Google が管理する署名鍵を使用してアクセス リクエストを確認して承認する
このページでは、Google Cloud Console を使用して Access Approval を設定し、プロジェクトに対するアクセス リクエストのメール通知を受信する方法を示します。
Access Approval を使用すると、Google の担当者が Google Cloud に保存されたコンテンツに対して暗号署名付き承認を行うことができます。
始める前に
- 組織でアクセスの透明性を有効にします。詳しくは、アクセスの透明性を有効にするをご覧ください。
- Access Approval Config Editor(
roles/accessapproval.configEditor
)IAM ロールがあることを確認します。
Access Approval に登録しますか?
Access Approval に登録するには、以下の手順を行います。
Cloud Console で、Access Approval を有効にするプロジェクトを選択します。
Access Approval のページに移動
Access Approval に登録するには、[登録] をクリックします。
表示されるダイアログ ボックスで [登録] をクリックします。
構成の設定
Cloud Console の [Access Approval] ページで、
[設定を管理する] をクリックします。
サービスを選択する
デフォルトでは、Access Approval を必要とするサービスは、プロジェクトの親リソースから継承されます。サポートされているすべてのサービスに対して Access Approval を自動的に有効にするオプションを選択して、登録の範囲を拡大できます。
メール通知を設定する
このセクションでは、このプロジェクトのアクセス リクエスト通知を受信する方法について説明します。
必要な IAM ロールを自身に付与する
アクセス リクエストを表示して承認するには、アクセス承認者(roles/accessapproval.approver
)の IAM ロールが必要です。
この IAM ロールを自分に付与する手順は次のとおりです。
- Cloud Console の IAM ページに移動します。
- [ 追加] をクリックします。
- 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
- [ロールを選択] フィールドをクリックし、メニューから [アクセス承認者] ロールを選択します。
- [保存] をクリックします。
Access Approval リクエストの承認者として自身を追加する
アクセス リクエストを確認して承認できるように、承認者として追加する手順は次のとおりです。
Cloud Console の [Access Approval] ページに移動します。
[
設定を管理する] をクリックします。[承認通知の設定] で、[ユーザーまたはグループのメールアドレス] フィールドにメールアドレスを追加します。
Google が管理する署名鍵を選択
Access Approval は、署名鍵を使用してアクセス承認の整合性を検証します。
デフォルトのオプションは Google が管理する署名鍵です。Google が管理する鍵を使用する場合、追加の構成は必要ありません。
Access Approval のリクエストを確認する
これで、Access Approval に登録し、アクセス リクエストの承認者として追加されました。アクセス リクエストに関するメール通知を受け取ることができます。
次の図は、Google の担当者がお客様のコンテンツへのアクセスを要求したときに Access Approval によって送信されるメール通知の例を示しています。
受信アクセス リクエストを確認して承認するには、次の手順に従います。
Cloud Console の [Access Approval] ページに移動します。
ページに移動するには、承認リクエストとともに送信されたメールのリンクをクリックします。
[承認] をクリックします。
リクエストを承認すると、承認に一致する特徴(同じ妥当性、ロケーション、デスクの場所など)を持つ Google の担当者は、承認された期間内であれば指定されたリソースとその子リソースにアクセスできます
クリーンアップ
-
Access Approval を登録解除するには、次の操作を行います。
- Cloud Console の [Access Approval] ページで、[設定を管理する] をクリックします。
- [登録解除] をクリック
- 表示されたダイアログで [登録解除] をクリックします。
- 組織のアクセスの透明性を無効にするには、Cloud カスタマーケアにお問い合わせください。
アカウントへの請求を避けるための追加の手順は必要ありません。
次のステップ
- アクセス リクエストの構造について学習する。
- Access Approval のリクエストを承認する方法を確認する。
- Access Approval のリクエストの履歴を表示する方法を確認する。