Access Approval リクエストの承認

このドキュメントでは、Access Approval のリクエストを承認する方法について説明します。

始める前に

概要ページのコンセプトを理解しておいてください。
承認を実行できるようにするプリンシパルに、ロジェクト、フォルダ、または組織に対する Access Approval 承認者（roles/accessapproval.approver）IAM ロールをプAccess Approval 承認者 IAM ロールは、個々のユーザー、サービスアカウント、Google グループのいずれかに付与できます。

カスタム署名鍵を使用する場合は、リソースの Access Approval サービスアカウントに Cloud KMS 暗号鍵の署名者 / 検証者（roles/cloudkms.signerVerifier）IAM ロールも付与する必要があります。Google が管理する署名鍵を使用している場合は、他の権限を付与する必要はありません。

IAM ロールの付与については、単一のロールを付与するをご覧ください。

通知を受け取る設定を構成する

Access Approval のリクエストを受信するには、次のオプションがあります。

メールでリクエストを受信する。
Pub/Sub 経由でリクエストを受信する。

メールと Pub/Sub 通知の設定の手順に沿って、これらのオプションの両方を選択できます。

Access Approval リクエストを承認する

一部のユーザーを承認者として登録すると、それらのユーザーはすべてのアクセスリクエストを受け取ります。

コンソール

Google Cloud コンソールを使用して Access Approval のリクエストを承認するには、次の操作を行います。

保留中のすべての承認リクエストを表示するには、Google Cloud コンソールの [Access Approval] ページに移動します。

アクセス承認に移動

メールで Access Approval のリクエストを受信するように選択している場合は、承認リクエストとともに送信されたメールのリンクをクリックして、このページに移動することもできます。

注: 選択した階層レベルの保留中の Access Approval のリクエストのみが表示されます。たとえば、1 つのフォルダを選択した場合、これらのフォルダ内のすべてのプロジェクトではなく、フォルダレベルのリソースに対して行われた Access Approval のリクエストのみが表示されます。
リクエストを承認するには [承認] を、

リクエストは拒否することもできます。リクエストを拒否しない場合でもアクセスは拒否され続けるため、リクエストの拒否は任意です。

14 日以内にリクエストまたは Google 社員のアクセスリクエストを承認しない場合、リクエストは自動的に拒否されます。
表示されるダイアログボックスで、アクセスの有効期限の日時を選択します。

注: 一括承認オプションでは有効期限の日時を選択することはできません。
設定した有効期限までアクセスを承認するには、[承認] を選択します。

cURL

cURL を使用して Access Approval のリクエストを承認するには、次の操作を行います。

Pub/Sub メッセージの approvalRequest 名を取得します。

その approvalRequest を承認または拒否する API 呼び出しを行います。

 # HTTP POST request with empty body (an effect of using -d '')
 # service-account-credential.json is attained by going to the
 # IAM -> Service Accounts menu in the cloud console and creating
 # a service account.
 curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
   -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve

リクエストに応答するには、次のいずれかのオプションを使用します。

アクション	効果	Google のアクセス状態
`:approve`	承認リクエストを承認します。	承認前に拒否、承認後に承認。
`:dismiss`	承認のリクエストを拒否します。アクションをしないのではなく、アクセスリクエストを拒否することをおすすめします。アクセスリクエストを拒否すると、Google 社員にフォローアップを促すメッセージが表示されます。	却下前に拒否、却下後に拒否。
なし	Google 社員のアクセスは引き続き拒否されます。`requestedExpiration` の期間が経過した後に Google 社員がリソースにアクセスするためには、新しいリクエストを開く必要があります。	対応する前に拒否、有効期限後に拒否。

リクエストを承認すると、リクエストのステータスが Approved に変わります。承認スコープに一致する特性を持つ Google の従業員は、承認された時間枠内にアクセスできます。これらの一致特性には、同じ理由、ロケーション、デスクの場所が含まれます。

Access Approval は、アクセスをリクエストした Google 社員に IAM ロールや新しい権限を提供しません。

Google 社員のアクセスリクエストを承認しない場合、Google 社員に対してアクセスが拒否されます。リクエストを拒否すると、保留中のリクエストのリストからのみ削除されます。承認リクエストを拒否しない場合、アクセスは引き続き拒否されます。

アクセスの透明性を有効にすると、お客様が承認した顧客コンテンツへのすべてのアクセスがログに記録されます。

承認の有効期限が切れるか、アクセスの理由が無効になるまで、Google の担当者に対するアクセスが許可されます。たとえば、Google の担当者がアクセスをリクエストしたサポートケースがクローズされた場合、アクセスは期限切れになります。

次のステップ

Access Approval の通知から除外された Google 担当者のアクションについて学習する。
Access Approval のリクエストのフィールドについて学習する。