Assured Workloads の一部のコントールパッケージの名前が変更されます。名前の変更については、コントロールパッケージの名前変更に関するお知らせをご覧ください。

Google が管理する署名鍵を使用してアクセスリクエストを確認して承認する

このドキュメントでは、Google Cloud コンソールを使用して Access Approval を設定し、プロジェクトに対するアクセスリクエストのメール通知を受信する方法について説明します。

Access Approval は、Google の担当者がGoogle Cloudに保存されているお客様のコンテンツにアクセスするために、暗号署名された承認が存在することを確認します。

始める前に

組織でアクセスの透明性を有効にします。詳しくは、アクセスの透明性を有効にするをご覧ください。
Access Approval Config Editor（roles/accessapproval.configEditor）IAM ロールがあることを確認します。

Access Approval に登録する

Access Approval に登録するには、以下の手順を行います。

Google Cloud コンソールで、アクセス承認を有効にするプロジェクトを選択します。

プロジェクトセレクタに移動
Access Approval のページに移動

アクセス承認に移動
Access Approval に登録するには、[登録] をクリックします。
ダイアログで、ポリシーの登録モードを選択し、[登録] をクリックします。

Access Approval のプライマリ登録モード

Access Approval は 3 つのモードのいずれかで構成でき、Access Approval の設定でいつでもモードを変更できます。次のモードを選択できます。

透明性（推奨）: このモードを使用すると、ワークロードに対する Google の管理アクセスのみがログに記録され、ワークロードに対する Google サポートや事前対応型のメンテナンスが中断されることはありません。詳細については、アクセスの透明性に関するドキュメントをご覧ください。
サポートの合理化: このモードを使用すると、サポートケースに対応するためにカスタマーケアがアクセスすることを自動的に承認できます。プロアクティブなメンテナンスと修理アクセスには、アクセス承認が必要です。
アクセス承認: このモードを使用すると、すべてのアクセスに対してアクセス承認のすべての機能を有効にできます。

アクセスの透明性ログは、すべての Access Approval モードで自動的に生成されます。

構成の設定

Google Cloud コンソールの [Access Approval] ページで、[設定を管理する] をクリックします。

[設定を管理] ボタンを選択します。

サービスの選択

有効なプロダクトのリストなど、Access Approval の設定は親リソースから継承されます。すべての追加サービスまたは選択した追加サービス（サポートされているサービス）に対して Access Approval を有効にすることで、登録の範囲を拡大できます。

[その他のサービスを有効にする] チェックボックスをオンにする

メールと Pub/Sub 通知の設定

このセクションでは、このプロジェクトのアクセスリクエスト通知を受信する方法について説明します。

必要な IAM ロールを自分に付与する

アクセスリクエストを表示して承認するには、Access Approval 承認者（roles/accessapproval.approver）IAM ロールが必要です。

この IAM ロールを自分自身に付与するには、次のようにします。

Google Cloud コンソールで [IAM] ページに移動します。
IAM に移動
[プリンシパルごとに表示] タブで、[アクセスを許可] をクリックします。
右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
[ロールを選択] フィールドをクリックし、メニューから [アクセス承認者] ロールを選択します。
[保存] をクリックします。

自分自身を Access Approval リクエストの承認者として追加し、通知を構成する

承認者として自分自身を追加し、アクセスリクエストを確認して承認できるようにするには、次の操作を行います。

Google Cloud コンソールで [アクセス承認] ページに移動します。

アクセス承認に移動
[設定を管理する] をクリックします。
メール通知を有効にするには、[承認通知の設定] の [ユーザーまたはグループのメールアドレス] フィールドにメールアドレスを追加します。
Pub/Sub 通知を有効にするには、[承認通知の設定] の [Pub/Sub トピック] フィールドに Pub/Sub トピックを追加します。

デフォルトの設定を確認する

デフォルト設定は、アクセス承認リクエストの動作を制御します。

リソース固有の承認リクエストを優先する Access Approval リクエストのデフォルトのスコープを設定します。デフォルトでは、この設定は無効になっています。この設定を有効にすると、同じデータにアクセスするためのアクセス承認リクエストの数が増加し、Google サポートからの支援が遅れる可能性があります。例:
- 無効: リソース: product.googleapis.com/project/12345/
- 有効: リソース: product.googleapis.com/project/12345/instances/abcde
承認リクエストのデフォルトの有効期限（日数） Access Approval リクエストのデフォルトの有効期限を設定します。この設定は、リクエストごとに承認時に変更できます。
希望するアクセス権の最大スコープ Google 管理者がリクエストするリソースアクセス権の推奨最大スコープを設定します。たとえば、[Project] に設定すると、Google 管理者はプロジェクトレベルまたはリソースレベルのアクセス権をリクエストします。

Google が管理する署名鍵を選択する

Access Approval は、署名鍵を使用して Access Approval リクエストの整合性を検証します。

デフォルトのオプションは、Google が管理する署名鍵です。Google-owned and managed key を使用する場合、追加の構成は必要ありません。

承認リクエストを確認する

アクセス承認に登録し、アクセスリクエストの承認者として自分自身を追加したので、アクセスリクエストのメール通知が届くようになります。

次の図は、Google 社員がお客様データへのアクセスをリクエストしたときに Access Approval が送信するメール通知の例を示しています。

Google の担当者がお客様データへのアクセスをリクエストしたときに送信されるメール通知。

受信したアクセスリクエストを確認して承認するには、次の操作を行います。

Google Cloud コンソールで [アクセス承認] ページに移動します。

アクセス承認に移動

承認リクエストとともに送信されたメールのリンクをクリックして、このページに移動することもできます。
[承認] をクリックします。

リクエストを承認すると、承認に一致する特徴（同じ妥当性、ロケーション、デスクの場所など）を持つ Google の担当者は、承認された期間内であれば指定されたリソースとその子リソースにアクセスできます。

クリーンアップ

Access Approval の登録を解除するには、次の操作を行います。
1. Google Cloud コンソールの [Access Approval] ページで、[設定を管理する] をクリックします。
2. [登録解除] をクリック
3. 表示されたダイアログで [登録解除] をクリックします。
組織のアクセスの透明性を無効にするには、Cloud カスタマーケアにお問い合わせください。

アカウントへの請求を避けるための追加の手順は必要ありません。

Google が管理する署名鍵を使用してアクセス リクエストを確認して承認する