Revisa y aprueba las solicitudes de acceso con una clave de firma personalizada | Access Approval

Cambiarán los nombres de algunos paquetes de control de Assured Workloads. Para obtener información sobre el cambio de nombre, consulta el Aviso de cambio de nombre del paquete de control.

Configura la Aprobación de acceso con una clave de firma personalizada (opcional)

En este documento, se muestra cómo configurar la Aprobación de acceso con la consola deGoogle Cloud para agregar una clave de firma personalizada opcional para las solicitudes de Aprobación de acceso.

Antes de comenzar

Asegúrate de que la Aprobación de acceso ya esté habilitada. Para obtener más información, consulta Cómo habilitar la Aprobación de acceso.

Configura una clave de firma personalizada (opcional)

La Aprobación de acceso usa una clave de firma para verificar la integridad de la solicitud de Aprobación de acceso. De forma predeterminada, se usa un Google-owned and managed key .

Si tienes habilitado Cloud EKM, puedes elegir una clave de firma administrada de forma externa. Para obtener información sobre el uso de claves externas, consulta la Descripción general de Cloud EKM.

También puedes crear una clave de firma de Cloud KMS con el algoritmo que elijas. Para obtener más información, consulta Crea claves asimétricas.

Para usar una clave de firma personalizada, sigue las instrucciones de esta sección.

Obtén la dirección de correo electrónico de la cuenta de servicio

La dirección de correo electrónico de la cuenta de servicio tiene el siguiente formato:

  service-PROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Reemplaza PROJECT_NUMBER por el número del proyecto.

Por ejemplo, la dirección de correo electrónico es service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com para una cuenta de servicio en un proyecto cuyo número es 123456789.

Para usar tu clave de firma, haz lo siguiente:

En la página Aprobación de acceso de la consola de Google Cloud , selecciona Usar una clave de firma de Cloud KMS (opción avanzada).
Agrega el ID del recurso de la versión de la clave criptográfica.

El ID de recurso de la versión de la clave criptográfica debe tener el siguiente formato:
```
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
```
Para obtener más información, consulta Obtén un ID de recurso de Cloud KMS.
Para guardar la configuración, haz clic en Guardar.

Para usar una clave de firma personalizada, debes otorgar el rol de IAM de firmante/verificador de CryptoKey de Cloud KMS (roles/cloudkms.signerVerifier) a la cuenta de servicio de Aprobación de acceso de tu proyecto.

Si la cuenta de servicio de Aprobación de acceso no tiene los permisos para firmar con la clave que proporcionaste, puedes otorgar los permisos necesarios haciendo clic en Otorgar. Después de otorgar los permisos, haz clic en Guardar.

Realiza una limpieza

Para quitar tu clave de firma personalizada opcional, haz lo siguiente:

En la página Aprobación de acceso de la consola de Google Cloud , abre la configuración.
En Configuración avanzada, selecciona la opción de clave de firma predeterminada (Google).

¿Qué sigue?

Obtén más información sobre la anatomía de una solicitud de acceso.
Obtén más información para aprobar solicitudes de aprobación de acceso.
Obtén más información para ver el historial de solicitudes de aprobación de acceso.