アクセス承認リクエストの構造
このページでは、アクセス承認リクエストに含まれる情報について説明します。
アクセス承認リクエストの例
以下のコードは、Access Approval のリクエストのサンプルです。
{
"name": "projects/123456/approvalRequests/xyzabc123",
"requestedResourceName": "projects/123456",
"requestedReason": {
"detail": "Case number: bar123",
"type": "CUSTOMER_INITIATED_SUPPORT"
},
"requestedLocations": {
"principalOfficeCountry": "US",
"principalPhysicalLocationCountry": "US"
},
"requestTime": "2018-08-28T19:07:12.286Z",
"requestedExpiration": "2018-09-02T19:07:11.877Z"
}
リクエスト フィールド
アクセス承認リクエストには次のフィールドが含まれます。
| フィールド | 説明 |
|---|---|
Resource |
Google の社員がアクセスをリクエストしているリソースの場所。Google の担当者は、リソースレベルまたは特定のプロジェクト レベルでアクセスをリクエストできます。特定のリソースへのアクセスを承認すると、その下の子リソースへのアクセスも許可されます。たとえば、
projects/123456/buckets/bucket-123 プロジェクトを承認すると、
projects/123456/buckets/bucket-123/objects/file-1 子
リソースへのアクセス リクエストも許可されます。 |
Request time |
アクセス承認からアクセス リクエストが 送信された時刻。 |
Access expires |
リクエストされたアクセス権の有効期限。 |
Office location |
アクセスが許可されるのは、アクセス元がこの場所に常設のデスクを持っている場合のみです。場所は、ISO 3166-1 alpha-2 国コード、 3 文字の大陸識別子、または任意の場所が許可されていることを示す ANY のいずれかです。 |
Physical location |
アクセスが許可されるのは、アクセス元がこの場所に物理的に存在する場合のみです。場所は、ISO 3166-1 alpha-2 国コード、 3 文字の大陸識別子、または任意の場所が許可されていることを示す ANY のいずれかです。 |
Reason |
アクセスする理由です。詳しくは、 アクセスの透明性ログの理由コードをご覧ください。 |
アクセス リクエストのフィールドの詳細については、 リソース: ApprovalRequest をご覧ください。
過去のアクセス承認リクエスト
Access Approval では、過去のすべての承認済み、自動承認、拒否、期限切れのアクセス リクエストを表示できます。コンソールまたは curl を使用して、アクセス リクエストの履歴を表示できます。Google Cloud 手順については、
アクセス承認リクエストの履歴の表示をご覧ください。
過去のアクセス リクエスト ログには、すべてのアクセス リクエスト フィールドが含まれ、リクエストのステータスとレスポンス時間が示されます。
以下のセクションでは、承認ステータス フィールドとレスポンス時間 フィールドについて説明します。
アクセス リクエストのステータス
アクセス承認リクエストのステータスは次のいずれかになります。
| ステータス | 説明 |
|---|---|
pending |
アクセス リクエストがあなたの対応待ちの状態であることを示します。 |
approved |
あなたがアクセス リクエストを承認したことを示します。 |
dismissed |
あなたがアクセス権リクエストを拒否したことを示します。 |
expired |
承認したアクセス権の有効期限が切れたことを示します。 |
policy-approved |
構成された ポリシーのルールによってリクエストが承認されたことを示します。詳細については、 Access Approval ポリシー設定の詳細をご覧ください。 |
auto-approved |
Google の担当者が
顧客データに時間的制約のあるアクセスを行ったことを示します。Google の担当者はこのようなアクセスを行うために、顧客データを得る通常のフローを短縮しなければなりませんでした。Google の担当者は、本番環境の停止調査や法的要請のためにこれらのアクセスを行う必要があります。
以前は、これらのアクセスによって Access Approval のリクエストがトリガーされることはありませんでした。これらのアクセスの透明性を確保するため、Access Approval はこれらのアクセスを auto-approved ステータスでログに記録します。これらのアクセスの詳細については、コンソールの [Access Approval] ページの [履歴リクエスト] セクションで表示できます。 auto-approved アクセスによっても、通常のアクセスの透明性ログのセットが生成されます。 Google Cloud アクセスの透明性ログには、 影響を受けるリソースとアクションの時間に関する情報が記録されます。アクセスの透明性ログの表示の詳細については、アクセスの透明性ログを理解して使用するをご覧ください。アクセス承認リクエストをトリガーしないアクションの一覧については、 アクセス承認の例外をご覧ください。 |
応答時間
このフィールドには、アクセス リクエストを承認または拒否した時刻が表示されます。応答時間は、操作が行われなかったことが原因で拒否されたリクエストには適用されません。
次のステップ
- Access Approval のリクエストの履歴を表示する方法を確認する。
- アクセス リクエストを承認する方法を確認する。