Examiner et approuver les demandes d'accès à l'aide d'une clé de signature personnalisée

Ce document explique comment configurer Access Approval à l'aide de la consoleGoogle Cloud et d'une clé de signature personnalisée pour recevoir des notifications par e-mail des demandes d'accès sur un projet.

Access Approval garantit qu'une approbation signée de manière cryptographique est présente pour que le personnel de Google puisse accéder à votre contenu stocké surGoogle Cloud.

Access Approval vous permet d'apporter votre propre clé cryptographique pour signer la demande d'accès. Vous pouvez créer une clé à l'aide de Cloud Key Management Service ou importer une clé gérée en externe à l'aide de Cloud External Key Manager.

Avant de commencer

S'enregistrer auprès d'Access Approval

Pour vous enregistrer auprès d'Access Approval, procédez comme suit :

  1. Dans la console Google Cloud , sélectionnez le projet pour lequel vous souhaitez activer Access Approval.

    Accéder au sélecteur de projet

  2. Accédez à la page Access Approval.

    Accéder à Access Approval

  3. Pour vous enregistrer auprès d'Access Approval, cliquez sur S'enregistrer.

    Enregistrez-vous auprès d'Access Approval.

  4. Dans la boîte de dialogue, sélectionnez le mode d'enregistrement pour votre règle, puis cliquez sur Enregistrer.

    Avis de non-responsabilité concernant l'augmentation du temps d'assistance pour Access Approval.

Mode d'enregistrement principal Access Approval

Vous pouvez configurer Access Approval dans l'un des trois modes disponibles et le modifier à tout moment dans les paramètres d'Access Approval. Vous pouvez sélectionner les modes suivants :

  1. Transparence (recommandé) : utilisez ce mode pour consigner uniquement les accès administratifs Google à vos charges de travail sans interrompre l'assistance Google pour vos demandes d'assistance ni la maintenance proactive de vos charges de travail. Pour en savoir plus, consultez la documentation Access Transparency.
  2. Assistance simplifiée (aperçu) : utilisez ce mode pour approuver automatiquement l'accès au service client afin qu'il puisse traiter vos demandes d'assistance. L'accès pour la maintenance et les réparations proactives sera demandé pour approbation avec Access Approval. Cette fonctionnalité est en phase de lancement en version preview.
  3. Approbation d'accès : utilisez ce mode pour activer toutes les fonctionnalités d'approbation d'accès pour tous les accès.

Les journaux Access Transparency sont générés automatiquement pour toutes les règles Access Approval.

Configurer les paramètres

Sur la page Approbation de l'accès de la console Google Cloud , cliquez sur Gérer les paramètres.

Sélectionnez le bouton "Gérer les paramètres".

Sélectionner des services

Les paramètres Access Approval, y compris la liste des produits activés, sont hérités de la ressource parente. Vous pouvez étendre le champ d'application de l'inscription en activant Access Approval pour tous les services compatibles ou pour certains d'entre eux.

Cochez les cases "Activer les services supplémentaires".

Configurer les notifications par e-mail

Cette section explique comment recevoir des notifications de demande d'accès pour ce projet.

Accorder le rôle IAM requis

Pour afficher et approuver les demandes d'accès, vous devez disposer du rôle IAM Approbateur Access Approval (roles/accessapproval.approver).

Pour vous attribuer ce rôle IAM, procédez comme suit :

  1. Accédez à la page IAM de la console Google Cloud .

    Accéder à IAM

  2. Dans l'onglet Afficher par compte principal, cliquez sur Accorder l'accès.
  3. Dans le champ Nouveaux comptes principaux du volet de droite, saisissez votre adresse e-mail.
  4. Cliquez sur le champ Sélectionner un rôle, puis sélectionnez le rôle Approbateur de l'approbation de l'accès dans le menu.
  5. Cliquez sur Enregistrer.

Ajouter votre nom à la liste des approbateurs pour les demandes Access Approval

Pour vous ajouter en tant qu'approbateur afin de pouvoir examiner et approuver les demandes d'accès, procédez comme suit :

  1. Accédez à la page Access Approval dans la console Google Cloud .

    Accéder à Access Approval

  2. Cliquez sur Gérer les paramètres.

  3. Sous Configurer les notifications d'approbation, ajoutez votre adresse e-mail dans le champ Adresse e-mail de l'utilisateur ou du groupe.

  4. Pour enregistrer les paramètres de notification, cliquez sur Enregistrer.

Utiliser une clé de signature personnalisée

Access Approval utilise une clé de signature pour vérifier l'intégrité de la demande Access Approval.

Si Cloud EKM est activé, vous pouvez choisir une clé de signature gérée en externe. Pour en savoir plus sur l'utilisation de clés externes, consultez la présentation de Cloud EKM.

Vous pouvez également choisir de créer une clé de signature Cloud KMS avec l'algorithme de votre choix. Pour en savoir plus, consultez Créer des clés asymétriques.

Pour utiliser une clé de signature personnalisée, suivez les instructions de cette section.

Obtenir l'adresse e-mail du compte de service

L'adresse e-mail du compte de service est au format suivant :

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

Remplacez PROJECT_NUMBER par le numéro du projet.

Par exemple, l'adresse e-mail [email protected] correspond à un compte de service dans un projet dont le numéro est 123456789.

Pour utiliser votre clé de signature :

  1. Sur la page Approbation de l'accès de la console Google Cloud , sélectionnez Utiliser une clé de signature Cloud KMS (avancé).

  2. Ajoutez l'ID de ressource de la version de la clé cryptographique.

    L'ID de ressource de la version de clé cryptographique doit se présenter comme suit :

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    Pour en savoir plus, consultez Obtenir un ID de ressource Cloud KMS.

  3. Pour enregistrer vos paramètres, cliquez sur Enregistrer.

    Pour utiliser une clé de signature personnalisée, vous devez attribuer le rôle IAM Signataire/Validateur de CryptoKey Cloud KMS (roles/cloudkms.signerVerifier) au compte de service Access Approval pour votre projet.

    Si le compte de service Access Approval ne dispose pas des autorisations nécessaires pour signer avec la clé que vous avez fournie, vous pouvez accorder les autorisations requises en cliquant sur Accorder. Une fois les autorisations accordées, cliquez sur Enregistrer.

    Enregistrez les paramètres sélectionnés.

Examiner les demandes Access Approval

Maintenant que vous vous êtes inscrit à Access Approval et que vous vous êtes ajouté en tant qu'approbateur pour les demandes d'accès, vous recevrez des notifications par e-mail pour les demandes d'accès.

L'image suivante montre un exemple de notification par e-mail qu'Access Approval envoie lorsque le personnel Google demande l'accès aux données client.

Notification par e-mail envoyée lorsque le personnel Google demande l'accès aux données client.

Pour examiner et approuver une demande d'accès entrante, procédez comme suit :

  1. Accédez à la page Access Approval dans la console Google Cloud .

    Accéder à Access Approval

    Pour accéder à cette page, vous pouvez également cliquer sur le lien de l'e-mail qui vous a été envoyé avec la demande d'approbation.

  2. Cliquez sur Approuver.

Une fois la demande approuvée, le personnel de Google dont les caractéristiques correspondent à l'approbation (par exemple, même motif de justification, même adresse ou adresse professionnelle) peut accéder à la ressource spécifiée et à ses ressources enfants dans le délai approuvé.

Effectuer un nettoyage

  1. Pour vous désinscrire d'Access Approval, procédez comme suit :
    1. Sur la page Approbation de l'accès de la console Google Cloud , cliquez sur Gérer les paramètres.
    2. Cliquez sur Se désinscrire.
    3. Dans la boîte de dialogue qui s'ouvre, cliquez sur Se désinscrire.
  2. Pour désactiver Access Transparency pour votre organisation, contactez l'assistance Cloud Customer Care.

Aucune étape supplémentaire n'est requise pour éviter des frais sur votre compte.

Étapes suivantes