Meninjau dan menyetujui permintaan akses menggunakan kunci penandatanganan kustom

Dokumen ini menunjukkan cara menyiapkan Persetujuan Akses menggunakan konsol Google Cloud dan kunci penandatanganan kustom untuk menerima notifikasi email tentang permintaan akses pada sebuah project.

Persetujuan Akses memastikan bahwa persetujuan yang ditandatangani secara kriptografis ada bagi personel Google untuk mengakses konten Anda yang disimpan di Google Cloud.

Persetujuan Akses memungkinkan Anda membawa kunci kriptografis Anda sendiri untuk menandatangani permintaan akses. Anda dapat membuat kunci menggunakan Cloud Key Management Service atau menggunakan kunci yang dikelola secara eksternal menggunakan Cloud External Key Manager.

Sebelum memulai

Mendaftar ke Access Approval

Untuk mendaftar ke Persetujuan Akses, lakukan hal berikut:

  1. Di konsol Google Cloud, pilih project yang ingin Andaaktifkan Access Approval-nya.

    Buka pemilih project

  2. Buka halaman Persetujuan Akses.

    Buka Access Approval

  3. Untuk mendaftar ke Access Approval, klik Daftar.

    Pilih tombol Daftar.

  4. Di kotak dialog yang terbuka, klik Daftar.

    Pernyataan penyangkalan Access Approval tentang peningkatan waktu dukungan.

Mengonfigurasi setelan

Di halaman Access Approval di konsol Google Cloud, klik Manage settings.

Pilih tombol Kelola setelan.

Pilih layanan

Secara default, layanan yang memerlukan Persetujuan Akses diwarisi dari resource induk project. Anda dapat memperluas cakupan pendaftaran dengan memilih opsi untuk mengaktifkan Persetujuan Akses secara otomatis untuk semua layanan yang didukung.

Menyiapkan notifikasi email

Bagian ini menjelaskan cara Anda dapat menerima notifikasi permintaan akses untuk project ini.

Memberikan peran IAM yang diperlukan

Untuk melihat dan menyetujui permintaan akses, Anda harus memiliki peran IAM Access Approval Approver (roles/accessapproval.approver).

Untuk memberikan peran IAM ini kepada diri Anda sendiri, lakukan hal berikut:

  1. Buka halaman IAM di Konsol Google Cloud.

    Buka IAM

  2. Di tab View by principals, klik Grant access.
  3. Di kolom New principals di panel kanan, masukkan alamat email Anda.
  4. Klik kolom Pilih peran, lalu pilih peran Access Approval Approver dari menu.
  5. Klik Simpan.

Menambahkan diri Anda sebagai pemberi persetujuan untuk permintaan Persetujuan Akses

Untuk menambahkan diri Anda sebagai pemberi persetujuan agar dapat meninjau dan menyetujui permintaan akses, lakukan hal berikut:

  1. Buka halaman Access Approval di konsol Google Cloud.

    Buka Access Approval

  2. Klik Kelola setelan.

  3. Di bagian Siapkan notifikasi persetujuan, tambahkan alamat email Anda di kolom Email pengguna atau grup.

  4. Untuk menyimpan setelan notifikasi, klik Simpan.

Menggunakan kunci penandatanganan kustom

Persetujuan Akses menggunakan kunci penandatanganan untuk memverifikasi integritas persetujuan akses.

Jika Cloud EKM diaktifkan, Anda dapat memilih kunci penandatanganan yang dikelola secara eksternal. Untuk informasi tentang penggunaan kunci eksternal, lihat ringkasan Cloud EKM.

Anda juga dapat memilih untuk membuat kunci penandatanganan Cloud KMS dengan algoritma pilihan Anda. Untuk mengetahui informasi selengkapnya, lihat Membuat kunci asimetris.

Untuk menggunakan kunci penandatanganan kustom, ikuti petunjuk di bagian ini.

Mendapatkan alamat email akun layanan

Alamat email untuk akun layanan memiliki format berikut:

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.

Ganti PROJECT_NUMBER dengan nomor project.

Misalnya, alamat email adalah service-p123456789@gcp-sa-accessapproval. untuk akun layanan dalam project yang nomor project-nya adalah 123456789.

Untuk menggunakan kunci penandatanganan, lakukan tindakan berikut:

  1. Di halaman Access Approval di konsol Google Cloud, pilih Use a Cloud KMS signing key (advanced).

  2. Tambahkan ID resource versi kunci kriptografis.

    ID resource versi kunci kriptografis harus memiliki bentuk berikut:

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    Untuk informasi selengkapnya, lihat Mendapatkan ID resource Cloud KMS.

  3. Untuk menyimpan setelan, klik Simpan.

    Untuk menggunakan kunci penandatanganan kustom, Anda harus memberikan peran IAM Cloud KMS CryptoKey Signer/Verifier (roles/cloudkms.signerVerifier) ke akun layanan Access Approval untuk project Anda.

    Jika akun layanan Access Approval tidak memiliki izin untuk menandatangani dengan kunci yang Anda berikan, Anda dapat memberikan izin yang diperlukan dengan mengklik Berikan. Setelah memberikan izin, klik Simpan.

    Simpan setelan yang dipilih.

Meninjau permintaan Persetujuan Akses

Setelah mendaftar ke Persetujuan Akses dan menambahkan diri Anda sebagai pemberi persetujuan untuk permintaan akses, Anda akan menerima notifikasi email untuk permintaan akses.

Gambar berikut menunjukkan contoh notifikasi email yang dikirim Persetujuan Akses saat staf Google meminta akses ke konten pelanggan.

Notifikasi email yang dikirim saat staf Google meminta akses ke konten pelanggan.

Untuk meninjau dan menyetujui permintaan akses masuk, lakukan hal berikut:

  1. Buka halaman Access Approval di konsol Google Cloud.

    Buka Access Approval

    Untuk membuka halaman ini, Anda juga dapat mengklik link di email yang dikirimkan kepada Anda dengan permintaan persetujuan.

  2. Klik Approve.

Setelah Anda menyetujui permintaan, personel Google dengan karakteristik yang cocok dengan persetujuan, seperti justifikasi, lokasi, atau lokasi meja yang sama, dapat mengakses resource yang ditentukan dan resource turunannya dalam jangka waktu yang disetujui.

Pembersihan

  1. Untuk membatalkan pendaftaran dari Access Approval, lakukan tindakan berikut:
    1. Di halaman Access Approval di konsol Google Cloud, klik Manage settings.
    2. Klik Batalkan pendaftaran.
    3. Pada dialog yang terbuka, klik Batalkan pendaftaran.
  2. Untuk menonaktifkan Transparansi Akses bagi organisasi Anda, hubungi Cloud Customer Care.

Tidak ada langkah tambahan yang diperlukan untuk menghindari tagihan ke akun Anda.

Langkah selanjutnya