カスタム署名鍵を使用してアクセス リクエストを確認して承認する

Access Approval に登録する

Access Approval に登録するには、以下の手順を行います。

1. Google Cloud コンソールで、アクセス承認を有効にするプロジェクトを選択します。

   プロジェクト セレクタに移動

2. [アクセス承認] ページに移動します。アクセス承認に移動

3. Access Approval に登録するには、[登録] をクリックします。

4. ダイアログで、ポリシーの登録モードを選択し、[登録] をクリックします。

Access Approval のプライマリ登録モード

Access Approval は 3 つのモードのいずれかで構成できます。モードは、Access Approval の設定でいつでも変更できます。次のモードを選択できます。

1. 透明性（推奨）: このモードを使用して、Google の管理者権限によるアクセスをログに記録します。詳細については、アクセスの透明性に関するドキュメントをご覧ください。
2. サポートの合理化: このモードを使用すると、サポートケースの作業を行うためにカスタマーケアがアクセスすることを自動的に承認できます。プロアクティブなメンテナンスと修理アクセスには、アクセス承認による承認が必要です。
3. アクセス承認: このモードを使用すると、すべてのアクセスに対してアクセス承認のすべての機能が有効になります。

アクセスの透明性ログは、すべてのアクセス承認ポリシーに対して自動的に生成されます。

構成の設定

Google Cloud コンソールの [Access Approval] ページで、[settings設定を管理する] をクリックします。

サービスの選択

有効なプロダクトのリストなど、Access Approval の設定は親リソースから継承されます。すべての追加サービスまたは選択した追加サービス（サポートされているサービス）に対して Access Approval を有効にすることで、登録の範囲を拡大できます。

メール通知を設定する

このセクションでは、このプロジェクトのアクセス リクエスト通知を受信する方法について説明します。

デフォルトの設定を確認する

デフォルト設定は、アクセス承認リクエストの動作を制御します。

• リソース固有の承認リクエストを優先する Access Approval リクエストのデフォルトのスコープを設定します。デフォルトでは、この設定は無効になっています。この設定を有効にすると、同じデータにアクセスするためのアクセス承認リクエストの数が増加し、Google サポートからの支援が遅れる可能性があります。例:
  • 無効: リソース: product.googleapis.com/project/12345/
  • 有効: リソース: product.googleapis.com/project/12345/instances/abcde
• 承認リクエストのデフォルトの有効期限（日数） Access Approval リクエストのデフォルトの有効期限を設定します。この設定は、リクエストごとに承認時に変更できます。
• 希望するアクセス権の最大スコープ Google 管理者がリクエストするリソース アクセス権の推奨最大スコープを設定します。たとえば、[Project] に設定すると、Google 管理者はプロジェクト レベルまたはリソースレベルのアクセス権をリクエストします。

必要な IAM ロールを付与する

アクセス リクエストを表示して承認するには、Access Approval 承認者（roles/accessapproval.approver）IAM ロールが必要です。

この IAM ロールを自分自身に付与するには、次のようにします。

1. Google Cloud コンソールで [IAM] ページに移動します。

   IAM に移動

2. [プリンシパルごとに表示] タブで、[person_addアクセスを許可] をクリックします。
3. 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
4. [ロールを選択] フィールドをクリックし、メニューから [アクセス承認者] ロールを選択します。
5. [保存] をクリックします。

自分自身を Access Approval リクエストの承認者として追加し、通知を構成する

承認者として自分自身を追加し、アクセス リクエストを確認して承認できるようにするには、次の操作を行います。

1. Google Cloud コンソールで [アクセス承認] ページに移動します。

   アクセス承認に移動

2. [settings設定を管理する] をクリックします。

3. メール通知を有効にするには、[承認通知の設定] の [ユーザーまたはグループのメールアドレス] フィールドにメールアドレスを追加します。

4. Pub/Sub 通知を有効にするには、[承認通知の設定] の [Pub/Sub トピック] フィールドに Pub/Sub トピックを追加します。

5. 設定を保存するには、[保存] をクリックします。

カスタム署名鍵を使用する

Access Approval は、署名鍵を使用して Access Approval リクエストの整合性を検証します。

Cloud EKM を有効にしている場合は、外部管理の署名鍵を選択できます。外部鍵の使用については、Cloud EKM の概要をご覧ください。

任意のアルゴリズムを使用して Cloud KMS 署名鍵を作成することもできます。詳細については、非対称鍵の作成をご覧ください。

カスタム署名鍵を使用するには、このセクションの手順に沿って操作します。

サービス アカウントのメールアドレスを取得する

サービス アカウントのメールアドレスは次の形式です。

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

PROJECT_NUMBER は、プロジェクト番号に置き換えます。

たとえば、プロジェクト番号が 123456789 のプロジェクトのサービス アカウントの場合、メールアドレスは service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com になります。

署名鍵を使用する手順は次のとおりです。

1. Google Cloud コンソールの [アクセス承認] ページで、[Cloud KMS 署名キー（高度）を使用] を選択します。

2. 暗号鍵バージョンのリソース ID を追加します。

   暗号鍵バージョンのリソース ID は次の形式にする必要があります。

   projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
   

   詳細については、Cloud KMS リソース ID の取得をご覧ください。

3. 設定を保存するには、[保存] をクリックします。

   カスタム署名鍵を使用するには、プロジェクトの Access Approval サービス アカウントに Cloud KMS 暗号鍵の署名者/検証者（roles/cloudkms.signerVerifier）の IAM ロールを付与する必要があります。

   指定したキーで署名する権限が Access Approval サービス アカウントにない場合は、[付与] をクリックして必要な権限を付与できます。権限を付与したら、[保存] をクリックします。

   

Access Approval リクエストを確認する

アクセス承認に登録し、アクセス リクエストの承認者として自分自身を追加したので、アクセス リクエストのメール通知が届くようになります。

次の図は、Google 社員がお客様データへのアクセスをリクエストしたときに Access Approval が送信するメール通知の例を示しています。

受信したアクセス リクエストを確認して承認するには、次の操作を行います。

1. Google Cloud コンソールで [アクセス承認] ページに移動します。

   アクセス承認に移動

   承認リクエストとともに送信されたメールのリンクをクリックして、このページに移動することもできます。

2. [承認] をクリックします。

リクエストを承認すると、承認に一致する特徴（同じ理由、ロケーション、デスクの場所など）を持つ Google の担当者は、承認された期間内で指定されたリソースとその子リソースにアクセスできます。