カスタム署名鍵を使用してアクセス リクエストを確認して承認する

このドキュメントでは、Google Cloud コンソールとカスタム署名鍵を使用して Access Approval を設定し、プロジェクトに対するアクセス リクエストのメール通知を受信する方法について説明します。

Access Approval は、Google の担当者がGoogle Cloudに保存されているお客様のコンテンツにアクセスするために、暗号署名された承認が存在することを確認します。

Access Approval では、独自の暗号鍵を使用してアクセス リクエストに署名できます。Cloud Key Management Service を使用して鍵を作成するか、Cloud External Key Manager を使用して外部管理の鍵を用意できます。

準備

Access Approval に登録する

Access Approval に登録するには、以下の手順を行います。

  1. Google Cloud コンソールで、アクセス承認を有効にするプロジェクトを選択します。

    プロジェクト セレクタに移動

  2. Access Approval のページに移動

    アクセス承認に移動

  3. Access Approval に登録するには、[登録] をクリックします。

    Access Approval に登録しますか?

  4. ダイアログで、ポリシーの登録モードを選択し、[登録] をクリックします。

    サポート時間の増加に関する Access Approval の免責条項

Access Approval のプライマリ登録モード

Access Approval は 3 つのモードのいずれかで構成できます。モードは、Access Approval の設定でいつでも変更できます。次のモードを選択できます。

  1. 透過性(推奨): このモードを使用すると、Google のサポートケースやワークロードの事前対応型メンテナンスを中断することなく、Google の管理者アクセスのみをワークロードに記録できます。詳細については、アクセスの透明性に関するドキュメントをご覧ください。
  2. サポートの合理化: このモードを使用すると、サポートケースの処理のためにカスタマーケアのアクセスが自動的に承認されます。事前対応型のメンテナンスと修理のアクセス権は、Access Approval で承認をリクエストします。
  3. アクセス承認: このモードを使用すると、すべてのアクセスに対してアクセス承認のすべての機能が有効になります。

アクセスの透明性ログは、すべてのアクセス承認ポリシーに対して自動的に生成されます。

構成の設定

Google Cloud コンソールの [Access Approval] ページで、[設定を管理する] をクリックします。

[設定を管理] ボタンを選択します。

サービスの選択

有効なプロダクトのリストなど、Access Approval の設定は親リソースから継承されます。すべてのサポート対象のサービスまたは選択した追加のサービスに対して Access Approval を有効にすることで、登録の範囲を拡張できます。

[その他のサービスを有効にする] チェックボックスをオンにする

メール通知を設定する

このセクションでは、このプロジェクトのアクセス リクエスト通知を受信する方法について説明します。

必要な IAM ロールを付与する

アクセス リクエストを表示して承認するには、Access Approval 承認者(roles/accessapproval.approver)IAM ロールが必要です。

この IAM ロールを自分自身に付与するには、次のようにします。

  1. Google Cloud コンソールで [IAM] ページに移動します。

    IAM に移動

  2. [プリンシパルごとに表示] タブで、[アクセスを許可] をクリックします。
  3. 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
  4. [ロールを選択] フィールドをクリックし、メニューから [アクセス承認者] ロールを選択します。
  5. [保存] をクリックします。

自分自身を Access Approval リクエストの承認者として追加する

承認者として自分自身を追加し、アクセス リクエストを確認して承認できるようにするには、次の操作を行います。

  1. Google Cloud コンソールの [アクセス承認] ページに移動します。

    アクセス承認に移動

  2. [設定を管理する] をクリックします。

  3. [承認通知の設定] の [ユーザーまたはグループのメールアドレス] フィールドにメールアドレスを追加します。

  4. 通知設定を保存するには、[保存] をクリックします。

カスタム署名鍵を使用する

Access Approval は、署名鍵を使用して Access Approval リクエストの整合性を検証します。

Cloud EKM を有効にしている場合は、外部管理の署名鍵を選択できます。外部鍵の使用については、Cloud EKM の概要をご覧ください。

任意のアルゴリズムを使用して Cloud KMS 署名鍵を作成することもできます。詳細については、非対称鍵の作成をご覧ください。

カスタム署名鍵を使用するには、このセクションの手順に沿って操作します。

サービス アカウントのメールアドレスを取得する

サービス アカウントのメールアドレスは次の形式です。

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

PROJECT_NUMBER は、プロジェクト番号に置き換えます。

たとえば、プロジェクト番号が 123456789 のプロジェクトのサービス アカウントの場合、メールアドレスは service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com になります。

署名鍵を使用する手順は次のとおりです。

  1. Google Cloud コンソールの [Access Approval] ページで、[Cloud KMS 署名キー(高度)を使用] を選択します。

  2. 暗号鍵バージョンのリソース ID を追加します。

    暗号鍵バージョンのリソース ID は次の形式にする必要があります。

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    詳細については、Cloud KMS リソース ID の取得をご覧ください。

  3. 設定を保存するには、[保存] をクリックします。

    カスタム署名鍵を使用するには、プロジェクトの Access Approval サービス アカウントに Cloud KMS 暗号鍵の署名者/検証者roles/cloudkms.signerVerifier)の IAM ロールを付与する必要があります。

    指定したキーで署名する権限が Access Approval サービス アカウントにない場合は、[付与] をクリックして必要な権限を付与できます。権限を付与したら、[保存] をクリックします。

    選択した設定を保存します。

Access Approval リクエストを確認する

アクセス承認に登録し、アクセス リクエストの承認者として自分自身を追加したので、アクセス リクエストのメール通知が届くようになります。

次の図は、Google 社員がお客様データへのアクセスをリクエストしたときに Access Approval が送信するメール通知の例を示しています。

Google の担当者がお客様データへのアクセスをリクエストしたときに送信されるメール通知。

受信したアクセス リクエストを確認して承認するには、次の操作を行います。

  1. Google Cloud コンソールの [アクセス承認] ページに移動します。

    アクセス承認に移動

    承認リクエストとともに送信されたメールのリンクをクリックして、このページに移動することもできます。

  2. [承認] をクリックします。

リクエストを承認すると、承認に一致する特徴(同じ理由、ロケーション、デスクの場所など)を持つ Google の担当者は、承認された期間内で指定されたリソースとその子リソースにアクセスできます。

クリーンアップ

  1. Access Approval の登録を解除するには、次の操作を行います。
    1. Google Cloud コンソールの [Access Approval] ページで、[設定を管理する] をクリックします。
    2. [登録解除] をクリック
    3. 表示されたダイアログで [登録解除] をクリックします。
  2. 組織のアクセスの透明性を無効にするには、Cloud カスタマーケアにお問い合わせください。

アカウントへの請求を避けるための追加の手順は必要ありません。

次のステップ