クイックスタート: Google が管理する署名鍵を使用してアクセスリクエストを確認する

Google が管理する署名鍵を使用してアクセスリクエストを確認して承認する

このページでは、Google Cloud Console を使用して Access Approval を設定し、プロジェクトに対するアクセスリクエストのメール通知を受信する方法を示します。

Access Approval を使用すると、Google の担当者が Google Cloud に保存されたコンテンツに対して暗号署名付き承認を行うことができます。

始める前に

組織でアクセスの透明性を有効にします。詳しくは、アクセスの透明性を有効にするをご覧ください。
Access Approval Config Editor（roles/accessapproval.configEditor）IAM ロールがあることを確認します。

Access Approval に登録するには、以下の手順を行います。

Cloud Console の [Access Approval] ページで、 [設定を管理する] をクリックします。

[設定を管理する] ボタンを選択します。

デフォルトでは、Access Approval を必要とするサービスは、プロジェクトの親リソースから継承されます。サポートされているすべてのサービスに対して Access Approval を自動的に有効にするオプションを選択して、登録の範囲を拡大できます。

このセクションでは、このプロジェクトのアクセスリクエスト通知を受信する方法について説明します。

アクセスリクエストを表示して承認するには、アクセス承認者（roles/accessapproval.approver）の IAM ロールが必要です。

この IAM ロールを自分に付与する手順は次のとおりです。

アクセスリクエストを確認して承認できるように、承認者として追加する手順は次のとおりです。

Access Approval は、署名鍵を使用してアクセス承認の整合性を検証します。

デフォルトのオプションは Google が管理する署名鍵です。Google が管理する鍵を使用する場合、追加の構成は必要ありません。

これで、Access Approval に登録し、アクセスリクエストの承認者として追加されました。アクセスリクエストに関するメール通知を受け取ることができます。

次の図は、Google の担当者がお客様のコンテンツへのアクセスを要求したときに Access Approval によって送信されるメール通知の例を示しています。

Google の担当者がお客様のコンテンツへのアクセスを要求したときに送信されるメール通知。

受信アクセスリクエストを確認して承認するには、次の手順に従います。

Cloud Console の [Access Approval] ページに移動します。

アクセス承認に移動

ページに移動するには、承認リクエストとともに送信されたメールのリンクをクリックします。
[承認] をクリックします。

リクエストを承認すると、承認に一致する特徴（同じ妥当性、ロケーション、デスクの場所など）を持つ Google の担当者は、承認された期間内であれば指定されたリソースとその子リソースにアクセスできます

Access Approval を登録解除するには、次の操作を行います。
1. Cloud Console の [Access Approval] ページで、[設定を管理する] をクリックします。
2. [登録解除] をクリック
3. 表示されたダイアログで [登録解除] をクリックします。
組織のアクセスの透明性を無効にするには、Cloud カスタマーケアにお問い合わせください。

アカウントへの請求を避けるための追加の手順は必要ありません。