Examiner et approuver les demandes d'accès à l'aide d'une clé de signature personnalisée | Access Approval

Les noms de certains packages de contrôle Assured Workloads changent. Pour en savoir plus sur ce changement de nom, consultez la notification de changement de nom du package de contrôle.

(Facultatif) Configurer Access Approval avec une clé de signature personnalisée

Ce document explique comment configurer Access Approval à l'aide de la consoleGoogle Cloud pour ajouter une clé de signature personnalisée facultative pour les demandes Access Approval.

Avant de commencer

Assurez-vous qu'Access Approval est déjà activé. Pour en savoir plus, consultez Activer l'approbation de l'accès.

Configurer une clé de signature personnalisée (facultatif)

Access Approval utilise une clé de signature pour vérifier l'intégrité de la demande Access Approval. Par défaut, un Google-owned and managed key est utilisé.

Si Cloud EKM est activé, vous pouvez choisir une clé de signature gérée en externe. Pour en savoir plus sur l'utilisation de clés externes, consultez la présentation de Cloud EKM.

Vous pouvez également choisir de créer une clé de signature Cloud KMS avec l'algorithme de votre choix. Pour en savoir plus, consultez Créer des clés asymétriques.

Pour utiliser une clé de signature personnalisée, suivez les instructions de cette section.

Obtenir l'adresse e-mail du compte de service

L'adresse e-mail du compte de service est au format suivant :

  service-PROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Remplacez PROJECT_NUMBER par le numéro du projet.

Par exemple, l'adresse e-mail service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com correspond à un compte de service dans un projet dont le numéro est 123456789.

Pour utiliser votre clé de signature :

Sur la page Approbation de l'accès de la console Google Cloud , sélectionnez Utiliser une clé de signature Cloud KMS (avancé).
Ajoutez l'ID de ressource de la version de la clé cryptographique.

L'ID de ressource de la version de clé cryptographique doit se présenter comme suit :
```
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
```
Pour en savoir plus, consultez Obtenir un ID de ressource Cloud KMS.
Pour enregistrer vos paramètres, cliquez sur Enregistrer.

Pour utiliser une clé de signature personnalisée, vous devez accorder le rôle IAM Signataire/Validateur de CryptoKeys Cloud KMS (roles/cloudkms.signerVerifier) au compte de service Access Approval pour votre projet.

Si le compte de service Access Approval ne dispose pas des autorisations nécessaires pour signer avec la clé que vous avez fournie, vous pouvez accorder les autorisations requises en cliquant sur Accorder. Après avoir accordé les autorisations, cliquez sur Enregistrer.

Effectuer un nettoyage

Pour supprimer votre clé de signature personnalisée facultative :

Sur la page "Approbation de l'accès" de la console Google Cloud , ouvrez les paramètres.
Sous "Paramètres avancés", sélectionnez l'option de clé de signature par défaut (Google).

Étapes suivantes

Découvrez l'anatomie d'une demande d'accès.
Découvrez comment approuver les demandes Access Approval.
Découvrez comment afficher l'historique des demandes Access Approval.