Revisa y aprueba las solicitudes de acceso con la clave de firma administrada por Google

En este documento, se muestra cómo configurar la Aprobación de acceso con la consola deGoogle Cloud para recibir notificaciones por correo electrónico de las solicitudes de acceso a un proyecto.

La Aprobación de acceso garantiza que haya una aprobación firmada de forma criptográfica para que el personal de Google acceda a tu contenido almacenado enGoogle Cloud.

Antes de comenzar

Inscríbete en la Aprobación de acceso

Para inscribirte en Access Approval, haz lo siguiente:

  1. En la consola de Google Cloud , selecciona el proyecto para el que deseas habilitar la Aprobación de acceso.

    Ir al selector de proyectos

  2. Ve a la página Aprobación de acceso.

    Ir a Aprobación de acceso

  3. Para inscribirte en Access Approval, haz clic en Inscribirse.

    Inscríbete en Access Approval.

  4. En el diálogo, selecciona el modo de inscripción para tu política y haz clic en Inscribir.

    Descargo de responsabilidad de Aprobación de acceso sobre el aumento del tiempo de asistencia.

Modo de inscripción principal de Aprobación de acceso

Puedes configurar la Aprobación de acceso en uno de los tres modos disponibles y cambiar el modo en cualquier momento en la configuración de Aprobación de acceso. Se pueden seleccionar los siguientes modos:

  1. Transparencia (recomendado): Usa este modo para registrar solo el acceso administrativo de Google a tus cargas de trabajo sin interrumpir la asistencia de Google ni el mantenimiento proactivo de tus cargas de trabajo. Consulta la documentación de Transparencia de acceso para obtener más información.
  2. Asistencia optimizada: Usa este modo para aprobar automáticamente el acceso de Atención al cliente y trabajar en tus casos de asistencia. El acceso para mantenimiento y reparación proactivos requiere la aprobación de acceso.
  3. Aprobación de acceso: Usa este modo para habilitar la funcionalidad completa de la Aprobación de acceso para todos los accesos.

Los registros de Transparencia de acceso se generan automáticamente para todos los modos de Aprobación de acceso.

Establece la configuración

En la página Aprobación de acceso de la consola de Google Cloud , haz clic enAdministrar configuración.

Selecciona el botón Administrar configuración.

Seleccionar servicios

La configuración de la Aprobación de acceso, incluida la lista de productos habilitados, se hereda del recurso superior. Puedes ampliar el alcance de la inscripción habilitando la Aprobación de acceso para todos los servicios adicionales compatibles o solo para algunos de ellos servicios compatibles.

Selecciona las casillas de verificación para habilitar servicios adicionales

Configura las notificaciones de Pub/Sub y por correo electrónico

En esta sección, se explica cómo puedes recibir notificaciones de solicitudes de acceso para este proyecto.

Asígnate el rol de IAM necesario

Para ver y aprobar solicitudes de acceso, debes tener el rol de IAM de Aprobador de aprobación de acceso (roles/accessapproval.approver).

Para otorgarte este rol de IAM, haz lo siguiente:

  1. Ve a la página IAM en la consola de Google Cloud .

    Ir a IAM

  2. En la pestaña Ver por principales, haz clic en Otorgar acceso.
  3. En el campo Principales nuevas del panel derecho, ingresa tu dirección de correo electrónico.
  4. Haz clic en el campo Seleccionar un rol y elige el rol Aprobador de aprobación de acceso en el menú.
  5. Haz clic en Guardar.

Cómo agregarte como responsable de aprobación para las solicitudes de Aprobación de acceso y configurar las notificaciones

Para agregarte como responsable de aprobación y poder revisar y aprobar solicitudes de acceso, haz lo siguiente:

  1. Ve a la página Aprobación de acceso en la consola de Google Cloud .

    Ir a Aprobación de acceso

  2. Haz clic en Administrar configuración.

  3. Para habilitar las notificaciones por correo electrónico, agrega tu dirección de correo electrónico en el campo Correo electrónico del usuario o grupo en Configurar notificaciones de aprobación.

  4. Para habilitar las notificaciones de Pub/Sub, agrega tu tema de Pub/Sub en el campo Tema de Pub/Sub en Configura las notificaciones de aprobación.

Revisa la configuración predeterminada

La configuración predeterminada rige el comportamiento de las solicitudes de Aprobación de acceso.

  • Prefiere solicitudes de aprobación específicas de recursos Establece el alcance predeterminado de las solicitudes de aprobación de acceso. De forma predeterminada, este parámetro de configuración está inhabilitado. Si habilitas este parámetro de configuración, es posible que aumente la cantidad de solicitudes de Aprobación de acceso que recibas para acceder a los mismos datos, lo que podría retrasar la asistencia del equipo de asistencia de Google. Ejemplo:
    • Inhabilitado: Recurso: product.googleapis.com/project/12345/
    • Habilitado: Recurso: product.googleapis.com/project/12345/instances/abcde
  • Días de vencimiento predeterminados de las solicitudes de aprobación Establece el vencimiento predeterminado para las solicitudes de aprobación de acceso. Esto se puede cambiar en el momento de la aprobación de cada solicitud.
  • Permiso de acceso máximo preferido Establece el permiso de acceso al recurso más grande recomendado que puede solicitar un administrador de Google. Por ejemplo, cuando se establece en Proyecto, los administradores de Google solicitarán acceso a nivel de proyecto o de recurso.

Selecciona una clave de firma administrada por Google

La Aprobación de acceso usa una clave de firma para verificar la integridad de la solicitud de Aprobación de acceso.

La clave de firma administrada por Google es la opción predeterminada. Usar unGoogle-owned and managed key no requiere ninguna configuración adicional.

Cómo revisar las solicitudes de aprobación

Ahora que te inscribiste en la Aprobación de acceso y te agregaste como aprobador de solicitudes de acceso, recibirás notificaciones por correo electrónico sobre las solicitudes de acceso.

En la siguiente imagen, se muestra un ejemplo de la notificación por correo electrónico que envía la Aprobación de acceso cuando el personal de Google solicita acceso a los Datos del Cliente.

Es la notificación por correo electrónico que se envía cuando el personal de Google solicita acceso a los Datos del Cliente.

Para revisar y aprobar una solicitud de acceso entrante, haz lo siguiente:

  1. Ve a la página Aprobación de acceso en la consola de Google Cloud .

    Ir a Aprobación de acceso

    Para ir a esta página, también puedes hacer clic en el vínculo del correo electrónico que se te envió con la solicitud de aprobación.

  2. Haz clic en Aprobar.

Después de que apruebes la solicitud, el personal de Google que tenga características que coincidan con la aprobación, como la misma justificación, ubicación geográfica o ubicación del escritorio, podrá acceder al recurso especificado y a sus recursos secundarios dentro del plazo aprobado.

Realiza una limpieza

  1. Para dar de baja la inscripción en Aprobación de acceso, haz lo siguiente:
    1. En la página Aprobación de acceso de la consola de Google Cloud , haz clic en Administrar configuración.
    2. Haz clic en Anular la inscripción.
    3. En el diálogo que se abre, haz clic en Anular la inscripción.
  2. Para inhabilitar la Transparencia de acceso en tu organización, comunícate con Atención al cliente de Cloud.

No se requieren pasos adicionales para evitar que se apliquen cargos a tu cuenta.

¿Qué sigue?