Access Approval を使用すると、Google サポートやエンジニア チームが顧客コンテンツにアクセスする必要がある場合に明示的な承認を要求できます。
概要
Google Cloud は、業界トップクラスの制御により、Google サポートおよびエンジニア チームによる顧客コンテンツへの不正アクセスを防止します。
お客様によっては、Google 従業員による顧客コンテンツへのアクセスを直接管理し、顧客コンテンツがアクセスされるたびに明示的な承認を付与する機能が必要です。このため、Google は Google サポートやエンジニア チームが顧客コンテンツにアクセスする必要がある場合に明示的な承認を要求できるプロダクト、Access Approval を開発しました。
Access Approval は、アクセスの透明性ログによって提供される透明性にアクセス制御を追加して強化します。アクセスの透明性は、コンテンツへのアクセス時に Google 従業員が行うアクションを記録したログを提供します。
Access Approval のしくみ
Access Approval は、承認できるアクセス リクエストを含むメールまたは Pub/Sub メッセージを送信することで機能します。
メッセージの情報を使用して、Google Cloud Console または Access Approval API を使用してアクセスを承認できます。
Access Approval をサポートする Google サービス
Access Approval をサポートする Google サービスのリストについては、サポート サービスをご覧ください。
Access Approval の除外
以下の Google のアクションは、Access Approval のリクエストをトリガーしません。
ユーザー コンテンツへのシステム アクセス。 承認済みで確認済みの Google のプロセスによる、プログラムによる人間以外からのアクセスです。たとえば、コンテンツに対して実行される圧縮ジョブや、コンテンツの削除処理中のディスク破棄などです。これらのアクセスは Binary Authorization の機能で確認されます。この機能では、本番環境でチェックされ、セカンド パーティによって確認されたコードからそのジョブが生成されたことを確認します。
この場合、以下の理由により手動アクセス が適しています。
- 法的な理由に基づくアクセス
- Google が法的要件に準拠するために顧客コンテンツにアクセスする場合、これらのアクセスは Access Approval のサービスをバイパスします。
- 停止によるアクセス
- Google が停止に関する問題を解決するために顧客コンテンツにアクセスする場合、これらのアクセスは Access Approval のサービスをバイパスします。
- 法的な理由に基づくアクセス
アクセスの透明性に関するドキュメントに記載されているその他の例外。アクセスの透明性のログの生成に失敗した場合も、Access Approval のリクエストは生成されません。
Access Approval を使用するための要件
Access Approval を使用する前に、まず組織でアクセスの透明性を有効にする必要があります。Access Approval とアクセスの透明性の両方で、組織が次の要件のいずれかを満たしている必要があります。
Google Cloud 組織には、次のいずれかのロールベース サポート パッケージがあります。
- エンタープライズ サポート
- 4 つ以上の開発環境の役割
- 4 つ以上の本番環境の役割
- 開発環境の役割と本番環境の役割からなる、4 つ以上の役割
Google Cloud 組織には、次のいずれかのサポート パッケージがあります。
- プラチナ サポート
- ゴールド サポート
Google Cloud Console で Access Approval を直接有効にすることができます。クイックスタートをご覧ください。
Google Cloud 組織に適切なサポート パッケージがあるかどうか不明な場合は、Cloud サポート コンソールを確認してください。
[サポート] パネルに、サポートのステータスまたはパッケージのアップグレード オプションのいずれかが表示されます。
次のステップ
- クイックスタートに従って Access Approval を設定します。
- アクセス リクエストを承認する方法を学びます。