カスタム署名鍵を構成する（省略可）

Access Approval では、署名鍵を使用して Access Approval リクエストの整合性を検証します。デフォルトでは、 Google-owned and managed key が使用されます。

Cloud EKM を有効にしている場合は、外部管理の署名鍵を選択できます。外部鍵の使用については、Cloud EKM の概要をご覧ください。

任意のアルゴリズムを使用して Cloud KMS 署名鍵を作成することもできます。詳細については、非対称鍵の作成をご覧ください。

カスタム署名鍵を使用するには、このセクションの手順に沿って操作します。

サービス アカウントのメールアドレスを取得する

サービス アカウントのメールアドレスは次の形式です。

  service-PROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

PROJECT_NUMBER は、プロジェクト番号に置き換えます。

たとえば、プロジェクト番号が 123456789 のプロジェクトのサービス アカウントの場合、メールアドレスは service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com になります。

署名鍵を使用する手順は次のとおりです。

1. Google Cloud コンソールの [アクセス承認] ページで、[Cloud KMS 署名キー（高度）を使用] を選択します。

2. 暗号鍵バージョンのリソース ID を追加します。

   暗号鍵バージョンのリソース ID は次の形式にする必要があります。

   projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
   

   詳細については、Cloud KMS リソース ID の取得をご覧ください。

3. 設定を保存するには、[保存] をクリックします。

   カスタム署名鍵を使用するには、プロジェクトの Access Approval サービス アカウントに Cloud KMS 暗号鍵の署名者/検証者（roles/cloudkms.signerVerifier）の IAM ロールを付与する必要があります。

   指定したキーで署名する権限が Access Approval サービス アカウントにない場合は、[付与] をクリックして必要な権限を付与できます。権限を付与したら、[保存] をクリックします。