使用 Google 代管的簽署金鑰,審查及核准存取要求

本文說明如何使用Google Cloud 控制台設定存取權核准,以便在他人對專案提出存取要求時收到電子郵件通知。

Access Approval 可確保 Google 人員必須取得經過加密簽署的核准,才能存取儲存在Google Cloud的內容。

事前準備

註冊 Access Approval

如要註冊 Access Approval,請按照下列步驟操作:

  1. 在 Google Cloud 控制台選取要啟用存取核准的專案。

    前往專案選取器

  2. 前往「Access Approval」頁面。

    前往存取權核准頁面

  3. 如要註冊 Access Approval,請按一下「註冊」

    註冊 Access Approval。

  4. 在對話方塊中,選取政策的註冊模式,然後按一下「註冊」

    存取權核准免責事項:支援時間會延長。

存取權核准主要註冊模式

您可以透過三種模式之一設定 Access Approval,並隨時在 Access Approval 設定中變更模式。可選模式如下:

  1. 透明模式 (建議):使用這個模式,只將 Google 管理員存取工作負載的記錄寫入記錄檔,不會中斷 Google 支援或主動維護工作負載。詳情請參閱資料存取透明化控管機制說明文件
  2. 簡化支援服務:使用這個模式,系統會自動核准客戶服務團隊存取權,以便處理支援案件。如要進行主動維護和維修,必須啟用 Access Approval。
  3. 存取權核准:啟用此模式後,系統會針對所有存取要求啟用完整的存取權核准功能。

系統會自動為所有存取權核准模式產生「資料存取透明化控管機制」記錄。

調整設定

在 Google Cloud 控制台的「存取核准」頁面中,按一下「管理設定」

選取「管理設定」按鈕。

選取服務

Access Approval 設定 (包括已啟用產品的清單) 會沿用上層資源的設定。您可以為所有或所選的支援服務啟用 Access Approval,擴大註冊範圍。

勾選「啟用其他服務」核取方塊

設定電子郵件和 Pub/Sub 通知

本節說明如何接收這個專案的存取要求通知。

將必要的 IAM 角色授予自己

如要查看及核准存取要求,您必須具備存取權核准要求核准者 (roles/accessapproval.approver) IAM 角色。

如要將這個 IAM 角色授予自己,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「IAM」頁面。

    前往 IAM

  2. 在「按照主體查看」分頁中,點選「授予存取權」
  3. 在右側窗格的「New principals」(新增主體) 欄位中,輸入您的電子郵件地址。
  4. 按一下「選取角色」欄位,然後從選單中選取「存取核准核准者」角色。
  5. 按一下「Save」(儲存)

將自己新增為存取權核准要求核准者,並設定通知

如要將自己新增為核准者,以便審查及核准存取要求,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「存取權核准」頁面。

    前往存取權核准頁面

  2. 按一下「管理設定」

  3. 如要啟用電子郵件通知,請在「設定核准通知」下方的「使用者或群組電子郵件」欄位中新增電子郵件地址。

  4. 如要啟用 Pub/Sub 通知,請在「設定核准通知」下方的「Pub/Sub 主題」欄位中新增 Pub/Sub 主題。

查看預設設定

預設設定會控管存取權核准要求的行為。

  • 偏好資源專屬核准要求 設定存取權核准要求的預設範圍。這項設定預設為停用。啟用這項設定後,您可能會收到更多存取相同資料的 Access Approval 要求,導致 Google 支援團隊延後提供協助。示例:
    • 已停用:資源:product.googleapis.com/project/12345/
    • 已啟用:資源:product.googleapis.com/project/12345/instances/abcde
  • 核准要求預設失效時間 設定存取權核准要求的預設失效時間。您可以在核准每項要求時變更這項設定。
  • 偏好的最大存取範圍 設定 Google 管理員要求存取權時,建議的最大資源存取範圍。 舉例來說,如果設為「專案」,Google 管理員會要求專案或資源層級的存取權。

選取由 Google 代管的簽署金鑰

Access Approval 會使用簽署金鑰,驗證 Access Approval 要求的完整性。

Google 代管的簽署金鑰是預設選項。使用Google-owned and managed key 不需要任何額外設定。

查看核准要求

您已註冊存取權核准服務,並將自己新增為存取要求核准者,因此會收到存取要求電子郵件通知。

下圖顯示 Google 人員要求存取「客戶資料」時,Access Approval 傳送的電子郵件通知範例。

Google 人員要求存取「客戶資料」時傳送的電子郵件通知。

如要審查及核准存取要求,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「存取權核准」頁面。

    前往存取權核准頁面

    如要前往這個頁面,也可以點選系統傳送給您的電子郵件中的連結 (內含核准要求)。

  2. 按一下「核准」。

核准要求後,Google 員工只要具備與核准內容相符的特徵,例如相同的理由、位置或辦公室位置,就能在核准的時間範圍內存取指定資源及其子項資源。

清除所用資源

  1. 如要取消註冊 Access Approval,請按照下列步驟操作:
    1. 在 Google Cloud 控制台的「存取核准」頁面中, 按一下「管理設定」
    2. 按一下「取消註冊」
    3. 在開啟的對話方塊中,按一下「取消註冊」
  2. 如要為貴機構停用資料存取透明化控管機制,請與 Cloud 客戶服務聯絡。

如要避免系統向您的帳戶收取費用,不需要採取其他步驟。

後續步驟