カスタム署名鍵を使用してアクセス リクエストを確認して承認する

このドキュメントでは、Google Cloud コンソールとカスタム署名鍵を使用して Access Approval を設定し、プロジェクトに対するアクセス リクエストのメール通知を受信する方法について説明します。

Access Approval は、Google の担当者が Google Cloud に保存されているお客様のコンテンツにアクセスするために、暗号署名された承認が存在することを確認できます。

Access Approval では、独自の暗号鍵を使用してアクセス リクエストに署名できます。Cloud Key Management Service を使用して鍵を作成するか、Cloud External Key Manager を使用して外部管理の鍵を用意できます。

準備

Access Approval に登録する

Access Approval に登録するには、以下の手順を行います。

  1. Google Cloud コンソールで、Access Approval を有効にするプロジェクトを選択します。

    プロジェクト セレクタに移動

  2. Access Approval のページに移動

    アクセス承認に移動

  3. Access Approval に登録するには、[登録] をクリックします。

    [登録] ボタンを選択します。

  4. 表示されたダイアログ ボックスで [登録] をクリックします。

    サポート時間の増加に関する Access Approval の免責条項

構成の設定

Google Cloud コンソールの [Access Approval] ページで、[設定を管理する] をクリックします。

[設定を管理] ボタンを選択します。

サービスを選択する

デフォルトでは、Access Approval を必要とするサービスはプロジェクトの親リソースから継承されます。すべてのサポート対象のサービスに対して Access Approval を自動的に有効にするオプションを選択することで、登録の範囲を拡張できます。

メール通知を設定する

このセクションでは、このプロジェクトのアクセス リクエスト通知を受信する方法について説明します。

必要な IAM ロールを付与する

アクセス リクエストを表示して承認するには、Access Approval 承認者(roles/accessapproval.approver)IAM ロールが必要です。

この IAM ロールを自分自身に付与するには、次のようにします。

  1. Google Cloud コンソールで [IAM] ページに移動します。

    IAM に移動

  2. [プリンシパルごとに表示] タブで、[アクセスを許可] をクリックします。
  3. 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
  4. [ロールを選択] フィールドをクリックし、メニューから [アクセス承認者] ロールを選択します。
  5. [保存] をクリックします。

自分自身を Access Approval リクエストの承認者として追加する

承認者として自分自身を追加し、アクセス リクエストを確認して承認できるようにするには、次の操作を行います。

  1. Google Cloud コンソールで [Access Approval] ページに移動します。

    アクセス承認に移動

  2. [設定を管理する] をクリックします。

  3. [承認通知の設定] の [ユーザーまたはグループのメールアドレス] フィールドにメールアドレスを追加します。

  4. 通知設定を保存するには、[保存] をクリックします。

カスタム署名鍵を使用する

Access Approval は、署名鍵を使用してアクセス承認の整合性を確認します。

Cloud EKM を有効にしている場合は、外部管理の署名鍵を選択できます。外部鍵の使用については、Cloud EKM の概要をご覧ください。

任意のアルゴリズムで Cloud KMS 署名鍵を作成することもできます。詳細については、非対称鍵の作成をご覧ください。

カスタム署名鍵を使用するには、このセクションの手順に沿って操作します。

サービス アカウントのメールアドレスを取得する

サービス アカウントのメールアドレスは、次の形式になります。

  service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com

PROJECT_NUMBER の部分は、プロジェクト番号に置き換えます。

たとえば、プロジェクト番号が 123456789 のプロジェクトのサービス アカウントの場合、メールアドレスは service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com になります。

署名鍵を使用する手順は次のとおりです。

  1. Google Cloud コンソールの [Access Approval] ページで、[Cloud KMS 署名キー(高度)を使用] を選択します。

  2. 暗号鍵バージョンのリソース ID を追加します。

    暗号鍵バージョンのリソース ID は、次の形式にする必要があります。

    projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID

    詳細については、Cloud KMS リソース ID の取得をご覧ください。

  3. 設定を保存するには、[保存] をクリックします。

    カスタム署名鍵を使用するには、プロジェクトの Access Approval サービス アカウントに Cloud KMS 暗号鍵の署名者 / 検証者roles/cloudkms.signerVerifier)の IAM ロールを指定する必要があります。

    指定したキーで署名する権限が Access Approval サービス アカウントにない場合は、[付与] をクリックして必要な権限を付与できます。権限を付与したら、[保存] をクリックします。

    選択した設定を保存します。

Access Approval のリクエストを確認する

Access Approval に登録し、アクセス リクエストの承認者として自分自身を追加したので、アクセス リクエストのメール通知が届くようになります。

次の図は、Google の担当者がお客様のコンテンツへのアクセスをリクエストしたときに Access Approval から送信されるメール通知の例を示しています。

Google の担当者がお客様のコンテンツへのアクセスをリクエストしたときに送信されるメール通知。

受信したアクセス リクエストを確認して承認するには、次の操作を行います。

  1. Google Cloud コンソールで [Access Approval] ページに移動します。

    アクセス承認に移動

    このページに移動するには、承認リクエストとともに送信されたメールのリンクをクリックすることもできます。

  2. [承認] をクリックします。

リクエストを承認すると、承認に一致する特徴(同じ理由、ロケーション、デスクの場所など)を持つ Google の担当者は、承認された期間内で指定されたリソースとその子リソースにアクセスできます

クリーンアップ

  1. Access Approval の登録を解除するには、次の操作を行います。
    1. Google Cloud コンソールの [Access Approval] ページで、[設定を管理する] をクリックします。
    2. [登録解除] をクリック
    3. 表示されたダイアログで [登録解除] をクリックします。
  2. 組織のアクセスの透明性を無効にするには、Cloud カスタマーケアにお問い合わせください。

アカウントへの請求を避けるための追加の手順は必要ありません。

次のステップ