Optional: Zugriffsgenehmigung mit einem benutzerdefinierten Signierschlüssel konfigurieren
In diesem Dokument wird beschrieben, wie Sie die Zugriffsgenehmigung mithilfe derGoogle Cloud Console einrichten, um einen optionalen benutzerdefinierten Signierschlüssel für Zugriffsgenehmigungsanfragen hinzuzufügen.
Hinweise
- Prüfen Sie, ob die Zugriffsbestätigung bereits aktiviert ist. Weitere Informationen finden Sie unter Zugriffsgenehmigung aktivieren.
Benutzerdefinierten Signierschlüssel konfigurieren (optional)
Bei der Zugriffsgenehmigung wird ein Signierschlüssel verwendet, um die Integrität der Anfrage zur Zugriffsgenehmigung zu überprüfen. Standardmäßig wird Google-owned and managed key verwendet.
Wenn Sie Cloud EKM aktiviert haben, können Sie einen extern verwalteten Signierschlüssel auswählen. Informationen zur Verwendung externer Schlüssel finden Sie in der Cloud EKM-Übersicht.
Sie können auch einen Cloud KMS-Signaturschlüssel mit einem Algorithmus Ihrer Wahl erstellen. Weitere Informationen finden Sie unter Asymmetrische Schlüssel erstellen.
Wenn Sie einen benutzerdefinierten Signierschlüssel verwenden möchten, folgen Sie der Anleitung in diesem Abschnitt.
E-Mail-Adresse des Dienstkontos abrufen
Die E-Mail-Adresse für das Dienstkonto hat das folgende Format:
service-PROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com
Ersetzen Sie PROJECT_NUMBER durch die Projektnummer.
Die E-Mail-Adresse für ein Dienstkonto in einem Projekt mit der Projektnummer 123456789 ist beispielsweise service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com.
So verwenden Sie Ihren Signierschlüssel:
Wählen Sie auf der Seite Access Approval in der Google Cloud Console die Option Cloud KMS-Signierschlüssel verwenden (erweitert) aus.
Fügen Sie die Ressourcen-ID der Crypto-Schlüsselversion hinzu.
Die Ressourcen-ID der kryptografischen Schlüsselversion muss das folgende Format haben:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
Weitere Informationen finden Sie unter Cloud KMS-Ressourcen-ID abrufen.
Klicken Sie auf Speichern, um die Einstellungen zu speichern.
Wenn Sie einen benutzerdefinierten Signaturschlüssel verwenden möchten, müssen Sie dem Access Approval-Dienstkonto für Ihr Projekt die IAM-Rolle Cloud KMS CryptoKey-Signer/Prüffunktion (
roles/cloudkms.signerVerifier) zuweisen.Wenn das Access Approval-Dienstkonto nicht die Berechtigungen hat, um mit dem von Ihnen angegebenen Schlüssel zu signieren, können Sie die erforderlichen Berechtigungen erteilen, indem Sie auf Gewähren klicken. Klicken Sie nach dem Erteilen der Berechtigungen auf Speichern.
Bereinigen
So entfernen Sie Ihren optionalen benutzerdefinierten Signaturschlüssel:
- Öffnen Sie auf der Seite „Genehmigung für den Zugriff“ in der Google Cloud Console die Einstellungen.
- Wählen Sie unter „Erweiterte Einstellungen“ die Standardoption für den Signaturschlüssel (Google) aus.