Configurar uma chave de assinatura personalizada (opcional)

O Access Approval usa uma chave de assinatura para verificar a integridade da solicitação. Por padrão, um Google-owned and managed key é usado.

Se o Cloud EKM estiver ativado, você poderá escolher uma chave de assinatura gerenciada externamente. Para informações sobre como usar chaves externas, consulte a Visão geral do Cloud EKM.

Também é possível criar uma chave de assinatura do Cloud KMS com um algoritmo de sua escolha. Para mais informações, consulte Como criar chaves assimétricas.

Para usar uma chave de assinatura personalizada, siga as instruções nesta seção.

Pegue o endereço de e-mail da conta de serviço

O endereço de e-mail da conta de serviço tem o seguinte formato:

  service-PROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Substitua PROJECT_NUMBER pelo número do projeto.

Por exemplo, o endereço de e-mail é service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com para uma conta de serviço em um projeto cujo número é 123456789.

Para usar sua chave de assinatura, faça o seguinte:

1. Na página Aprovação de acesso no console Google Cloud , selecione Usar uma chave de assinatura do Cloud KMS (avançado).

2. Adicione o ID do recurso da versão da chave criptográfica.

   O ID do recurso da versão da chave criptográfica precisa ter o seguinte formato:

   projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
   

   Para mais informações, consulte Como conseguir um ID de recurso do Cloud KMS.

3. Para salvar as configurações, clique em Salvar.

   Para usar uma chave de assinatura personalizada, conceda o papel do IAM Signatário/verificador de CryptoKey do Cloud KMS (roles/cloudkms.signerVerifier) à conta de serviço da Aprovação de acesso do seu projeto.

   Se a conta de serviço da Aprovação de acesso não tiver as permissões para assinar com a chave fornecida, clique em Conceder para conceder as permissões necessárias. Depois de conceder as permissões, clique em Salvar.