Terraform を使用したアクセス承認の有効化

Terraform は、Access Approval のリクエストを管理できるオープンソースの Infrastructure as Code ソフトウェア ツールです。Terraform では、Access Approval API を使用して実行できるすべての操作を実行できます。

このページでは、Terraform を使用して Access Approval を有効にする方法について説明します。このチュートリアルでは、Google Cloud Terraform Provider を使用します。

目的

このチュートリアルでは、次のような Terraform 構成ファイルを作成する方法について説明します。

• Access Approval のリクエストの通知に使用するメールアドレスを設定します。
• サポートされているすべての Google Cloud プロダクトに対する Access Approval を有効にします。Access Approval でサポートされている Google Cloud プロダクトの完全なリストについては、サポート対象のサービスをご覧ください。

始める前に

• Access Approval とアクセスの透明性を使用するには、組織が特定のサポート要件を満たしている必要があります。 詳細については、Access Approval を使用するための要件をご覧ください。
• 組織でアクセスの透明性を有効にします。詳しくは、アクセスの透明性を有効にするをご覧ください。
• Access Approval 構成編集者（roles/accessapproval.configEditor）Identity and Access Management（IAM）ロールがあることを確認します。Access Approval の IAM ロールの詳細については、Access Approval のロールをご覧ください。

Google Cloud プロジェクトを作成する

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。

   プロジェクト セレクタに移動

3. Access Approval API を有効にします。

   API を有効にする

4. Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。

   プロジェクト セレクタに移動

5. Access Approval API を有効にします。

   API を有効にする

Google Cloud CLI のインストール

Google Cloud CLI をインストールし、次のコマンドを実行して初期化します。

gcloud init

プロンプトが表示されたら、上記で作成または選択したプロジェクトを選択します。

Google Cloud CLI がすでにインストールされている場合は、次のコマンドを使用して更新します。

gcloud components update

Terraform 構成ファイルを作成する

1. Cloud Shell を開き、スタンドアロンの Cloud Shell セッションを開始します。
2. ワークスペースを開きます。
3. 新しいフォルダを作成します。
4. main.tf という名前の Terraform 構成ファイルをこのフォルダに追加します。

5. 次のリソースをコピーして、main.tf ファイルに貼り付けます。

   main.tf

   variable "parent_value" {
   type        = string
   }
   
   variable "email_1" {
   type        = string
   }
   
   variable "email_2" {
   type        = string
   }
   
   resource "google_folder" "my_folder" {
   display_name = "my-folder"
   parent       = var.parent_value
   # parent = "organizations/123456789"
   }
   
   resource "google_folder_access_approval_settings" "folder_access_approval" {
   folder_id           = google_folder.my_folder.folder_id
   notification_emails = [var.email_1, var.email_2]
   
   enrolled_services {
     cloud_product = "all"
     }
   }
   

   次の変数の値を入力します。

   • email_1 と email_2: このプロジェクトのアクセス リクエストの審査担当者として設定するユーザーのメールアドレスを指定します。

   • parent_value: my_folder フォルダを作成するフォルダの名前。フォルダの詳細については、フォルダの作成と管理をご覧ください。

Terraform 構成ファイルを実行する

Cloud Shell で次のコマンドを実行します。

1. ディレクトリで Terraform を初期化します。

   terraform init
   

2. 作成した Terraform 構成ファイルを実行します。

   terraform apply
   

3. 構成ファイルを実行するかどうかを確認するメッセージが表示されたら、「yes」と入力します。

Terraform を使用した Access Approval の操作の詳細については、Terraform の google_folder_access_ approval_settings のドキュメントをご覧ください。

次のステップ

• Google Cloud で Terraform を使用する
• Access Approval で Terraform を使用する
• Google Cloud で Terraform を使ってみる
• Cloud Shell を使用して Google Cloud で Terraform を使ってみる