このドキュメントでは、Google Cloud コンソールを使用して Access Approval を設定し、プロジェクトに対するアクセス リクエストのメール通知を受信する方法について説明します。
Access Approval は、Google の担当者がGoogle Cloudに保存されているお客様のコンテンツにアクセスするために、暗号署名された承認が存在することを確認します。
始める前に
- 組織でアクセスの透明性を有効にします。詳しくは、アクセスの透明性を有効にするをご覧ください。
- Access Approval Config Editor(
roles/accessapproval.configEditor)IAM ロールがあることを確認します。
Access Approval に登録する
Access Approval に登録するには、以下の手順を行います。
Google Cloud コンソールで、アクセス承認を有効にするプロジェクトを選択します。
Access Approval のページに移動
Access Approval に登録するには、[登録] をクリックします。
ダイアログで、ポリシーの登録モードを選択し、[登録] をクリックします。
Access Approval の登録モード
Access Approval は 3 つのモードのいずれかで構成でき、Access Approval の設定でいつでもモードを変更できます。次のモードを選択できます。
- 透明性(推奨): このモードを使用すると、追加の承認なしで、ワークロードに対する Google の管理者権限によるアクセスをモニタリングできます。詳細については、アクセスの透明性に関するドキュメントをご覧ください。
- サポートの合理化: このモードを使用すると、サポートケースに対応するためにカスタマー ケアがアクセスすることを自動的に承認できます。その他のアクセス理由には Access Approval が必要です。
- アクセス承認: このモードを使用すると、すべてのアクセスに対してアクセス承認のすべての機能が有効になります。
アクセスの透明性ログは、すべての Access Approval モードで自動的に生成されます。
構成の設定
Google Cloud コンソールの [Access Approval] ページで、[設定を管理する] をクリックします。
サービスの選択
有効なプロダクトのリストなど、Access Approval の設定は親リソースから継承されます。すべての追加サービスまたは選択した追加サービス(サポートされているサービス)に対して Access Approval を有効にすることで、登録の範囲を拡大できます。
メールと Pub/Sub 通知の設定
このセクションでは、このプロジェクトのアクセス リクエスト通知を受信する方法について説明します。
必要な IAM ロールを自分に付与する
アクセス リクエストを表示して承認するには、Access Approval 承認者(roles/accessapproval.approver)IAM ロールが必要です。
この IAM ロールを自分自身に付与するには、次のようにします。
- Google Cloud コンソールで [IAM] ページに移動します。
- [プリンシパルごとに表示] タブで、[アクセスを許可] をクリックします。
- 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
- [ロールを選択] フィールドをクリックし、メニューから [アクセス承認者] ロールを選択します。
- [保存] をクリックします。
自分自身を Access Approval リクエストの承認者として追加し、通知を構成する
承認者として自分自身を追加し、アクセス リクエストを確認して承認できるようにするには、次の操作を行います。
Google Cloud コンソールで [アクセス承認] ページに移動します。
[設定を管理する] をクリックします。
メール通知を有効にするには、[承認通知の設定] の [ユーザーまたはグループのメールアドレス] フィールドにメールアドレスを追加します。
Pub/Sub 通知を有効にするには:
- [承認通知の設定] の [Pub/Sub トピック] フィールドに Pub/Sub トピックを追加します。
- Identity and Access Management(IAM)で、Access Approval が通知を作成できるように、Pub/Sub パブリッシャー ロール(
roles/pubsub.publisher)を customer-approval-jobs@system.gserviceaccount.com プリンシパルに付与します。この手順を行わないと、通知は作成されません。
デフォルトの設定を確認する
デフォルト設定は、アクセス承認リクエストの動作を制御します。
- リソース固有の承認リクエストを優先する: アクセス承認リクエストのデフォルト スコープを設定します。デフォルトでは、この設定は無効になっています。この設定を有効にすると、同じデータにアクセスするためのアクセス承認リクエストの数が増加し、Google サポートからの支援が遅れる可能性があります。デフォルトの例:
- 無効: product.googleapis.com/project/12345/
- 有効: product.googleapis.com/project/12345/instances/abcde
- 承認リクエストのデフォルトの有効期限(日数): Access Approval リクエストのデフォルトの有効期限を設定します。この設定は、リクエストごとに承認時に変更できます。
- 希望するアクセス権の最大スコープ: Google 管理者がリクエストするリソース アクセス権の最大スコープを設定します。たとえば、[Project] に設定すると、Google 管理者はプロジェクト レベルまたはリソースレベルのアクセス権をリクエストします。
署名鍵を選択する
Access Approval は、署名鍵を使用して Access Approval リクエストの整合性を検証します。
デフォルトでは Google-owned and managed key が使用され、追加の構成は必要ありません。
顧客管理の暗号鍵を構成するには、カスタムキーの設定をご覧ください。
承認リクエストを確認する
Access Approval に登録し、アクセス リクエストの承認者として自分自身を追加すると、アクセス リクエストのメール通知が届くようになります。
次の図は、Google 社員がお客様データへのアクセスをリクエストしたときに Access Approval が送信するメール通知の例を示しています。
受信したアクセス リクエストを確認して承認するには、次の操作を行います。
Google Cloud コンソールで [アクセス承認] ページに移動します。
承認リクエストとともに送信されたメールのリンクをクリックして、このページに移動することもできます。
[承認] をクリックします。
リクエストを承認すると、承認に一致する特徴(同じ妥当性、ロケーション、デスクの場所など)を持つ Google の担当者は、承認された期間内であれば指定されたリソースとその子リソースにアクセスできます。
クリーンアップ
-
Access Approval の登録を解除するには、次の操作を行います。
- Google Cloud コンソールの [Access Approval] ページで、[設定を管理する] をクリックします。
- [登録解除] をクリック
- 表示されたダイアログで [登録解除] をクリックします。
- 組織のアクセスの透明性を無効にするには、Cloud カスタマーケアにお問い合わせください。
追加の手順は必要ありません。
次のステップ
- アクセス リクエストの詳細について学習する。
- アクセス リクエストを承認する方法を確認する。
- Access Approval のリクエストの履歴を表示する方法を確認する。