クイックスタート

このページでは、Google Cloud Console を使用して Access Approval を設定し、プロジェクトのアクセス リクエストのメール通知を受信する方法を示します。

始める前に

  1. Access Approval とアクセスの透明性を使用する利用するには、組織が特定のサポート要件を満たしている必要があります。詳細については、概要の要件のセクションをご覧ください。
  2. このプロジェクトが属する組織でアクセスの透明性を有効にします。
  3. Access Approval Config Editor が付与されていることを確認します。

Access Approval に登録する

  1. Google Cloud Console で、Access Approval を有効にするプロジェクト、フォルダ、または組織に移動します。

  2. [セキュリティ] > [ Access Approval ] の順に選択します。

    Access Approval のページに移動

  3. [有効にする]をクリックして Access Approval に登録します。

  4. Access Approval に登録するサービスを選択します。デフォルトでは、この設定はプロジェクトの親リソースから継承されます。このスコープを拡張する場合は、すべてのサービスに対して Access Approval を自動的に有効にするオプションを選択します。

  5. メール通知の設定で、このプロジェクトでアクセス リクエスト通知を受信するユーザーを追加します。

メール通知と権限を設定する

  1. Google Cloud Console で [セキュリティ] > [Access Approval] の順に選択します。

    Access Approval のページに移動

  2. パネルの右上にある [設定] をクリックします。

    表示されるパネルを使用して、代わりに通知を受け取るユーザーを追加します。

  3. 通知設定を保存するには、[送信]をクリックします。

これらのユーザーには、Access Approval のリクエストを表示または承認するための適切な権限を持つ IAM ロールが必要です。これらのユーザーに十分な権限があることを確認する方法は次のとおりです。

  1. プロジェクトの Google Cloud Console で [IAM] セクションに移動します。

    IAM ページに移動

  2. プロジェクトの承認(サービス アカウントまたは人間のユーザー)を実行する人に、役割を持たせるプロジェクト フォルダまたは組織に対する Access Approval Approver の IAM ロールを付与します。

Access Approval のリクエストを確認する

Access Approval のリクエストを確認して承認するには、次の手順に従います。

  1. [セキュリティ] で、Google Cloud Console の [Access Approval] に移動して、現在のすべての承認リクエストを確認します。

    • 承認リクエストとともに送信されたメールのリンクをクリックして、このページに移動することもできます。
  2. リクエストを承認するには、[承認] ボタンを押します。リクエストを拒否することもできます。リクエストを拒否しない場合でも、アクセスは引き続き拒否されます(概要に記載されているバイパスメカニズムが適用されます)。14 日以内にアクセスを承認しない場合、リクエストは自動的に拒否されます。

  3. リクエストが承認されると、承認に一致する特徴(たとえば、同じ妥当性、同じロケーション、デスクの場所)を持つ Google の従業員は、承認された時間枠内にアクセスできます。

  4. リクエストが承認されなかった場合、Google 社員のリクエストは永久に拒否されます。

Access Approval からの登録解除

  1. Google Cloud Console で、[セキュリティ] > [ Access Approval ] の順に移動します。

    Access Approval のページに移動

  2. [設定を管理]、[登録解除] の順にクリックします。

クリーンアップ

このクイックスタートで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、次の手順を行います。

  • アカウントへの請求を避けるための追加の手順は必要ありません。

次のステップ