

Selecione o botão "Gerenciar configurações".

Selecionar serviços

As configurações da Aprovação de acesso, incluindo a lista de produtos ativados, são herdadas do recurso pai. É possível expandir o escopo da inscrição ativando a Aprovação de acesso para todos ou alguns serviços compatíveis.

Marque as caixas de seleção "Ativar serviços adicionais"

Configurar notificações por e-mail

Esta seção explica como receber notificações de solicitação de acesso para este projeto.

Revisar as configurações padrão

As configurações padrão regem o comportamento das solicitações de aprovação de acesso.

  • Preferir solicitações de aprovação específicas de recursos Define o escopo padrão das solicitações de aprovação de acesso. Por padrão, essa configuração fica desativada. Se você ativar essa configuração, o número de solicitações de aprovação de acesso que você recebe para acessar os mesmos dados poderá aumentar, o que pode atrasar a assistência do suporte do Google. Exemplo:
    • Desativado: recurso: product.googleapis.com/project/12345/
    • Ativado: recurso: product.googleapis.com/project/12345/instances/abcde
  • Quantidade padrão de dias até a solicitação de aprovação expirar Defina a expiração padrão para solicitações de aprovação de acesso. Isso pode ser mudado no momento da aprovação de cada solicitação.
  • Escopo de acesso máximo preferível Define o maior escopo de acesso a recursos recomendado para um administrador do Google solicitar. Por exemplo, quando definido como "Projeto", os administradores do Google solicitam acesso no nível do projeto ou do recurso.

Conceder o papel do IAM necessário

Para visualizar e aprovar solicitações de acesso, você precisa ter o papel do IAM de aprovador da aprovação de acesso (roles/accessapproval.approver).

Para conceder esse papel do IAM a você mesmo, faça o seguinte:

  1. Acesse a página IAM no console Google Cloud .

    Acessar o IAM

  2. Na guia Visualizar por principais, clique em Permitir acesso.
  3. No campo Novos participantes, no painel à direita, digite seu endereço de e-mail.
  4. Clique no campo Selecionar um papel e escolha a função Aprovador da aprovação de acesso no menu.
  5. Clique em Salvar.

Adicionar seu nome como aprovador de solicitações de aprovação de acesso e configurar notificações

Para se adicionar como aprovador e poder analisar e aprovar solicitações de acesso, faça o seguinte:

  1. Acesse a página Access Approval no console do Google Cloud .

    Acessar a Aprovação de acesso

  2. Clique em Gerenciar configurações.

  3. Para ativar as notificações por e-mail, adicione seu endereço de e-mail no campo E-mail do usuário ou grupo em Configurar notificações de aprovação.

  4. Para ativar as notificações do Pub/Sub, adicione seu tópico do Pub/Sub no campo Tópico do Pub/Sub em Configurar notificações de aprovação.

  5. Para salvar as configurações, clique em Salvar.

Usar uma chave de assinatura personalizada

O Access Approval usa uma chave de assinatura para verificar a integridade da solicitação.

Se o Cloud EKM estiver ativado, você poderá escolher uma chave de assinatura gerenciada externamente. Para informações sobre como usar chaves externas, consulte a Visão geral do Cloud EKM.

Também é possível criar uma chave de assinatura do Cloud KMS com um algoritmo de sua escolha. Para mais informações, consulte Como criar chaves assimétricas.

Para usar uma chave de assinatura personalizada, siga as instruções nesta seção.

Pegue o endereço de e-mail da conta de serviço

O endereço de e-mail da conta de serviço tem o seguinte formato:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Substitua PROJECT_NUMBER pelo número do projeto.

Por exemplo, o endereço de e-mail é service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com para uma conta de serviço em um projeto cujo número é 123456789.

Para usar sua chave de assinatura, faça o seguinte:

  1. Na página Aprovação de acesso no console Google Cloud , selecione Usar uma chave de assinatura do Cloud KMS (avançado).

  2. Adicione o ID do recurso da versão da chave criptográfica.

    O ID do recurso da versão da chave criptográfica precisa ter o seguinte formato:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    Para mais informações, consulte Como conseguir um ID de recurso do Cloud KMS.

  3. Para salvar as configurações, clique em Salvar.

    Para usar uma chave de assinatura personalizada, conceda o papel do IAM Signatário/verificador de CryptoKey do Cloud KMS (roles/cloudkms.signerVerifier) à conta de serviço da Aprovação de acesso do seu projeto.

    Se a conta de serviço da Aprovação de acesso não tiver as permissões para assinar com a chave fornecida, clique em Conceder para conceder as permissões necessárias. Depois de conceder as permissões, clique em Salvar.

    Salve as configurações selecionadas.

Analisar solicitações de aprovação de acesso

Agora que você se inscreveu na Aprovação de acesso e se adicionou como aprovador de solicitações de acesso, vai receber notificações por e-mail sobre essas solicitações.

A imagem a seguir mostra um exemplo de notificação por e-mail que o Access Approval envia quando a equipe do Google solicita acesso aos dados do cliente.

A notificação por e-mail enviada quando a equipe do Google solicita acesso aos Dados do cliente.

Para revisar e aprovar uma solicitação de acesso recebida, faça o seguinte:

  1. Acesse a página Access Approval no console do Google Cloud .

    Acessar a Aprovação de acesso

    Para acessar esta página, clique no link no e-mail enviado a você com a solicitação de aprovação.

  2. Clique em Aprovar.

Depois que você aprovar a solicitação, a equipe do Google com características que correspondem à aprovação, como mesma justificativa, local ou local do espaço de trabalho, poderá acessar o recurso especificado e os recursos filhos dele dentro do prazo aprovado.

Limpar

  1. Para cancelar a inscrição da Aprovação de acesso, faça o seguinte:
    1. Na página Aprovação de acesso no console do Google Cloud , clique em Gerenciar configurações.
    2. Clique em Cancelar inscrição.
    3. Na caixa de diálogo exibida, clique em Cancelar inscrição.
  2. Para desativar a transparência no acesso na sua organização, entre em contato com o Cloud Customer Care.

Não são necessárias etapas adicionais para evitar cobranças na sua conta.

A seguir