カスタム署名鍵を使用したアクセス リクエストの確認と承認
このドキュメントでは、Google Cloud Console とカスタム署名鍵を使用して Access Approval を設定し、プロジェクトに対するアクセス リクエストのメール通知を受信する方法を示します。
Access Approval を使用すると、Google の担当者が Google Cloud に保存されたコンテンツに対して暗号署名付き承認を行うことができます。
Access Approval では、独自の暗号鍵を使用してアクセス リクエストに署名できます。Cloud Key Management Service を使用して鍵を作成するか、Cloud External Key Manager を使用して外部管理の鍵を使用できます。
始める前に
- 組織でアクセスの透明性を有効にします。詳しくは、アクセスの透明性を有効にするをご覧ください。
- Access Approval Config Editor(
roles/accessapproval.configEditor)IAM ロールがあることを確認します。 - カスタム署名鍵を使用するには、Access Approval カスタム署名鍵フォームを使用して登録します。
Access Approval に登録しますか?
Access Approval に登録するには、以下の手順を行います。
Cloud Console で、Access Approval を有効にするプロジェクトを選択します。
Access Approval のページに移動
Access Approval に登録するには、[登録] をクリックします。
表示されるダイアログ ボックスで [登録] をクリックします。
構成の設定
Cloud Console の [Access Approval] ページで、 [設定を管理する] をクリックします。
サービスを選択する
デフォルトでは、Access Approval を必要とするサービスは、プロジェクトの親リソースから継承されます。サポートされているすべてのサービスに対して Access Approval を自動的に有効にするオプションを選択して、登録の範囲を拡大できます。
メール通知を設定する
このセクションでは、このプロジェクトのアクセス リクエスト通知を受信する方法について説明します。
必要な IAM ロールを付与する
アクセス リクエストを表示して承認するには、アクセス承認者(roles/accessapproval.approver)の IAM ロールが必要です。
この IAM ロールを自分に付与する手順は次のとおりです。
- Cloud Console の IAM ページに移動します。
- [追加] をクリックします。
- 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
- [ロールを選択] フィールドをクリックし、メニューから [アクセス承認者] ロールを選択します。
- [保存] をクリックします。
Access Approval リクエストの承認者として自身を追加する
アクセス リクエストを確認して承認できるように、承認者として追加する手順は次のとおりです。
Cloud Console の [Access Approval] ページに移動します。
[設定を管理する] をクリックします。
[承認通知の設定] で、[ユーザーまたはグループのメールアドレス] フィールドにメールアドレスを追加します。
通知設定を保存するには、[保存] をクリックします。
カスタム署名鍵を使用する
Access Approval は、署名鍵を使用してアクセス承認の整合性を検証します。
Cloud EKM が有効になっている場合は、外部管理の署名鍵を選択できます。外部鍵の使用方法については、Cloud EKM の概要をご覧ください。
任意のアルゴリズムで Cloud KMS 署名鍵を作成することもできます。詳細については、非対称鍵の作成をご覧ください。
カスタム署名鍵を使用するには、このセクションの手順に従ってください。
必要な IAM ロールを付与する
カスタム署名鍵を使用するには、プロジェクトの Access Approval サービス アカウントに Cloud KMS 暗号鍵の署名者 / 検証者(roles/cloudkms.signerVerifier)の IAM ロールを指定する必要があります。
サービス アカウントのメールアドレスを取得する
サービス アカウントのメールアドレスは、次の形式になります。
service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com
PROJECT_NUMBER は、プロジェクト番号に置き換えます。
たとえば、プロジェクト番号が 123456789 であるプロジェクト内のサービス アカウントのメールアドレスは service-p123456789@gcp-sa-accessapproval.iam.gserviceaccount.com です。
IAM の役割をサービス アカウントに割り当てる
Cloud KMS 暗号鍵の署名者 / 検証者(roles/cloudkms.signerVerifier)IAM ロールをサービス アカウントに割り当てるには、次の手順を使用します。
Cloud Console の [鍵管理] ページに移動します。
使用する鍵を含むキーリングの名前をクリックします。
使用する鍵のチェックボックスをオンにします。
[権限] タブで、[プリンシパルを追加] をクリックします。
[プリンシパルの追加] ダイアログで、[新しいプリンシパル] フィールドにサービス アカウントのメールアドレスを入力します。
[ロールを選択] リストで、[Cloud KMS 暗号鍵の署名者 / 検証者] を選択します。
[保存] をクリックします。
サービス アカウントに必要な IAM ロールを割り当てられたので、次の手順を使用して署名鍵を使用します。
Cloud Console の [Access Approval] ページで、[Cloud KMS 署名キー(高度)を使用] を選択します。
暗号鍵バージョンのリソース ID を追加します。
暗号鍵バージョンのリソース ID は次の形式にする必要があります。
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
詳細については、Cloud KMS リソース ID の取得をご覧ください。
設定を保存するには、[Save] をクリックします。
Access Approval のリクエストを確認する
これで、Access Approval に登録し、アクセス リクエストの承認者として追加されました。アクセス リクエストに関するメール通知を受け取ることができます。
次の図は、Google の担当者がお客様のコンテンツへのアクセスを要求したときに Access Approval によって送信されるメール通知の例を示しています。
受信アクセス リクエストを確認して承認するには、次の手順に従います。
Cloud Console の [Access Approval] ページに移動します。
ページに移動するには、承認リクエストとともに送信されたメールのリンクをクリックします。
[承認] をクリックします。
リクエストを承認すると、承認に一致する特徴(同じ妥当性、ロケーション、デスクの場所など)を持つ Google の従業員は、指定されたリソースとその子リソースにアクセスできます。
クリーンアップ
-
Access Approval を登録解除するには、次の操作を行います。
- Cloud Console の [Access Approval] ページで、[設定を管理する] をクリックします。
- [登録解除] をクリック
- 表示されたダイアログで [登録解除] をクリックします。
- 組織のアクセスの透明性を無効にするには、Cloud カスタマーケアにお問い合わせください。
アカウントへの請求を避けるための追加の手順は必要ありません。
次のステップ
- アクセス リクエストの構造について学習する。
- Access Approval のリクエストを承認する方法を確認する。
- Access Approval の過去のリクエストを表示する方法を学習する。