(可选)使用自定义签名密钥配置 Access Approval
本文档介绍了如何使用Google Cloud 控制台设置 Access Approval,以添加可选的自定义签名密钥来处理 Access Approval 请求。
准备工作
- 确保已启用 Access Approval。如需了解详情,请参阅启用访问审批。
配置自定义签名密钥(可选)
访问审批使用签名密钥来验证访问审批请求的完整性。默认情况下,使用 Google-owned and managed key 。
如果您已启用 Cloud EKM,则可以选择外部管理的签名密钥。如需了解如何使用外部密钥,请参阅 Cloud EKM 概览。
您还可以选择创建采用所选算法的 Cloud KMS 签名密钥。如需了解详情,请参阅创建非对称密钥。
如需使用自定义签名密钥,请按照本部分中的说明操作。
获取服务账号的电子邮件地址
服务账号的电子邮件地址采用以下格式:
service-PROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com
将 PROJECT_NUMBER 替换为项目编号。
例如,如果某个项目的项目编号为 123456789,则该项目中的服务账号的电子邮件地址为 service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com。
如需使用签名密钥,请执行以下操作:
在 Google Cloud 控制台的访问审批页面上,选择使用 Cloud KMS 签名密钥(高级)。
添加加密密钥版本资源 ID。
加密密钥版本资源 ID 必须采用以下格式:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
如需了解详情,请参阅获取 Cloud KMS 资源 ID。
如需保存设置,请点击保存。
如需使用自定义签名密钥,您必须向项目的访问审批服务账号授予 Cloud KMS CryptoKey Signer/Verifier (
roles/cloudkms.signerVerifier) IAM 角色。如果访问审批服务账号没有使用您提供的密钥进行签名的权限,您可以点击授予来授予所需的权限。授予权限后,点击保存。
清理
如需移除可选的自定义签名密钥,请执行以下操作:
- 在 Google Cloud 控制台的“访问审批”页面上,打开设置。
- 在“高级设置”下,选择默认的(Google)签名密钥选项。
后续步骤
- 了解访问请求的结构。
- 了解如何批准 Access Approval 请求。
- 了解如何查看 Access Approval 历史请求。