Examiner et approuver les demandes d'accès à l'aide de la clé de signature gérée par Google | Access Approval

Les noms de certains packages de contrôle Assured Workloads changent. Pour en savoir plus sur ce changement de nom, consultez la notification de changement de nom du package de contrôle.

Ce document vous explique comment configurer Access Approval à l'aide de la consoleGoogle Cloud pour recevoir des notifications par e-mail des demandes d'accès à un projet.

Access Approval garantit qu'une approbation signée de manière cryptographique est présente pour que le personnel Google puisse accéder à votre contenu stocké surGoogle Cloud.

Avant de commencer

Activez Access Transparency pour votre organisation. Pour en savoir plus, consultez Activer Access Transparency.
Assurez-vous de disposer du rôle IAM Éditeur pour la configuration des autorisations d'accès (roles/accessapproval.configEditor).

S'enregistrer auprès d'Access Approval

Pour vous inscrire à Access Approval, procédez comme suit :

Dans la console Google Cloud , sélectionnez le projet pour lequel vous souhaitez activer l'approbation de l'accès.

Accéder au sélecteur de projet
Accédez à la page Access Approval.

Accéder à Access Approval
Pour vous enregistrer auprès d'Access Approval, cliquez sur S'enregistrer.
Dans la boîte de dialogue, sélectionnez le mode d'enregistrement pour votre règle, puis cliquez sur Enregistrer.

Mode d'inscription Access Approval

Vous pouvez configurer Access Approval dans l'un des trois modes disponibles et le modifier à tout moment dans les paramètres d'Access Approval. Vous pouvez sélectionner les modes suivants :

Transparence (recommandé) : utilisez ce mode pour surveiller l'accès administratif de Google à votre charge de travail sans approbation supplémentaire. Pour en savoir plus, consultez la documentation Access Transparency.
Assistance simplifiée : utilisez ce mode pour approuver automatiquement l'accès du service client à vos demandes d'assistance. Les autres motifs d'accès nécessitent Access Approval.
Approbation d'accès : utilisez ce mode pour activer l'ensemble des fonctionnalités d'approbation d'accès pour tous les accès.

Les journaux Access Transparency sont générés automatiquement pour tous les modes Access Approval.

Configurer les paramètres

Sur la page Approbation de l'accès de la console Google Cloud , cliquez surGérer les paramètres.

Sélectionner des services

Les paramètres Access Approval, y compris la liste des produits activés, sont hérités de la ressource parente. Vous pouvez étendre le champ d'application de l'inscription en activant Access Approval pour tous les services compatibles ou pour certains d'entre eux.

Configurer les notifications par e-mail et Pub/Sub

Cette section explique comment recevoir des notifications de demande d'accès pour ce projet.

Accorder à votre compte le rôle IAM requis

Pour afficher et approuver les demandes d'accès, vous devez disposer du rôle IAM Approbateur Access Approval (roles/accessapproval.approver).

Pour vous attribuer ce rôle IAM, procédez comme suit :

Accédez à la page IAM dans la console Google Cloud .
Accéder à IAM
Dans l'onglet Afficher par compte principal, cliquez sur Accorder l'accès.
Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le rôle Approbateur de l'approbation de l'accès dans le menu.
Cliquez sur Enregistrer.

Ajouter votre nom à la liste des approbateurs pour les demandes d'approbation des accès et configurer les notifications

Pour vous ajouter en tant qu'approbateur afin de pouvoir examiner et approuver les demandes d'accès, procédez comme suit :

Accédez à la page Access Approval dans la console Google Cloud .

Accéder à Access Approval
Cliquez sur Gérer les paramètres.
Pour activer les notifications par e-mail, ajoutez votre adresse e-mail dans le champ Adresse e-mail de l'utilisateur ou du groupe sous Configurer les notifications d'approbation.
Pour activer les notifications Pub/Sub :
1. Ajoutez votre sujet Pub/Sub dans le champ Sujet Pub/Sub sous Configurer les notifications d'approbation.
2. Dans Identity and Access Management (IAM), accordez le rôle d'Diffuseur Pub/Sub (roles/pubsub.publisher) au principal customer-approval-jobs@system.gserviceaccount.com pour permettre à l'approbation de l'accès de créer des notifications. Sans cette étape, aucune notification ne sera créée.

Vérifier les paramètres par défaut

Les paramètres par défaut régissent le comportement des demandes Access Approval.

Préférer les demandes d'approbation spécifiques à des ressources : définit le champ d'application par défaut des demandes Access Approval. Par défaut, ce paramètre est désactivé. Si vous activez ce paramètre, le nombre de demandes Access Approval que vous recevez pour accéder aux mêmes données peut augmenter, ce qui peut retarder l'assistance de l'assistance Google. Exemples de valeurs par défaut :
- Désactivé : product.googleapis.com/project/12345/
- Activé : product.googleapis.com/project/12345/instances/abcde
Délai d'expiration (en jours) par défaut des demandes d'approbation : définissez le délai d'expiration par défaut des demandes Access Approvals. Vous pourrez modifier ce paramètre au moment de l'approbation de chaque demande.
Champ d'application d'accès maximal préféré : définit le niveau d'accès aux ressources le plus étendu recommandé pour une demande d'administrateur Google. Par exemple, si la valeur est définie sur "Projet", les administrateurs Google demanderont un accès au niveau du projet ou de la ressource.

Choisir votre clé de signature

Access Approval utilise une clé de signature pour vérifier l'intégrité de la demande Access Approval.

Par défaut, un Google-owned and managed key est utilisé et ne nécessite aucune configuration supplémentaire.

Pour configurer éventuellement une clé de chiffrement gérée par le client, consultez Configurer une clé personnalisée.

Examiner les demandes d'approbation

Une fois que vous vous êtes inscrit à l'approbation de l'accès et que vous vous êtes ajouté en tant qu'approbateur pour les demandes d'accès, vous recevrez des notifications par e-mail pour les demandes d'accès.

L'image suivante montre un exemple de notification par e-mail envoyée par Access Approval lorsque le personnel Google demande l'accès aux données client.

Notification par e-mail envoyée lorsque le personnel Google demande l'accès aux données client.

Pour examiner et approuver une demande d'accès entrante, procédez comme suit :

Accédez à la page Access Approval dans la console Google Cloud .

Accéder à Access Approval

Pour accéder à cette page, vous pouvez également cliquer sur le lien de l'e-mail qui vous a été envoyé avec la demande d'approbation.
Cliquez sur Approuver.

Une fois la demande approuvée, le personnel de Google dont les caractéristiques correspondent à l'approbation (par exemple, même motif de justification, même adresse ou adresse professionnelle) peut accéder à la ressource spécifiée et à ses ressources enfants dans le délai approuvé.

Effectuer un nettoyage

Pour vous désinscrire d'Access Approval, procédez comme suit :
1. Sur la page Approbation de l'accès de la console Google Cloud , cliquez sur Gérer les paramètres.
2. Cliquez sur Se désinscrire.
3. Dans la boîte de dialogue qui s'ouvre, cliquez sur Se désinscrire.
Pour désactiver Access Transparency pour votre organisation, contactez l'assistance Cloud Customer Care.

Aucune autre étape n'est requise.

Étapes suivantes

Découvrez l'anatomie d'une demande d'accès.
Découvrez comment approuver les demandes Access Approval.
Découvrez comment afficher l'historique des demandes Access Approval.