Google が管理する署名鍵を使用してアクセスリクエストを確認して承認する

このページでは、Google Cloud コンソールを使用して Access Approval を設定し、プロジェクトに対するアクセスリクエストのメール通知を受信する方法を示します。

Access Approval は、Google の担当者が Google Cloud に保存されているコンテンツにアクセスするために、暗号署名付き承認が存在することを確認します。

始める前に

組織でアクセスの透明性を有効にします。詳しくは、アクセスの透明性を有効にするをご覧ください。
Access Approval Config Editor（roles/accessapproval.configEditor）IAM ロールがあることを確認します。

Access Approval に登録するには、以下の手順を行います。

Google Cloud コンソールの [Access Approval] ページで、[設定を管理する] をクリックします。

[設定を管理する] ボタンを選択します。

デフォルトでは、Access Approval を必要とするサービスは、プロジェクトの親リソースから継承されます。すべてのサポート対象のサービスに対して Access Approval を自動的に有効にするオプションを選択することで、登録の範囲を拡張できます。

このセクションでは、このプロジェクトのアクセスリクエスト通知を受信する方法について説明します。

アクセスリクエストを表示して承認するには、Access Approval 承認者（roles/accessapproval.approver）IAM ロールが必要です。

この IAM ロールを自分自身に付与するには、次のようにします。

承認者として自分自身を追加し、アクセスリクエストを確認して承認できるようにするには、次の操作を行います。

Google Cloud コンソールの [Access Approval] ページに移動します。

アクセス承認に移動
[設定を管理する] をクリックします。
メール通知を有効にするには、[承認通知の設定] の [ユーザーまたはグループのメールアドレス] フィールドにメールアドレスを追加します。
Pub/Sub 通知を有効にするには、[承認通知の設定] の [Pub/Sub トピック] フィールドに Pub/Sub トピックを追加します。

Access Approval は、署名鍵を使用してアクセス承認の整合性を検証します。

Google が管理する署名鍵がデフォルトのオプションです。Google が管理する鍵を使用する場合、追加の構成は必要ありません。

Access Approval に登録して、アクセスリクエストの承認者として追加したら、アクセスリクエストのメール通知を受け取ることができます。

次の図は、Google の担当者がお客様のコンテンツへのアクセスをリクエストするときに、Access Approval から送信されるメール通知の例を示しています。

Google の担当者がお客様のコンテンツへのアクセスをリクエストするときに送信されるメール通知。

受信アクセスリクエストを確認して承認する手順は次のとおりです。

Google Cloud コンソールの [Access Approval] ページに移動します。

アクセス承認に移動

このページを表示するには、承認リクエストとともに送信されたメールのリンクをクリックします。
[承認] をクリックします。

リクエストを承認すると、承認に一致する特徴（同じ妥当性、ロケーション、デスクの場所など）を持つ Google の担当者は、承認された期間内であれば指定されたリソースとその子リソースにアクセスできます

Access Approval の登録を解除するには、次の操作を行います。
1. Google Cloud コンソールの [Access Approval] ページで、[設定を管理する] をクリックします。
2. [登録解除] をクリック
3. 表示されたダイアログで [登録解除] をクリックします。
組織のアクセスの透明性を無効にするには、Cloud カスタマーケアにお問い合わせください。

アカウントへの請求を避けるための追加の手順は必要ありません。