Zugriffsanfragen mit dem von Google verwalteten Signaturschlüssel prüfen und genehmigen

Für Access Approval registrieren

So melden Sie sich für Access Approval an:

1. Wählen Sie in der Google Cloud Console das Projekt aus, für das Sie die Zugriffsgenehmigung aktivieren möchten.

   Zur Projektauswahl

2. Rufen Sie die Seite Zugriffsgenehmigung auf.

   Zur Zugriffsgenehmigung

3. Klicken Sie auf Registrieren, um sich für Access Approval anzumelden.

   

4. Wählen Sie im Dialogfeld den Registrierungsmodus für Ihre Richtlinie aus und klicken Sie auf Registrieren.

   

Primärer Registrierungsmodus für Zugriffsgenehmigungen

Sie können Access Approval in einem von drei Modi konfigurieren und den Modus jederzeit in den Einstellungen für Access Approval ändern. Folgende Modi können ausgewählt werden:

1. Transparenz (empfohlen): In diesem Modus wird nur der administrative Zugriff von Google auf Ihre Arbeitslasten protokolliert, ohne dass der Google-Support oder die proaktive Wartung Ihrer Arbeitslasten unterbrochen wird. Weitere Informationen finden Sie in der Dokumentation zu Access Transparency.
2. Optimierter Support: In diesem Modus wird der Zugriff des Kundenservice auf Ihre Supportanfragen automatisch genehmigt. Für den proaktiven Wartungs- und Reparaturzugriff ist die Zugriffsgenehmigung erforderlich.
3. Zugriffsgenehmigung: In diesem Modus wird die vollständige Funktion „Zugriffsgenehmigung“ für alle Zugriffe aktiviert.

Access Transparency-Logs werden für alle Zugriffsgenehmigungsmodi automatisch generiert.

Einstellungen konfigurieren

Klicken Sie auf der Seite Zugriffsgenehmigung in der Google Cloud -Konsole aufsettingsEinstellungen verwalten.

Dienste auswählen

Access Approval-Einstellungen, einschließlich der Liste der aktivierten Produkte, werden von der übergeordneten Ressource übernommen. Sie können den Umfang der Registrierung erweitern, indem Sie Access Approval für alle oder ausgewählte zusätzliche unterstützte Dienste aktivieren.

E-Mail- und Pub/Sub-Benachrichtigungen einrichten

In diesem Abschnitt wird erläutert, wie Sie Benachrichtigungen über Zugriffsanfragen für dieses Projekt erhalten können.

Sich selbst die erforderliche IAM-Rolle gewähren

Zum Ansehen und Genehmigen von Zugriffsanfragen benötigen Sie die IAM-Rolle „Genehmiger von Zugriffsgenehmigungen“ (roles/accessapproval.approver).

So weisen Sie sich diese IAM-Rolle selbst zu:

1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

   IAM aufrufen

2. Klicken Sie auf dem Tab Nach Hauptkonten ansehen auf person_addZugriff gewähren.
3. Geben Sie im Feld Neue Hauptkonten im rechten Bereich Ihre E-Mail-Adresse ein.
4. Klicken Sie auf das Feld Rolle auswählen und wählen Sie im Menü die Rolle Access Approval Approver aus.
5. Klicken Sie auf Speichern.

Sich selbst als Genehmiger für Anfragen für Zugriffsgenehmigungen hinzufügen und Benachrichtigungen konfigurieren

So fügen Sie sich selbst als Genehmiger hinzu, damit Sie Zugriffsanfragen prüfen und genehmigen können:

1. Rufen Sie in der Google Cloud Console die Seite Zugriffsgenehmigung auf.

   Zur Zugriffsgenehmigung

2. Klicken Sie auf settingsEinstellungen verwalten.

3. Wenn Sie E‑Mail-Benachrichtigungen aktivieren möchten, fügen Sie Ihre E‑Mail-Adresse im Feld E‑Mail-Adresse des Nutzers oder der Gruppe unter Genehmigungsbenachrichtigungen einrichten hinzu.

4. Wenn Sie Pub/Sub-Benachrichtigungen aktivieren möchten, fügen Sie Ihr Pub/Sub-Thema im Feld Pub/Sub-Thema unter Genehmigungsbenachrichtigungen einrichten hinzu.

Standardeinstellungen überprüfen

Das Verhalten von Anfragen für die Zugriffsgenehmigung wird durch Standardeinstellungen bestimmt.

• Ressourcenspezifische Genehmigungsanfragen bevorzugen Legt den Standardbereich von Zugriffsgenehmigungsanfragen fest. Diese Einstellung ist standardmäßig deaktiviert. Wenn Sie diese Einstellung aktivieren, kann sich die Anzahl der Access Approval-Anfragen, die Sie für den Zugriff auf dieselben Daten erhalten, erhöhen. Dies kann dazu führen, dass sich die Unterstützung durch den Google-Support verzögert. Beispiel:
  • Deaktiviert: Ressource: product.googleapis.com/project/12345/
  • Aktiviert: Ressource: product.googleapis.com/project/12345/instances/abcde
• Standardablaufzeit in Tagen für Genehmigungsanfragen Legen Sie die Standardablaufzeit für Anfragen für Zugriffsgenehmigungen fest. Dies kann zum Zeitpunkt der Genehmigung für jede Anfrage geändert werden.
• Bevorzugter maximaler Zugriffsbereich Legt den größten empfohlenen Zugriffsbereich für Ressourcen fest, den ein Google-Administrator anfordern kann. Wenn die Option beispielsweise auf „Projekt“ festgelegt ist, fordern Google-Administratoren Zugriff auf Projekt- oder Ressourcenebene an.

Von Google verwalteten Signaturschlüssel auswählen

Access Approval verwendet einen Signierschlüssel, um die Integrität der Access Approval-Anfrage zu überprüfen.

Der von Google verwaltete Signaturschlüssel ist die Standardoption. Für die Verwendung einesGoogle-owned and managed key ist keine zusätzliche Konfiguration erforderlich.

Genehmigungsanfragen prüfen

Nachdem Sie sich für die Zugriffsgenehmigung registriert und sich selbst als Genehmiger für Zugriffsanfragen hinzugefügt haben, erhalten Sie E‑Mail-Benachrichtigungen für Zugriffsanfragen.

Das folgende Bild zeigt eine Beispiel-E‑Mail-Benachrichtigung, die im Rahmen der Zugriffsgenehmigung gesendet wird, wenn Google-Mitarbeiter Zugriff auf Kundendaten anfordern.

So überprüfen und genehmigen Sie eine eingehende Zugriffsanfrage:

1. Rufen Sie in der Google Cloud Console die Seite Zugriffsgenehmigung auf.

   Zur Zugriffsgenehmigung

   Sie können auch auf den Link in der E‑Mail klicken, die Sie mit der Genehmigungsanfrage erhalten haben, um auf diese Seite weitergeleitet zu werden.

2. Klicken Sie auf Genehmigen.

Nachdem Sie die Anfrage genehmigt haben, können Google-Mitarbeiter mit Merkmalen, die mit der Genehmigung übereinstimmen, z. B. mit derselben Begründung, demselben Standort oder demselben Bürostandort, innerhalb des genehmigten Zeitrahmens auf die angegebene Ressource und ihre untergeordneten Ressourcen zugreifen.