Terraform を使用したアクセス承認の有効化

Terraform は、アクセス承認リクエストを管理できるオープンソースの Infrastructure as Code ソフトウェア ツールです。Terraform では、Access Approval API を使用して実行できるすべてのアクションを実行できます。

このページでは、Terraform を使用して Access Approval を有効にする方法について説明します。このチュートリアルでは、Google Cloud Terraform Provider を使用します。

目的

このチュートリアルでは、次の機能を備えた Terraform 構成ファイルを作成する方法について説明します。

  • アクセス承認リクエストの通知のメールアドレスを設定します。
  • サポートされているすべての Google Cloud プロダクトでアクセス承認を有効にします。Access Approval でサポートされている Google Cloud プロダクトの完全なリストについては、サポート対象のサービスをご覧ください。

始める前に

  • Access Approval とアクセスの透明性を使用するには、組織が特定のサポート要件を満たしている必要があります。 詳細については、Access Approval の使用要件をご覧ください。
  • 組織でアクセスの透明性を有効にします。詳しくは、アクセスの透明性を有効にするをご覧ください。
  • Access Approval 構成編集者roles/accessapproval.configEditor)Identity and Access Management(IAM)ロールがあることを確認します。Access Approval の IAM ロールの詳細については、Access Approval のロールをご覧ください。

Google Cloud プロジェクトを作成する

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Enable the Access Approval API.

    Enable the API

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Enable the Access Approval API.

    Enable the API

Google Cloud CLI のインストール

Install the Google Cloud CLI, then initialize it by running the following command:

gcloud init

プロンプトが表示されたら、上記で作成または選択したプロジェクトを選択します。

Google Cloud CLI がすでにインストールされている場合は、次のコマンドを使用して更新します。

gcloud components update

Terraform 構成ファイルを作成する

  1. Cloud Shell を開き、スタンドアロンの Cloud Shell セッションを開始します。
  2. ワークスペースを開きます。
  3. 新しいフォルダを作成します。
  4. このフォルダに main.tf という名前の Terraform 構成ファイルを追加します。
  5. 次のリソースをコピーして、main.tf ファイルに貼り付けます。

    main.tf

    variable "parent_value" {
    type        = string
    }
    
    variable "email_1" {
    type        = string
    }
    
    variable "email_2" {
    type        = string
    }
    
    resource "google_folder" "my_folder" {
    display_name = "my-folder"
    parent       = var.parent_value
    # parent = "organizations/123456789"
    }
    
    resource "google_folder_access_approval_settings" "folder_access_approval" {
    folder_id           = google_folder.my_folder.folder_id
    notification_emails = [var.email_1, var.email_2]
    
    enrolled_services {
      cloud_product = "all"
      }
    }
    

    次の変数の値を入力します。

    • email_1email_2: このプロジェクトのアクセス リクエストの審査担当者として設定するユーザーのメールアドレスを指定します。
    • parent_value: my_folder フォルダを作成するフォルダの名前。フォルダの詳細については、フォルダの作成と管理をご覧ください。

Terraform 構成ファイルを実行する

Cloud Shell で次のコマンドを実行します。

  1. ディレクトリで Terraform を初期化します。

    terraform init
    
  2. 作成した Terraform 構成ファイルを実行します。

    terraform apply
    
  3. 構成ファイルを実行するかどうかを確認するメッセージが表示されたら、yes と入力します。

Terraform で Access Approval を操作する方法については、Terraform のドキュメント google_folder_access_approval_settings をご覧ください。

次のステップ