Access Approval リクエストの承認

このドキュメントでは、Access Approval のリクエストを承認する方法について説明します。

始める前に

  • 概要ページでコンセプトを理解しておいてください。

  • プロジェクト、フォルダ、または組織のアクセス承認者(roles/accessapproval.approver)の IAM ロールを、承認を実行するプリンシパルに付与します。Access Approval Approver IAM のロールを、個々のユーザーサービス アカウント、またはGoogle グループのいずれかに付与できます。

    カスタム署名鍵を使用している場合は、リソースの Access Approval サービス アカウントに Cloud KMS 暗号鍵の署名者 / 検証者(roles/cloudkms.signerVerifier)の IAM ロールも付与する必要があります。Google が管理する署名鍵を使用している場合は、その他の権限を指定する必要はありません。

    IAM のロールの付与については、単一のロールを付与するをご覧ください。

通知を受け取る設定を構成する

Access Approval のリクエストを受信するには、次のオプションがあります。

  • メールでリクエストを受け取る。
  • Pub/Sub を介してリクエストを受信する。

これらの両方のオプションを選択することもできます。

メールでリクエストを受信する

メールで Access Approval のリクエストを受信するには、クイックスタート ドキュメントのメール通知の設定セクションの手順に従ってください。

Pub/Sub 経由でリクエストを受信する

Pub/Sub を使用する手順は次のとおりです。

  1. リクエストを承認するトピックを Pub/Sub でプロジェクト内に作成します。すべてのプロジェクトでリクエストを受信する 1 つの Pub/Sub トピック、またはプロジェクトごとに別個の Pub/Sub トピックを持つことができます。
  2. Google Cloud Console を使用して、承認サービス アカウントに Pub/Sub パブリッシャーroles/pubsub.publisherIAM ロールを付与します。次のサービス アカウントに必要な権限を付与する必要があります。

    customer-approval-jobs@system.gserviceaccount.com

  3. Cloud カスタマーケアに連絡して、次の詳細を記入します。
    • 作成した Pub/Sub トピックの名前。
    • トピックが通知を受け取るリソースの一意の識別子(フォルダ ID、プロジェクト番号、または組織 ID)です。

上記の手順を完了すると、Pub/Sub トピックで Access Approval のリクエストに対応するメッセージを受信できるようになります。

Access Approval リクエストを承認する

一部のユーザーを承認者として登録すると、そのユーザーはすべてのアクセス リクエストを受け取ります。

Console

Cloud Console を使用して Access Approval のリクエストを承認するには、次の手順に従います。

  1. 保留中のすべての承認リクエストを表示するには、Cloud Console の [Access Approval] ページに移動します。

    アクセス承認に移動

    メールを介して Access Approval のリクエストを受信する場合は、承認リクエストとともに送信されたメールのリンクをクリックして、このページに移動することもできます。

  2. リクエストを承認するには [承認] を、

    リクエストを拒否することもできます。リクエストを拒否しない場合でもアクセスは引き続き拒否されるため、リクエストの拒否は省略できます。

    14 日以内にリクエストまたは Google 社員のアクセス リクエストを承認しない場合、リクエストは自動的に拒否されます。

  3. 表示されるダイアログ ボックスで、アクセス権を期限切れにする日時を選択します。

  4. 設定した有効期限までアクセスを承認するには、[承認] を選択します。

    Access Approval リクエストの有効期限の日時を選択します

    リクエストを承認すると、リクエストのステータスが Approved に変わります。承認に一致する特徴(たとえば、同じ妥当性、同じロケーション、デスクの場所)を持つ Google 社員は、承認された時間枠内にアクセスできます。リクエストを承認しない場合、Google 社員のアクセス リクエストは拒否されます。リクエストを閉じると、保留中のリクエストのリストから削除されます。承認リクエストの拒否に失敗しても、アクセスは引き続き拒否されます。

cURL

cURL を使用して Access Approval リクエストを承認するには、次の手順に従います。

  1. Pub/Sub メッセージから approvalRequest 名を取得します。
  2. API 呼び出しを行い、approvalRequest を承認または拒否します。

     # HTTP POST request with empty body (an effect of using -d '')
     # service-account-credential.json is attained by going to the
     # IAM -> Service Accounts menu in the cloud console and creating
     # a service account.
     curl -H "$(oauth2l header --json service-account-credentials.json cloud-platform)" \
       -d '' https://accessapproval.googleapis.com/v1/projects/<var>PROJECT_ID</var>/approvalRequests/<var>APPROVAL_REQUEST_ID</var>:approve
    

    リクエストには、以下のいずれかの方法で応答できます。

    アクション 効果 Google のアクセス状態
    :approve 承認リクエストを承認します。 承認前に拒否、承認後に承認。
    :dismiss 承認のリクエストを拒否します。何もしないのではなく、アクセスのリクエストを拒否することをおすすめします。このアクセス リクエストを閉じると、Google 社員のフォローアップが表示されます。 却下前に拒否、却下後に拒否。
    なし Google 社員のアクセスは引き続き拒否されます。requestedExpiration の期間が経過した後に Google 社員がリソースにアクセスするためには、新しいリクエストを開く必要があります。 対応する前に拒否、有効期限後に拒否。
  3. 承認すると、リクエストのステータスは Approved に変わります。承認に一致する特徴(たとえば、同じ妥当性、同じロケーション、デスクの場所)を持つ Google 社員は、承認された時間枠内にアクセスできます。

  4. リクエストを承認または拒否しない場合、Google 社員のアクセス リクエストは拒否されます。

次のステップ