Registrati ad Access Approval

Per registrarti ad Access Approval:

1. Nella Google Cloud console, seleziona il progetto per il quale vuoi attivare l'approvazione dell'accesso.

   Vai al selettore di progetti

2. Vai alla pagina Access Approval.

   Vai ad Access Approval

3. Per registrarti ad Access Approval, fai clic su Registrati.

4. Nella finestra di dialogo, seleziona la modalità di registrazione per il criterio e fai clic su Registra.

Modalità di registrazione di Access Approval

Puoi configurare Access Approval in una delle tre modalità e modificare la modalità in qualsiasi momento nelle impostazioni di Access Approval. È possibile selezionare le seguenti modalità:

1. Trasparenza (opzione consigliata): utilizza questa modalità per monitorare l'accesso amministrativo di Google al tuo workload senza approvazione aggiuntiva. Per ulteriori informazioni, consulta la documentazione di Access Transparency.
2. Assistenza semplificata: utilizza questa modalità per approvare automaticamente l'accesso dell'assistenza clienti per lavorare sui tuoi casi di assistenza. Altri motivi di accesso richiedono l'approvazione dell'accesso.
3. Approvazione dell'accesso: utilizza questa modalità per attivare la funzionalità completa di approvazione dell'accesso per tutti gli accessi.

I log di Access Transparency vengono generati automaticamente per tutte le modalità di Access Approval.

Configura le impostazioni

Nella pagina Approvazione accesso della Google Cloud console, fai clic su settingsGestisci impostazioni.

Seleziona servizi

Le impostazioni di Access Approval, incluso l'elenco dei prodotti abilitati, vengono ereditate dalla risorsa padre. Puoi ampliare l'ambito della registrazione attivando Access Approval per tutti i servizi aggiuntivi o per quelli selezionati supportati.

Configurare le notifiche email e Pub/Sub

Questa sezione spiega come ricevere notifiche di richiesta di accesso per questo progetto.

Concedi a te il ruolo IAM richiesto

Per visualizzare e approvare le richieste di accesso, devi disporre del ruolo IAM Approvatore di Access Approval (roles/accessapproval.approver).

Per concedere questo ruolo IAM a te stesso:

1. Vai alla pagina IAM nella console Google Cloud .

   Vai a IAM.

2. Nella scheda Visualizza per entità, fai clic su person_addConcedi accesso.
3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Access Approval Approver dal menu.
5. Fai clic su Salva.

Aggiungerti come approvatore per le richieste di Access Approval e configurare le notifiche

Per aggiungerti come approvatore in modo da poter esaminare e approvare le richieste di accesso, segui questi passaggi:

1. Vai alla pagina Access Approval nella console Google Cloud .

   Vai ad Access Approval

2. Fai clic su settingsGestisci impostazioni.

3. Per attivare le notifiche via email, aggiungi il tuo indirizzo email nel campo Email utente o gruppo nella sezione Configura notifiche di approvazione.

4. Per attivare le notifiche Pub/Sub:

   1. Aggiungi l'argomento Pub/Sub nel campo Argomento Pub/Sub in Configura le notifiche di approvazione.
   2. In Identity and Access Management (IAM), concedi il ruolo Publisher Pub/Sub (roles/pubsub.publisher) al principal customer-approval-jobs@system.gserviceaccount.com per consentire ad Access Approval di creare notifiche. Senza questo passaggio, le notifiche non verranno create.

Rivedere le impostazioni predefinite

Le impostazioni predefinite regolano il comportamento delle richieste di Access Approval.

• Preferisci richieste di approvazione specifiche della risorsa: Imposta l'ambito predefinito delle richieste di approvazione dell'accesso. Per impostazione predefinita, questa impostazione è disattivata. Se abiliti questa impostazione, il numero di richieste di Access Approval che ricevi per accedere agli stessi dati potrebbe aumentare, ritardando l'assistenza del supporto Google. Esempi di valori predefiniti:
  • Disattivato: product.googleapis.com/project/12345/
  • Attivato: product.googleapis.com/project/12345/instances/abcde
• Periodo predefinito di tempo in giorni fino alla scadenza della richiesta di approvazione: imposta la scadenza predefinita per le richieste di approvazione dell'accesso. Questa impostazione può essere modificata al momento dell'approvazione di ogni richiesta.
• Ambito di accesso massimo preferito: imposta l'ambito di accesso alle risorse più ampio consigliato che un amministratore Google può richiedere. Ad esempio, se impostato su Progetto, gli amministratori Google richiederanno l'accesso a livello di progetto o risorsa.

Scegli la chiave di firma

Access Approval utilizza una chiave di firma per verificare l'integrità della richiesta di approvazione di accesso.

Per impostazione predefinita, viene utilizzato un Google-owned and managed key e non è necessaria alcuna configurazione aggiuntiva.

Per configurare facoltativamente una chiave di crittografia gestita dal cliente, vedi Configurare una chiave personalizzata.

Esaminare le richieste di approvazione

Dopo aver eseguito la registrazione ad Approvazione dell'accesso e aver aggiunto il tuo nome come approvatore per le richieste di accesso, riceverai notifiche via email per le richieste di accesso.

La seguente immagine mostra un esempio di notifica via email che Access Approval invia quando il personale di Google richiede l'accesso ai dati del cliente.

Per esaminare e approvare una richiesta di accesso in entrata:

1. Vai alla pagina Access Approval nella console Google Cloud .

   Vai ad Access Approval

   Per accedere a questa pagina, puoi anche fare clic sul link nell'email che ti è stata inviata con la richiesta di approvazione.

2. Fai clic su Approva.

Dopo aver approvato la richiesta, il personale di Google con caratteristiche corrispondenti all'approvazione, ad esempio la stessa giustificazione, posizione o posizione della scrivania, può accedere alla risorsa specificata e alle relative risorse secondarie entro il periodo di tempo approvato.