Mengonfigurasi kunci penandatanganan kustom (Opsional)

Persetujuan Akses menggunakan kunci penandatanganan untuk memverifikasi integritas permintaan Persetujuan Akses. Secara default, Google-owned and managed key digunakan.

Jika Cloud EKM diaktifkan, Anda dapat memilih kunci penandatanganan yang dikelola secara eksternal. Untuk mengetahui informasi tentang penggunaan kunci eksternal, lihat Ringkasan Cloud EKM.

Anda juga dapat memilih untuk membuat kunci penandatanganan Cloud KMS dengan algoritma pilihan Anda. Untuk mengetahui informasi selengkapnya, lihat Membuat kunci asimetris.

Untuk menggunakan kunci penandatanganan kustom, ikuti petunjuk di bagian ini.

Dapatkan alamat email akun layanan

Alamat email untuk akun layanan memiliki format berikut:

  service-PROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Ganti PROJECT_NUMBER dengan nomor project.

Misalnya, alamat emailnya adalah service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com untuk akun layanan dalam project yang nomor projectnya adalah 123456789.

Untuk menggunakan kunci penandatanganan Anda, lakukan hal berikut:

1. Di halaman Persetujuan Akses di konsol Google Cloud , pilih Gunakan kunci penandatanganan Cloud KMS (lanjutan).

2. Tambahkan ID resource versi kunci kriptografis.

   ID resource versi kunci kriptografis harus memiliki bentuk berikut:

   projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
   

   Untuk mengetahui informasi selengkapnya, lihat Mendapatkan ID resource Cloud KMS.

3. Untuk menyimpan setelan Anda, klik Simpan.

   Untuk menggunakan kunci penandatanganan kustom, Anda harus memberikan peran IAM Cloud KMS CryptoKey Signer/Verifier (roles/cloudkms.signerVerifier) kepada akun layanan Persetujuan Akses untuk project Anda.

   Jika akun layanan Persetujuan Akses tidak memiliki izin untuk menandatangani dengan kunci yang Anda berikan, Anda dapat memberikan izin yang diperlukan dengan mengklik Berikan. Setelah memberikan izin, klik Simpan.