Access Approval の概要

Access Approval を使用すると、Cloud カスタマーケアやエンジニアリング チームがお客様コンテンツにアクセスする必要がある場合に明示的な承認を要求できます。アクセス承認の整合性を確保するため、承認は暗号的に検証されます。

Google の担当者によるコンテンツへのアクセスを直接管理する場合は、Access Approval を使用することをおすすめします。

はじめに

Access Approval は、必要以上の権限やアクセスを持たないように、最小権限のセキュリティ原則を実装するのに役立ちます。アクセス権を付与された後も、Google の担当者が閲覧できるのは、契約に基づくサービスを提供する義務を果たすうえで不可欠なコンテンツに限られます。たとえば、最前線のカスタマー サポート担当者はカスタマー サポートの問題のデバッグに不可欠なお客様の環境に関する情報にのみアクセスできます。

Google の社員が顧客コンテンツにアクセスする必要がある理由と、Google の特権アクセスの原則の詳細については、Google の特権アクセスをご覧ください。

Access Approval は、アクセスの透明性ログが提供する透明性にアクセス制御を追加して強化します。アクセスの透明性では、Google の担当者がコンテンツにアクセスしたときに行った操作を記録したログが提供されます。また、Access Approval は承認済み、拒否、期限切れになったすべてのリクエストの履歴情報も提供します。

Access Approval のしくみ

Access Approval は、承認を選択できるアクセス リクエストを含むメールまたは Pub/Sub メッセージを送信することで機能します。

メッセージの情報を使用して、Google Cloud Console または Access Approval API でアクセスを承認または拒否できます。Access Approval は、暗号鍵を使用してアクセス リクエストに署名します。この署名は、アクセス承認の整合性を検証するために使用されます。Google が管理する署名鍵を使用することも、独自の署名鍵を使用することもできます。

デフォルトのオプションは Google が管理する署名鍵の使用です。独自の署名鍵を使用する場合は、Cloud KMS を使用して作成するか、Cloud EKM を使用して外部管理の鍵を使用できます。カスタム署名鍵の使用の詳細については、カスタム署名鍵を使用して Access Approval を設定するをご覧ください。

Access Approval をサポートする Google サービス

Access Approval では、Access Approval に登録する Google Cloud サービスを選択できます。Access Approval は、選択したサービスに保存されているコンテンツへのアクセス リクエストに対してのみ同意をリクエストします。

Access Approval にサービスを登録するには、次のオプションがあります。

  • サポートレベル(プレビューまたは一般提供)に関係なく、サポートされているすべてのサービスの Access Approval を自動的に有効にします。このオプションを選択すると、今後 Access Approval がサポートするすべてのサービスが自動的に登録されます。これはデフォルトのオプションです。
  • GA レベルのサポートが含まれるサービスでのみ Access Approval を有効にします。このオプションを選択すると、今後 Access Approval がサポートする一般提供レベルのサポートにも自動的に登録されます。
  • Access Approval に登録するサービスを選択します。

Access Approval がサポートするサービスの完全なリストについては、サポート対象のサービスをご覧ください。

Access Approval の除外

以下の Google のアクションは、Access Approval のリクエストをトリガーしません。

  • ユーザー コンテンツへのシステム アクセス。これは、承認されレビューされた Google のプロセスに基づく、プログラムによる、人間からではないアクセスです。たとえば、コンテンツに対して実行される圧縮ジョブや、コンテンツの削除処理中のディスク破棄などです。こうしたアクセスは Google の Binary Authorization 機能によってチェックされます。この機能は、本番環境にチェックインされ、セカンド パーティによって審査されたコードからジョブが作成されたことを確認します。

  • 広範囲にわたる影響を持つお客様の停止。

  • アクセスの透明性の除外に記載されているその他の例外。アクセスの透明性ログの生成に失敗しても、Access Approval のリクエストは生成されません。

Access Approval を使用するための要件

Google Cloud プロジェクトフォルダ、または組織に対して Access Approval を有効にできます。Access Approval を有効にする前に、リソース階層以上のレベルでアクセスの透明性を有効にする必要があります。

アクセスの透明性を有効にしたら、Google Cloud Console を使用して Access Approval を有効にできます。Access Approval の設定方法については、クイックスタートをご覧ください。

カスタム署名鍵の要件

デフォルトの Google が管理する署名鍵を使用する場合、追加の構成は必要ありません。独自の署名鍵を使用するには、Cloud Key Management Service を使用して非対称署名鍵を作成するか、Cloud External Key Manager を使用して外部管理の署名鍵をホストします。

外部管理の署名鍵を使用する場合は、Cloud EKM を有効にすることをおすすめします。Google Cloud に保存されていない鍵の管理に Cloud EKM を使用する方法については、Cloud EKM の概要をご覧ください。

次のステップ