Google が管理する署名鍵を使用してアクセス リクエストを確認して承認する

このページでは、Google Cloud コンソールを使用して Access Approval を設定し、プロジェクトに対するアクセス リクエストのメール通知を受信する方法を示します。

Access Approval は、Google の担当者がGoogle Cloudに保存されているお客様のコンテンツにアクセスするために、暗号署名された承認が存在することを確認します。

始める前に

Access Approval に登録する

Access Approval に登録するには、以下の手順を行います。

  1. Google Cloud コンソールで、Access Approval を有効にするプロジェクトを選択します。

    プロジェクト セレクタに移動

  2. Access Approval のページに移動

    アクセス承認に移動

  3. Access Approval に登録するには、[登録] をクリックします。

    Access Approval に登録しますか?

  4. 表示されたダイアログ ボックスで [登録] をクリックします。

    サポート時間の増加に関する Access Approval の免責条項

構成の設定

Google Cloud コンソールの [Access Approval] ページで、[設定を管理する] をクリックします。

[設定を管理] ボタンを選択します。

サービスを選択する

デフォルトでは、Access Approval が必要なサービスはプロジェクトの親リソースから継承されます。すべてのサポート対象のサービスに対して Access Approval を自動的に有効にするオプションを選択することで、登録の範囲を拡張できます。

メールと Pub/Sub 通知の設定

このセクションでは、このプロジェクトのアクセス リクエスト通知を受信する方法について説明します。

必要な IAM ロールを自分に付与する

アクセス リクエストを表示して承認するには、Access Approval 承認者(roles/accessapproval.approver)IAM ロールが必要です。

この IAM ロールを自分自身に付与するには、次のようにします。

  1. Google Cloud コンソールで [IAM] ページに移動します。

    IAM に移動

  2. [プリンシパルごとに表示] タブで、[アクセスを許可] をクリックします。
  3. 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
  4. [ロールを選択] フィールドをクリックし、メニューから [アクセス承認者] ロールを選択します。
  5. [保存] をクリックします。

自分自身を Access Approval リクエストの承認者として追加し、通知を構成する

承認者として自分自身を追加し、アクセス リクエストを確認して承認できるようにするには、次の操作を行います。

  1. Google Cloud コンソールで [アクセス承認] ページに移動します。

    アクセス承認に移動

  2. [設定を管理する] をクリックします。

  3. メール通知を有効にするには、[承認通知の設定] の [ユーザーまたはグループのメールアドレス] フィールドにメールアドレスを追加します。

  4. Pub/Sub 通知を有効にするには、[承認通知の設定] の [Pub/Sub トピック] フィールドに Pub/Sub トピックを追加します。

Google が管理する署名鍵を選択する

Access Approval は、署名鍵を使用してアクセス承認の整合性を確認します。

デフォルトのオプションは、Google が管理する署名鍵です。Google-owned and managed key を使用する場合、追加の構成は必要ありません。

Access Approval リクエストを確認する

Access Approval に登録し、アクセス リクエストの承認者として自分自身を追加したので、アクセス リクエストのメール通知が届くようになります。

次の図は、Google の担当者がお客様のコンテンツへのアクセスをリクエストしたときに Access Approval から送信されるメール通知の例を示しています。

Google の担当者がお客様のコンテンツへのアクセスをリクエストしたときに送信されるメール通知。

受信したアクセス リクエストを確認して承認するには、次の操作を行います。

  1. Google Cloud コンソールで [アクセス承認] ページに移動します。

    アクセス承認に移動

    このページに移動するには、承認リクエストとともに送信されたメールのリンクをクリックすることもできます。

  2. [承認] をクリックします。

リクエストを承認すると、承認に一致する特徴(同じ妥当性、ロケーション、デスクの場所など)を持つ Google の担当者は、承認された期間内であれば指定されたリソースとその子リソースにアクセスできます

クリーンアップ

  1. Access Approval の登録を解除するには、次の操作を行います。
    1. Google Cloud コンソールの [Access Approval] ページで、[設定を管理する] をクリックします。
    2. [登録解除] をクリック
    3. 表示されたダイアログで [登録解除] をクリックします。
  2. 組織のアクセスの透明性を無効にするには、Cloud カスタマーケアにお問い合わせください。

アカウントへの請求を避けるための追加の手順は必要ありません。

次のステップ