始める前に
Access Approval に登録する
Google Cloud Console で、Access Approval を有効にするプロジェクト、フォルダ、または組織に移動します。
[セキュリティ] > [ Access Approval ] の順に選択します。
[有効にする]をクリックして Access Approval に登録します。
Access Approval に登録するサービスを選択します。デフォルトでは、この設定はプロジェクトの親リソースから継承されます。このスコープを拡張する場合は、すべてのサービスに対して Access Approval を自動的に有効にするオプションを選択します。
メール通知の設定で、このプロジェクトでアクセス リクエスト通知を受信するユーザーを追加します。
メール通知と権限を設定する
Google Cloud Console で [セキュリティ] > [Access Approval] の順に選択します。
パネルの右上にある [設定] をクリックします。
表示されるパネルを使用して、代わりに通知を受け取るユーザーを追加します。
通知設定を保存するには、[送信]をクリックします。
これらのユーザーには、Access Approval のリクエストを表示または承認するための適切な権限を持つ IAM ロールが必要です。これらのユーザーに十分な権限があることを確認する方法は次のとおりです。
プロジェクトの Google Cloud Console で [IAM] セクションに移動します。
プロジェクトの承認(サービス アカウントまたは人間のユーザー)を実行する人に、役割を持たせるプロジェクト フォルダまたは組織に対する Access Approval Approver の IAM ロールを付与します。
Access Approval のリクエストを確認する
Access Approval のリクエストを確認して承認するには、次の手順に従います。
[セキュリティ] で、Google Cloud Console の [Access Approval] に移動して、現在のすべての承認リクエストを確認します。
- 承認リクエストとともに送信されたメールのリンクをクリックして、このページに移動することもできます。
リクエストを承認するには、[承認] ボタンを押します。リクエストを拒否することもできます。リクエストを拒否しない場合でも、アクセスは引き続き拒否されます(概要に記載されているバイパスメカニズムが適用されます)。14 日以内にアクセスを承認しない場合、リクエストは自動的に拒否されます。
リクエストが承認されると、承認に一致する特徴(たとえば、同じ妥当性、同じロケーション、デスクの場所)を持つ Google の従業員は、承認された時間枠内にアクセスできます。
リクエストが承認されなかった場合、Google 社員のリクエストは永久に拒否されます。
Access Approval からの登録解除
Google Cloud Console で、[セキュリティ] > [ Access Approval ] の順に移動します。
[設定を管理]、[登録解除] の順にクリックします。
クリーンアップ
このクイックスタートで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、次の手順を行います。
- アカウントへの請求を避けるための追加の手順は必要ありません。
次のステップ
- Access Approval のリクエストの承認について学習します。