Access Approval の概要

このページでは、アクセス承認の概要について説明します。アクセス承認は、透明性、ユーザーの信頼、データの所有権に対する Google の長期的な取り組みの一環です。アクセスの透明性により、Google の社員がお客様データにアクセスしたタイミングに関する情報を確認できます。アクセス承認では、そのようなアクセス リクエストを承認できます。また、Google がカスタマー データにアクセスできるタイミングをきめ細かく制御できるようになりました。顧客管理の暗号鍵(CMEK)で署名されたアクセス承認を使用するお客様には、Key Access Justifications を使用して鍵アクセス リクエストを可視化して制御することもできます。

これらのプロダクトは、顧客データへのアクセスに関する管理リクエストの制御とコンテキストを提供するアクセス管理機能を提供します。

概要

Access Approval により、Cloud カスタマーケアやエンジニアリング チームがお客様のデータにアクセスする必要がある場合は常に、お客様の明示的な承認が必要になります。各承認リクエストは暗号的に署名され、整合性を確保するために検証されます。アクティブなアクセス権の承認リクエストはいつでも取り消すことができます。

Access Approval は、アクセスの透明性ログによって提供される透明性に制御の階層を追加します。アクセスの透明性では、Google の担当者がお客様の顧客データにアクセスしたときに行った操作を記録したログが提供されます。また、Access Approval は承認済み、拒否、取り消し、期限切れになったすべてのリクエストの履歴情報も提供します。

Google の担当者によるお客様の顧客データへのアクセスを直接管理できるようにするには、Access Approval を使用することをおすすめします。Google 社員がお客様のデータにアクセスする必要がある理由と、Google Cloud の特権アクセスの原則の詳細については、Google Cloud の特権アクセスをご覧ください。

Access Approval のしくみ

アクセス承認では、Google 管理者がお客様データにアクセスする前に、権限のあるお客様管理者から承認をリクエストして承認を得る必要があります。承認待ちのリクエストは、事前構成されたメールまたは Pub/Sub メッセージでお客様に通知されます。

メッセージ内の情報を使用して、Google Cloud コンソールまたは Access Approval API でアクセス承認リクエストを承認または拒否できます。アクセス権は、アクセス承認リクエストが承認された後にのみ付与されます。アクセス承認では、暗号鍵を使用してアクセス リクエストに署名します。この署名は、リクエストの整合性を確認するために使用されます。Google が管理する署名鍵を使用するか、独自の署名鍵を使用できます。

Assured Workloads での Access Approval の仕組み

Assured Workloads コンプライアンス境界でアクセス承認を使用する場合、アクセス承認が評価される前に、Assured Workloads の担当者のアクセス保証が適用されます。アクセス承認アクセス リクエストには、準拠していないパラメータ(global ロケーションなど)が含まれている場合があります。ただし、これらの条件は Assured Workloads ワークロード構成に次ぐものです。

たとえば、カナダの Protected B フォルダのオーナーに global ロケーションの Access Approval リクエストが送信された場合、このリクエストにはまずカナダの Protected B の制限が適用され、その担当者にはさらに Access Approval の地域別制限は適用されません。

デフォルトのオプションは、Google が管理する署名鍵の使用です。独自の署名鍵を使用する場合は、Cloud KMS を使用して署名鍵を作成するか、Cloud EKM を使用して外部管理の鍵を用意できます。カスタム署名鍵の使用開始については、カスタム署名鍵を使用して Access Approval を設定するをご覧ください。

Access Approval をサポートする Google サービス

Access Approval では、Access Approval に登録する Google Cloud サービスを選択できます。Access Approval は、選択したサービスに保存されているお客様データへのアクセス リクエストに対してのみお客様の同意をリクエストします。

Access Approval にサービスを登録するには、次のオプションがあります。

  • プロダクトのリリース ステージ(プレビュー版や一般提供(GA)など)に関係なく、サポートされているすべてのサービスで Access Approval を自動的に有効にします。このオプションを選択すると、今後 Access Approval でサポートされるすべてのサービスが自動的に登録されます。これはデフォルトのオプションです。
  • GA リリース ステージのサービスにのみ Access Approval を有効にする。このオプションを選択すると、今後 Access Approval がサポートするすべての一般提供サービスが自動的に登録されます。
  • Access Approval に登録する特定のサービスを選択します。

Access Approval でサポートされるサービスの一覧については、サポート サービスをご覧ください。

Access Approval の除外

アクセスの透明性の除外事項は、Access Approval にも適用されます。

これらの除外に加えて、時間に敏感なサービス停止に対処するためにお客様がアクションを起こさなくても、承認リクエストが自動的に承認される場合があります。このような自動承認された Access Approval リクエストは、auto approved 状態としてログに記録されます。

自動承認は、Assured Workloads の主権管理またはパートナーによる主権管理でデプロイされたすべてのワークロードで自動的に無効になります。

管理者アクセス リクエストが、承認がお客様が管理する鍵で署名されている場合にのみ処理されるようにするには、お客様が管理する鍵でアクセス承認を構成し、Key Access Justifications を使用します。

Access Approval を使用するための要件

Access Approval は、Google Cloud プロジェクトフォルダ組織で有効にできます。Access Approval を有効にする前に、組織でアクセスの透明性を有効にする必要があります。

アクセスの透明性を有効にしたら、Google Cloud コンソールを使用して Access Approval を有効にできます。Access Approval を設定する方法については、クイックスタートをご覧ください。

カスタム署名鍵の要件

デフォルトの Google 管理署名鍵を使用する場合、追加の構成は必要ありません。独自の署名鍵を使用するには、Cloud Key Management Service を使用して非対称署名鍵を作成するか、Cloud External Key Manager を使用して外部を管理の鍵をホストします。Cloud EKM でサポートされている非対称署名鍵に関連する制限事項については、非対称署名鍵の制限事項をご覧ください。

外部管理の署名鍵を使用する場合は、Cloud EKM を有効にすることをおすすめします。Google Cloud に保存されていない鍵の管理に Cloud EKM を使用する方法については、Cloud EKM の概要をご覧ください。

次のステップ