Access Approval の概要

Access Approval により、Cloud カスタマーケアやエンジニアリングがお客様のデータにアクセスする必要がある場合は常に、お客様の明示的な承認が必要になります。この承認は、アクセス承認の整合性を確保するために暗号的に検証されます。

Google の担当者によるお客様のコンテンツへのアクセスを直接管理できるようにするには、Access Approval を使用することをおすすめします。

はじめに

Access Approval は、最小権限のセキュリティ原則を実装するのに役立ちます。この原則では、必要以上に多くの権限を付与してアクセスできないようにする必要があります。アクセス権を付与した後でも、Google の担当者は、契約サービスを提供する義務を果たすために不可欠なコンテンツのみを表示できます。たとえば、フロントラインのカスタマー サポートの担当者は、カスタマー サポートの問題のデバッグに不可欠なお客様の環境に関する情報にのみアクセスできます。

Google の社員が顧客コンテンツにアクセスする必要がある理由と、Google Cloud の特権アクセスの原則の詳細については、Google Cloud の特権アクセスをご覧ください。

Google Cloud の管理アクセス制御の基本原則については、管理アクセス制御の概要をご覧ください。

Access Approval は、アクセスの透明性ログによって提供される透明性に制御の階層を追加します。アクセスの透明性では、Google の担当者がお客様のコンテンツにアクセスしたときに行った操作を記録したログが提供されます。また、Access Approval は承認済み、拒否、期限切れになったすべてのリクエストの履歴情報も提供します。

Access Approval のしくみ

Access Approval は、承認を選択できるアクセス リクエストを含むメールまたは Pub/Sub メッセージを送信することで機能します。

メッセージの情報を使用して、Google Cloud コンソールまたは Access Approval API でアクセスを承認または拒否できます。Access Approval では、暗号鍵を使用してアクセス リクエストに署名します。この署名は、アクセス承認の整合性を検証するために使用されます。Google が管理する署名鍵を使用するか、独自の署名鍵を用意できます。

デフォルトのオプションは、Google が管理する署名鍵の使用です。独自の署名鍵を使用する場合は、Cloud KMS を使用して署名鍵を作成するか、Cloud EKM を使用して外部管理の鍵を用意できます。カスタム署名鍵の使用開始については、カスタム署名鍵を使用して Access Approval を設定するをご覧ください。

Access Approval をサポートする Google サービス

Access Approval では、Access Approval に登録する Google Cloud サービスを選択できます。Access Approval は、選択したサービスに保存されているコンテンツへのアクセス リクエストに対してのみお客様の同意をリクエストします。

Access Approval でサービスを登録するには、次のオプションがあります。

  • サポートレベル(プレビューまたは一般提供)に関係なく、サポートされているすべてのサービスに対して Access Approval を自動的に有効にします。このオプションを選択すると、今後 Access Approval でサポートされるすべてのサービスが自動的に登録されます。これはデフォルトのオプションです。
  • GA レベルのサポートがあるサービスに対してのみ Access Approval を有効にします。 このオプションを選択すると、今後 Access Approval がサポートするすべてのサービスが GA レベルのサポートに自動的に登録されます。
  • Access Approval に登録する特定のサービスを選択します。

Access Approval でサポートされるサービスの一覧については、サポート サービスをご覧ください。

Access Approval の除外

以下の Google のアクションは、Access Approval のリクエストをトリガーしません。

緊急時の対応が必要な大規模なサービス中断。顧客データへのアクセスが発生すると、アクセスの透明性ログが生成されます。

  • アクセスの透明性の除外事項に記載されているその他の例外。これらのアクセスの透明性からの除外事項は、Access Approval のリクエストにも適用されます。

Access Approval を使用するための要件

Google Cloud プロジェクトフォルダ組織に対して Access Approval を有効にできます。Access Approval を有効にする前に、リソース階層以上の同じレベルでアクセスの透明性を有効にする必要があります。

アクセスの透明性を有効にした後、Google Cloud コンソールを使用して Access Approval を有効にできます。Access Approval の設定方法については、クイックスタートをご覧ください。

カスタム署名鍵の要件

デフォルトの Google 管理の署名鍵を使用するために、追加の構成は必要ありません。独自の署名鍵を使用するには、Cloud Key Management Service を使用して非対称署名鍵を作成するか、Cloud External Key Manager を使用して外部を管理の鍵をホストします。Cloud EKM でサポートされる非対称署名鍵に関する制限事項については、非対称署名鍵の制限をご覧ください。

外部管理の署名鍵を使用する場合は、Cloud EKM を有効にすることをおすすめします。Google Cloud に保存されていない鍵の管理に Cloud EKM を使用する方法の詳細については、Cloud EKM の概要をご覧ください。

次のステップ