使用 Google 管理的签名密钥审核和批准访问权限请求

注册 Access Approval

如需注册 Access Approval，请执行以下操作：

1. 在 Google Cloud 控制台中，选择要为其启用 Access Approval 的项目。

   转到“项目选择器”

2. 前往 Access Approval 页面。

   前往 Access Approval

3. 如需注册 Access Approval，请点击注册。

   

4. 在对话框中，为您的政策选择注册模式，然后点击注册。

   

Access Approval 主要注册模式

您可以通过以下三种模式之一配置 Access Approval，并且可以随时在 Access Approval 设置中更改模式。您可以选择以下模式：

1. 透明度（推荐）：使用此模式时，系统只会记录 Google 对工作负载的管理员访问，而不会中断 Google 对支持请求的支持或对工作负载的主动维护。如需了解详情，请参阅 Access Transparency 文档。
2. 简化支持（预览版）：使用此模式可自动批准客户服务团队访问您的支持请求。我们会使用 Access Approval 请求批准主动维护和维修访问权限。此功能处于预览版发布阶段。
3. Access Approval：使用此模式可为所有访问启用完整的 Access Approval 功能。

系统会为所有 Access Approval 模式自动生成 Access Transparency 日志。

配置设置

在 Google Cloud 控制台的访问权限审批页面上，点击settings管理设置。

选择服务

默认情况下，需要 Access Approval 的服务会从项目的父资源继承。您可以选择自动为所有受支持的服务启用 Access Approval，从而扩大注册范围。

设置电子邮件和 Pub/Sub 通知

本部分介绍了如何接收此项目的访问权限请求通知。

为自己授予所需的 IAM 角色

如需查看和批准访问权限请求，您必须拥有 Access Approval Approver (roles/accessapproval.approver) IAM 角色。

如需向自己授予此 IAM 角色，请执行以下操作：

1. 前往 Google Cloud 控制台中的 IAM 页面。

   前往 IAM

2. 在按主账号查看标签页中，点击 person_add 授予访问权限。
3. 在右侧窗格中的新的主账号字段中，输入您的电子邮件地址。
4. 点击选择角色字段，然后从菜单中选择访问权限审批批准人角色。
5. 点击保存。

将自己添加为访问权限审批请求的审批人并配置通知

如需将自己添加为审批人，以便审核和批准访问权限请求，请执行以下操作：

1. 前往 Google Cloud 控制台中的 Access Approval 页面。

   前往 Access Approval

2. 点击 settings管理设置。

3. 如需启用电子邮件通知，请在设置审批通知下的用户或群组电子邮件地址字段中添加您的电子邮件地址。

4. 如需启用 Pub/Sub 通知，请在设置审批通知下的 Pub/Sub 主题字段中添加您的 Pub/Sub 主题。

选择由 Google 管理的签名密钥

Access Approval 使用签名密钥来验证 Access Approval 请求的完整性。

Google 管理的签名密钥是默认选项。使用Google-owned and managed key 无需任何额外配置。

审核 Access Approval 请求

现在，您已注册使用 Access Approval，并将自己添加为访问权限请求的审批人，因此您应该会收到访问权限请求的电子邮件通知。

下图显示了 Access Approval 在 Google 员工请求访问客户数据时发送的电子邮件通知示例。

如需查看并批准收到的访问权限请求，请执行以下操作：

1. 前往 Google Cloud 控制台中的 Access Approval 页面。

   前往 Access Approval

   您也可以点击发送给您的电子邮件中带有批准请求的链接，以转到此页面。

2. 点击批准。

您批准请求后，具有与批准相匹配的特征（例如，相同的理由、位置或办公桌位置）的 Google 人员可以在批准的时间范围内访问指定资源及其子资源。