(選用) 使用自訂簽署金鑰設定存取權核准
本文說明如何使用Google Cloud 控制台設定 Access Approval,以便為 Access Approval 要求新增選用的自訂簽署金鑰。
事前準備
- 確認已啟用 Access Approval。詳情請參閱「啟用存取核准」。
設定自訂簽署金鑰 (選用)
Access Approval 會使用簽署金鑰驗證 Access Approval 要求的完整性。根據預設,系統會使用 Google-owned and managed key 。
如果已啟用 Cloud EKM,您可以選擇外部代管的簽署金鑰。如要瞭解如何使用外部金鑰,請參閱 Cloud EKM 總覽。
您也可以選擇使用所選演算法建立 Cloud KMS 簽署金鑰。詳情請參閱「建立非對稱金鑰」。
如要使用自訂簽署金鑰,請按照本節中的操作說明進行。
取得服務帳戶的電子郵件地址
服務帳戶的電子郵件地址格式如下:
service-PROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com
將 PROJECT_NUMBER 替換為專案編號。
舉例來說,如果專案編號為 123456789,該專案中服務帳戶的電子郵件地址就是 service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com。
如要使用簽署金鑰,請執行下列操作:
在 Google Cloud 控制台的「存取核准」頁面中,選取「使用 Cloud KMS 簽署金鑰 (進階)」。
新增加密編譯金鑰版本資源 ID。
加密金鑰版本資源 ID 必須採用下列格式:
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
詳情請參閱「取得 Cloud KMS 資源 ID」。
如要儲存設定,請按一下「儲存」。
如要使用自訂簽署金鑰,您必須將 Cloud KMS CryptoKey Signer/Verifier (
roles/cloudkms.signerVerifier) IAM 角色授予專案的存取核准服務帳戶。如果存取核准服務帳戶沒有權限,無法使用您提供的金鑰簽署,請按一下「授予」,授予必要權限。授予權限後,按一下「儲存」。
清除所用資源
如要移除選用的自訂簽署金鑰,請按照下列步驟操作:
- 在 Google Cloud 控制台的「存取核准」頁面中,開啟設定。
- 在「進階設定」下方,選取預設 (Google) 簽署金鑰選項。
後續步驟
- 瞭解存取要求的結構。
- 瞭解如何核准存取權核准要求。
- 瞭解如何查看先前的 Access Approval 要求。