本文档介绍了如何使用Google Cloud 控制台设置 Access Approval,以接收项目访问请求的电子邮件通知。

Access Approval 可确保 Google 员工在访问您存储在Google Cloud中的内容时,必须获得经过加密签名的批准。

准备工作

注册 Access Approval

如需注册 Access Approval,请执行以下操作:

  1. 在 Google Cloud 控制台中,选择要为其启用访问审批的项目。

    转到“项目选择器”

  2. 前往 Access Approval 页面。

    前往 Access Approval

  3. 如需注册 Access Approval,请点击注册

  4. 在对话框中,为您的政策选择注册模式,然后点击注册

Access Approval 注册模式

您可以采用以下三种模式之一配置 Access Approval,并且可以随时在 Access Approval 设置中更改模式。您可以选择以下模式:

  1. 透明模式(推荐):使用此模式可在无需额外批准的情况下监控 Google 对您的工作负载的管理员权限。如需了解详情,请参阅 Access Transparency 文档
  2. 简化支持:使用此模式可自动批准客户服务团队访问您的支持请求,以便他们处理这些请求。其他访问原因需要获得 Access Approval。
  3. Access Approval:使用此模式可为所有访问启用完整的 Access Approval 功能。

系统会自动为所有 Access Approval 模式生成 Access Transparency 日志。

配置设置

在 Google Cloud 控制台的访问权限审批页面上,点击 管理设置

选择服务

Access Approval 设置(包括已启用产品的列表)继承自父级资源。您可以为所有或选定的其他支持的服务启用 Access Approval,从而扩大注册范围。

设置电子邮件和 Pub/Sub 通知

本部分介绍了如何接收针对此项目的访问权限请求通知。

为自己授予所需的 IAM 角色

如需查看和批准访问权限请求,您必须拥有 Access Approval Approver (roles/accessapproval.approver) IAM 角色。

如需为自己授予此 IAM 角色,请执行以下操作:

  1. 前往 Google Cloud 控制台中的 IAM 页面。

    前往 IAM

  2. 按主账号查看标签页中,点击 授予访问权限
  3. 在右侧窗格的新的主账号字段中,输入您的电子邮件地址。
  4. 点击选择角色字段,然后从菜单中选择 Access Approval Approver 角色。
  5. 点击保存

将自己添加为访问权限审批请求的审批者,并配置通知

如需将自己添加为审批者,以便查看和批准访问权限请求,请执行以下操作:

  1. 前往 Google Cloud 控制台中的 Access Approval 页面。

    前往 Access Approval

  2. 点击 管理设置

  3. 如需启用电子邮件通知,请在设置审批通知下的用户或群组电子邮件地址字段中添加您的电子邮件地址。

  4. 如需启用 Pub/Sub 通知,请执行以下操作:

    1. 设置审批通知下的 Pub/Sub 主题字段中添加您的 Pub/Sub 主题。
    2. 在 Identity and Access Management (IAM) 中,向 customer-approval-jobs@system.gserviceaccount.com 主账号授予 Pub/Sub Publisher 角色 (roles/pubsub.publisher),以允许访问审批创建通知。如果不执行此步骤,系统将不会创建通知。

查看默认设置

默认设置决定了访问权限审批请求的行为。

  • 首选特定于资源的审批请求:设置访问权限审批请求的默认范围。默认情况下,此设置处于停用状态。如果您启用此设置,您收到的访问同一数据的访问审批请求数量可能会增加,从而可能会延迟 Google 支持团队的协助。 默认值示例:
    • 已停用:product.googleapis.com/project/12345/
    • 已启用:product.googleapis.com/project/12345/instances/abcde
  • 审批请求默认到期天数:设置访问权限审批请求的默认到期时间。您可以在审批每项请求时更改此设置。
  • 首选的最大访问范围:设置 Google 管理员可以请求的最大推荐资源访问权限范围。 例如,如果设置为“项目”,Google 管理员将请求项目级或资源级访问权限。

选择签名密钥

访问审批使用签名密钥来验证访问审批请求的完整性。

默认情况下,系统会使用 Google-owned and managed key ,无需进行任何额外配置。

如需选择性地配置客户管理的加密密钥,请参阅设置自定义密钥

审核审批请求

注册使用“访问权限审批”功能并将自己添加为访问权限请求的审批者后,您会收到有关访问权限请求的电子邮件通知。

下图显示了 Access Approval 在 Google 员工请求访问客户数据时发送的电子邮件通知示例。

当 Google 员工请求访问客户数据时发送的电子邮件通知。

如需查看并批准收到的访问权限请求,请执行以下操作:

  1. 前往 Google Cloud 控制台中的 Access Approval 页面。

    前往 Access Approval

    如需前往此页面,您也可以点击发送给您的电子邮件中带有批准请求的链接。

  2. 点击批准

您批准请求后,具有与批准相匹配的特征(例如,相同的理由、位置或办公桌位置)的 Google 员工可以在批准的时间范围内访问指定资源及其子资源。

清理

  1. 如需取消注册 Access Approval,请执行以下操作:
    1. 在 Google Cloud 控制台的访问权限审批页面上,点击管理设置
    2. 点击取消注册
    3. 在随即打开的对话框中,点击退订
  2. 如需为组织停用 Access Transparency,请与 Cloud Customer Care 联系。

无需执行其他步骤。

后续步骤