【小ネタ】Privileged Access Manager の通知先をカスタマイズする際の注意点
データ事業本部のはんざわです。
Google Cloud には、権限を一時的に昇格させたり、昇格する際の承認フローを設ける機能として、Privileged Access Manager(PAM) というサービスが存在します。
PAM の概要や基本的な利用方法は、以下のブログが非常に参考になりますので、ぜひ確認してみてください。
PAM には、昇格や承認などのイベント発生時に特定のユーザー(リクエスト元や承認者)へ通知を送る機能があります。
この 通知先を指定する設定 を行う際に、少し手間取ったポイントがあったので、その内容を共有したいと思います。
通知設定
通知設定は、PAM のコンソールの 設定 タブから行えます。
デフォルトでは、親フォルダもしくは組織の設定を継承するようになっています。
もちろん、「継承をオーバーライドする」を選択して、プロジェクト独自に通知するイベントや宛先を変更することも可能です。
設定を有効にしておくことで、昇格のリクエストや承認が行われた際に、以下のようなメールが届くようになります。
ここからが本題のハマりポイントです。
1. 通知を設定する権限
通常、PAM の利用資格を作成・管理する場合、Privileged Access Manager 管理者(roles/privilegedaccessmanager.admin)や プロジェクト IAM 管理者(roles/resourcemanager.projectIamAdmin)といった権限を使用します。
しかし、PAM の設定(通知設定など)を変更する権限は、上記の「Privileged Access Manager 管理者」には含まれていません。
通知設定を変更するには、別途 PAM 設定管理者(roles/privilegedaccessmanager.settingsAdmin) という権限が必要になりますが、このロールは 組織レベルでのみ付与可能 な権限となっており、プロジェクト単位で付与することができません。
そのため、特定のプロジェクトだけで通知設定を変えたい場合でも組織レベルでの権限付与を管理者に依頼する必要が出てきます。
2. 通知先の管理者
設定画面のキャプチャでも確認できる通り、通知先として選択できるのは次の 3 つです。
- 管理者
- リクエスト元
- 承認者
「リクエスト元」は権限昇格を申請したユーザー、「承認者」はそれを承認したユーザーに該当します。
ここで少し戸惑ったのが「管理者」の定義です。
(Google Cloud のプロジェクトオーナーや組織の管理者に通知が飛ぶのかと勘違いしていました...)
PAM の通知設定における「管理者」とは、利用資格を作成する際の「管理者の通知の受信者」に登録されたメールアドレス のことを指します。
具体的には、利用資格の作成画面にある以下の項目に登録されたユーザーが「管理者」として扱われ、メールが通知されます。
おわりに
今回のブログでは、Privileged Access Manager の通知先を設定しようとした際に手間取ったポイントについて紹介しました。
冒頭でも触れた通り、現在はまだプレビュー機能のため、今後仕様が変更される可能性も十分にあります。一般提供(GA)されたタイミングで、改めて動作を確認して共有したいと思います。
本ブログが参考になれば幸いです。
