Esaminare e approvare le richieste di accesso utilizzando la chiave di firma gestita da Google

Questo documento mostra come configurare Access Approval utilizzando la consoleGoogle Cloud per ricevere notifiche via email delle richieste di accesso per un progetto.

Access Approval garantisce che sia presente un'approvazione firmata in modo crittografico per consentire al personale di Google di accedere ai tuoi contenuti archiviati su Google Cloud.

Prima di iniziare

Registrati ad Access Approval

Per registrarti ad Access Approval:

  1. Nella Google Cloud console, seleziona il progetto per cui vuoi attivare l'approvazione dell'accesso.

    Vai al selettore dei progetti

  2. Vai alla pagina Access Approval (Approvazione accesso).

    Vai ad Access Approval

  3. Per registrarti ad Access Approval, fai clic su Registrati.

    Registrati ad Access Approval.

  4. Nella finestra di dialogo, seleziona la modalità di registrazione per il criterio e fai clic su Registra.

    Disclaimer di Access Approval relativo all'aumento del tempo di assistenza.

Modalità di registrazione principale di Access Approval

Puoi configurare Access Approval in una di tre modalità e puoi cambiare la modalità in qualsiasi momento nelle impostazioni di Access Approval. Puoi selezionare le seguenti modalità:

  1. Trasparenza (consigliata): utilizza questa modalità per registrare solo l'accesso amministrativo di Google ai tuoi carichi di lavoro senza interrompere l'assistenza di Google per le tue richieste di assistenza o la manutenzione proattiva dei tuoi carichi di lavoro. Per ulteriori informazioni, consulta la documentazione di Access Transparency.
  2. Assistenza semplificata (anteprima): utilizza questa modalità per approvare automaticamente l'accesso dell'assistenza clienti per lavorare sulle tue richieste di assistenza. L'accesso per la manutenzione e la riparazione proattiva verrà richiesto per l'approvazione con Access Approval. Questa funzionalità è nella fase di lancio dell'anteprima.
  3. Access Approval: utilizza questa modalità per attivare la funzionalità completa di Access Approval per tutti gli accessi.

I log di Access Transparency vengono generati automaticamente per tutte le modalità di Access Approval.

Configura le impostazioni

Nella pagina Approvazione accesso della Google Cloud console, fai clic su Gestisci impostazioni.

Seleziona il pulsante Gestisci impostazioni.

Seleziona i servizi

Per impostazione predefinita, i servizi che richiedono Access Approval vengono ereditati dalla risorsa padre del progetto. Puoi espandere l'ambito della registrazione selezionando l'opzione per attivare automaticamente Access Approval per tutti i servizi supportati.

Configurare le notifiche via email e Pub/Sub

Questa sezione spiega come ricevere notifiche relative alle richieste di accesso per questo progetto.

Concedi a te il ruolo IAM richiesto

Per visualizzare e approvare le richieste di accesso, devi disporre del ruolo IAM Approvatore accesso (roles/accessapproval.approver).

Per concederti questo ruolo IAM:

  1. Vai alla pagina IAM nella Google Cloud console.

    Vai a IAM

  2. Nella scheda Visualizza per entità, fai clic su Concedi accesso.
  3. Nel campo Nuove entità nel riquadro a destra, inserisci il tuo indirizzo email.
  4. Fai clic sul campo Seleziona un ruolo e seleziona il ruolo Approvatore dell'approvazione dell'accesso dal menu.
  5. Fai clic su Salva.

Aggiungere te stesso come approvatore per le richieste di Approvazioni dell'accesso e configurare le notifiche

Per aggiungerti come approvatore in modo da poter esaminare e approvare le richieste di accesso, svolgi quanto segue:

  1. Vai alla pagina Approvazione accesso nella Google Cloud console.

    Vai ad Access Approval

  2. Fai clic su Gestisci impostazioni.

  3. Per attivare le notifiche via email, aggiungi il tuo indirizzo email nel campo Indirizzo email dell'utente o del gruppo in Configurare le notifiche di approvazione.

  4. Per attivare le notifiche Pub/Sub, aggiungi l'argomento Pub/Sub nel campo Argomento Pub/Sub in Configura notifiche di approvazione.

Seleziona una chiave di firma gestita da Google

L'approvazione di accesso utilizza una chiave di firma per verificare l'integrità della richiesta di approvazione di accesso.

La chiave di firma gestita da Google è l'opzione predefinita. L'utilizzo di un Google-owned and managed key non richiede alcuna configurazione aggiuntiva.

Esaminare le richieste di Access Approval

Ora che hai eseguito la registrazione ad Approvazione dell'accesso e ti sei aggiunto come approvatore per le richieste di accesso, dovresti ricevere notifiche via email per queste richieste.

L'immagine seguente mostra un esempio di notifica via email inviata da Access Approval quando il personale di Google richiede l'accesso ai dati dei clienti.

La notifica via email che viene inviata quando il personale di Google richiede l'accesso ai dati del cliente.

Per esaminare e approvare una richiesta di accesso in arrivo:

  1. Vai alla pagina Approvazione accesso nella Google Cloud console.

    Vai ad Access Approval

    Per accedere a questa pagina, puoi anche fare clic sul link nell'email che ti è stata inviata con la richiesta di approvazione.

  2. Fai clic su Approva.

Dopo che avrai approvato la richiesta, il personale di Google con caratteristiche corrispondenti all'approvazione, ad esempio la stessa motivazione, la stessa località o la stessa sede, potrà accedere alla risorsa specificata e alle sue risorse secondarie entro il periodo di tempo approvato.

Esegui la pulizia

  1. Per annullare la registrazione ad Access Approval:
    1. Nella pagina Approvazione accesso della Google Cloud console, fai clic su Gestisci impostazioni.
    2. Fai clic su Annulla iscrizione.
    3. Nella finestra di dialogo che si apre, fai clic su Disiscrizione.
  2. Per disattivare Access Transparency per la tua organizzazione, contatta l'assistenza clienti di Cloud.

Non sono necessari ulteriori passaggi per evitare che al tuo account vengano addebitati costi.

Passaggi successivi