Esaminare e approvare le richieste di accesso utilizzando una chiave di firma personalizzata | Access Approval

I nomi di alcuni pacchetti di controllo Assured Workloads stanno cambiando. Per informazioni sulla modifica del nome, consulta la notifica relativa alla ridenominazione del pacchetto di controllo.

(Facoltativo) Configura Access Approval con una chiave di firma personalizzata

Questo documento mostra come configurare Access Approval utilizzando la consoleGoogle Cloud per aggiungere una chiave di firma personalizzata facoltativa per le richieste Access Approval.

Prima di iniziare

Assicurati che Access Approval sia già abilitato. Per saperne di più, consulta Attivazione di Access Approval.

(Facoltativo) Configurare una chiave di firma personalizzata

Access Approval utilizza una chiave di firma per verificare l'integrità della richiesta di approvazione di accesso. Per impostazione predefinita, viene utilizzato un Google-owned and managed key .

Se hai attivato Cloud EKM, puoi scegliere una chiave di firma gestita esternamente. Per informazioni sull'utilizzo di chiavi esterne, consulta la panoramica di Cloud EKM.

Puoi anche scegliere di creare una chiave di firma Cloud KMS con un algoritmo a tua scelta. Per saperne di più, consulta Creazione di chiavi asimmetriche.

Per utilizzare una chiave di firma personalizzata, segui le istruzioni riportate in questa sezione.

Recupera l'indirizzo email del service account

L'indirizzo email del account di servizio ha il seguente formato:

  service-PROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Sostituisci PROJECT_NUMBER con il numero del progetto.

Ad esempio, l'indirizzo email è service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com per un account di servizio in un progetto il cui numero di progetto è 123456789.

Per utilizzare la tua chiave di firma:

Nella pagina Approvazione accesso della console Google Cloud , seleziona Usa una chiave di firma Cloud KMS (opzione avanzata).
Aggiungi l'ID risorsa della versione della chiave di crittografia.

L'ID risorsa della versione della chiave di crittografia deve avere il seguente formato:
```
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
```
Per saperne di più, consulta Recupero di un ID risorsa di Cloud KMS.
Per salvare le impostazioni, fai clic su Salva.

Per utilizzare una chiave di firma personalizzata, devi concedere il ruolo IAM Cloud KMS CryptoKey Signer/Verifier (roles/cloudkms.signerVerifier) all'account di servizio Access Approval per il tuo progetto.

Se il account di servizio di Access Approval non dispone delle autorizzazioni per firmare con la chiave che hai fornito, puoi concedere le autorizzazioni richieste facendo clic su Concedi. Dopo aver concesso le autorizzazioni, fai clic su Salva.

Esegui la pulizia

Per rimuovere la chiave di firma personalizzata facoltativa:

Nella pagina Approvazione accesso della console Google Cloud , apri le impostazioni.
In Impostazioni avanzate, seleziona l'opzione della chiave di firma predefinita (Google).

Passaggi successivi

Scopri di più sull'anatomia di una richiesta di accesso.
Scopri come approvare le richieste di Access Approval.
Scopri come visualizzare le richieste di approvazione di accesso storiche.