Terraform を使用したアクセス承認の有効化

Terraform は、アクセス承認リクエストを管理できるオープンソースの Infrastructure as Code ソフトウェア ツールです。Terraform では、Access Approval API を使用して実行できるすべてのアクションを実行できます。

このページでは、Terraform を使用してアクセス承認を有効にする方法について説明します。このチュートリアルでは、Google Cloud Terraform Provider を使用します。

目標

このチュートリアルでは、以下を行う Terraform 構成ファイルを作成する方法について説明します。

• アクセス承認リクエストの通知のメールアドレスを設定する。
• サポートされているすべての Google Cloud プロダクトで Access Approval を有効にします。Access Approval でサポートされている Google Cloud プロダクトの完全なリストについては、サポート対象のサービスをご覧ください。

始める前に

• Access Approval とアクセスの透明性を使用するには、組織が特定のサポート要件を満たしている必要があります。 詳細については、アクセス承認の使用要件をご覧ください。
• 組織でアクセスの透明性を有効にします。詳しくは、アクセスの透明性を有効にするをご覧ください。
• Access Approval 構成編集者（roles/accessapproval.configEditor）Identity and Access Management（IAM）ロールがあることを確認します。アクセス承認の IAM ロールの詳細については、アクセス承認のロールをご覧ください。

Google Cloud プロジェクトの作成

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Enable the Access Approval API.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Enable the Access Approval API.

Enable the API

Google Cloud CLI のインストール

Install the Google Cloud CLI. After installation, initialize the Google Cloud CLI by running the following command:

gcloud init

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

プロンプトが表示されたら、上記で作成または選択したプロジェクトを選択します。

Google Cloud CLI がすでにインストールされている場合は、次のコマンドを使用して更新します。

gcloud components update

Terraform 構成ファイルを作成する

1. Cloud Shell を開き、スタンドアロンの Cloud Shell セッションを開始します。
2. ワークスペースを開きます。
3. 新しいフォルダを作成します。
4. このフォルダに main.tf という名前の Terraform 構成ファイルを追加します。

5. 次のリソースをコピーして、main.tf ファイルに貼り付けます。

   main.tf

   variable "parent_value" {
   type        = string
   }
   
   variable "email_1" {
   type        = string
   }
   
   variable "email_2" {
   type        = string
   }
   
   resource "google_folder" "my_folder" {
   display_name = "my-folder"
   parent       = var.parent_value
   # parent = "organizations/123456789"
   }
   
   resource "google_folder_access_approval_settings" "folder_access_approval" {
   folder_id           = google_folder.my_folder.folder_id
   notification_emails = [var.email_1, var.email_2]
   
   enrolled_services {
     cloud_product = "all"
     }
   }
   

   次の変数の値を入力します。

   • email_1 と email_2: このプロジェクトのアクセス リクエストの審査担当者として設定するユーザーのメールアドレスを指定します。

   • parent_value: my_folder フォルダを作成するフォルダの名前。フォルダの詳細については、フォルダの作成と管理をご覧ください。

Terraform 構成ファイルを実行する

Cloud Shell で次のコマンドを実行します。

1. ディレクトリで Terraform を初期化します。

   terraform init
   

2. 作成した Terraform 構成ファイルを実行します。

   terraform apply
   

3. 構成ファイルを実行するかどうかを確認するメッセージが表示されたら、yes と入力します。

Terraform でアクセス承認を操作する方法については、Terraform のドキュメント google_folder_access_approval_settings をご覧ください。

次のステップ

• Terraform と Google Cloudの使用
• Access Approval で Terraform を使用する
• Google Cloudで Terraform を使ってみる
• Cloud Shell を使用して Google Cloud で Terraform を使ってみる