カスタム署名鍵を使用してアクセス リクエストを確認して承認する
このドキュメントでは、Google Cloud コンソールとカスタム署名鍵を使用して Access Approval を設定し、プロジェクトに対するアクセス リクエストのメール通知を受信する方法について説明します。
Access Approval は、Google の担当者が Google Cloud に保存されているお客様のコンテンツにアクセスするために、暗号署名された承認が存在することを確認できます。
Access Approval では、独自の暗号鍵を使用してアクセス リクエストに署名できます。Cloud Key Management Service を使用して鍵を作成するか、Cloud External Key Manager を使用して外部管理の鍵を用意できます。
準備
- 組織でアクセスの透明性を有効にします。詳しくは、アクセスの透明性を有効にするをご覧ください。
- Access Approval Config Editor(
roles/accessapproval.configEditor
)IAM ロールがあることを確認します。
Access Approval に登録する
Access Approval に登録するには、以下の手順を行います。
Google Cloud コンソールで、Access Approval を有効にするプロジェクトを選択します。
Access Approval のページに移動
Access Approval に登録するには、[登録] をクリックします。
表示されたダイアログ ボックスで [登録] をクリックします。
構成の設定
Google Cloud コンソールの [Access Approval] ページで、[
設定を管理する] をクリックします。
サービスを選択する
デフォルトでは、Access Approval を必要とするサービスはプロジェクトの親リソースから継承されます。すべてのサポート対象のサービスに対して Access Approval を自動的に有効にするオプションを選択することで、登録の範囲を拡張できます。
メール通知を設定する
このセクションでは、このプロジェクトのアクセス リクエスト通知を受信する方法について説明します。
必要な IAM ロールを付与する
アクセス リクエストを表示して承認するには、Access Approval 承認者(roles/accessapproval.approver
)IAM ロールが必要です。
この IAM ロールを自分自身に付与するには、次のようにします。
- Google Cloud コンソールで [IAM] ページに移動します。
- [プリンシパルごとに表示] タブで、[ アクセスを許可] をクリックします。
- 右側のペインの [新しいプリンシパル] フィールドに、メールアドレスを入力します。
- [ロールを選択] フィールドをクリックし、メニューから [アクセス承認者] ロールを選択します。
- [保存] をクリックします。
自分自身を Access Approval リクエストの承認者として追加する
承認者として自分自身を追加し、アクセス リクエストを確認して承認できるようにするには、次の操作を行います。
Google Cloud コンソールで [Access Approval] ページに移動します。
[
設定を管理する] をクリックします。[承認通知の設定] の [ユーザーまたはグループのメールアドレス] フィールドにメールアドレスを追加します。
通知設定を保存するには、[保存] をクリックします。
カスタム署名鍵を使用する
Access Approval は、署名鍵を使用してアクセス承認の整合性を確認します。
Cloud EKM を有効にしている場合は、外部管理の署名鍵を選択できます。外部鍵の使用については、Cloud EKM の概要をご覧ください。
任意のアルゴリズムで Cloud KMS 署名鍵を作成することもできます。詳細については、非対称鍵の作成をご覧ください。
カスタム署名鍵を使用するには、このセクションの手順に沿って操作します。
サービス アカウントのメールアドレスを取得する
サービス アカウントのメールアドレスは、次の形式になります。
service-pPROJECT_NUMBER@gcp-sa-accessapproval.iam.gserviceaccount.com
PROJECT_NUMBER の部分は、プロジェクト番号に置き換えます。
たとえば、プロジェクト番号が 123456789
のプロジェクトのサービス アカウントの場合、メールアドレスは [email protected]
になります。
署名鍵を使用する手順は次のとおりです。
Google Cloud コンソールの [Access Approval] ページで、[Cloud KMS 署名キー(高度)を使用] を選択します。
暗号鍵バージョンのリソース ID を追加します。
暗号鍵バージョンのリソース ID は、次の形式にする必要があります。
projects/PROJECT_ID/locations/LOCATION/keyRings/KEYRING_ID/cryptoKeys/CRYPTOKEY_ID/cryptoKeyVersions/KEY_ID
詳細については、Cloud KMS リソース ID の取得をご覧ください。
設定を保存するには、[保存] をクリックします。
カスタム署名鍵を使用するには、プロジェクトの Access Approval サービス アカウントに Cloud KMS 暗号鍵の署名者 / 検証者(
roles/cloudkms.signerVerifier
)の IAM ロールを指定する必要があります。指定したキーで署名する権限が Access Approval サービス アカウントにない場合は、[付与] をクリックして必要な権限を付与できます。権限を付与したら、[保存] をクリックします。
Access Approval のリクエストを確認する
Access Approval に登録し、アクセス リクエストの承認者として自分自身を追加したので、アクセス リクエストのメール通知が届くようになります。
次の図は、Google の担当者がお客様のコンテンツへのアクセスをリクエストしたときに Access Approval から送信されるメール通知の例を示しています。
受信したアクセス リクエストを確認して承認するには、次の操作を行います。
Google Cloud コンソールで [Access Approval] ページに移動します。
このページに移動するには、承認リクエストとともに送信されたメールのリンクをクリックすることもできます。
[承認] をクリックします。
リクエストを承認すると、承認に一致する特徴(同じ理由、ロケーション、デスクの場所など)を持つ Google の担当者は、承認された期間内で指定されたリソースとその子リソースにアクセスできます
クリーンアップ
-
Access Approval の登録を解除するには、次の操作を行います。
- Google Cloud コンソールの [Access Approval] ページで、[設定を管理する] をクリックします。
- [登録解除] をクリック
- 表示されたダイアログで [登録解除] をクリックします。
- 組織のアクセスの透明性を無効にするには、Cloud カスタマーケアにお問い合わせください。
アカウントへの請求を避けるための追加の手順は必要ありません。