Übersicht über die Zugriffsgenehmigung

Auf dieser Seite finden Sie eine Übersicht über die Zugriffsgenehmigung. Die Zugriffsgenehmigung ist Teil der langfristigen Verpflichtung von Google zu Transparenz, Nutzervertrauen und Kundeneigentum an ihren Daten. Access Transparency hilft Ihnen dabei, Informationen darüber abzurufen, wann Google-Mitarbeiter auf Kundendaten zugreifen. Mit der Zugriffsgenehmigung können Sie solche Zugriffsanfragen autorisieren. Darüber hinaus bietet sie eine detailliertere Kontrolle darüber, wann Google auf Kundendaten zugreifen darf. Für Kunden, die Zugriffsgenehmigungen verwenden, die mit einem vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) signiert sind, bietet Google Nutzern außerdem mit Key Access JustificationsEinblick in Schlüsselzugriffsanfragen und die Möglichkeit, diese zu kontrollieren.

Zusammen bieten diese Produkte Funktionen für die Zugriffsverwaltung, mit denen Sie administrative Anfragen zum Zugriff auf Kundendaten kontrollieren und den Kontext dazu einsehen können.

Übersicht

Durch die Zugriffsgenehmigung wird sichergestellt, dass Cloud Customer Care und Ingenieurteams immer Ihre explizite Genehmigung benötigen, wenn sie auf Ihre Kundendaten zugreifen müssen. Jede Genehmigungsanfrage wird kryptografisch signiert und überprüft, um ihre Integrität zu gewährleisten. Aktive Anfragen für die Zugriffsgenehmigung können jederzeit widerrufen werden.

Die Zugriffsgenehmigung bietet eine zusätzliche Kontrollebene zusätzlich zu der Transparenz, die durch Access Transparency-Logs bereitgestellt wird. Access Transparency bietet Logs, in denen die Aktionen von Google-Mitarbeitern beim Zugriff auf Ihre Kundendaten erfasst werden. Die Zugriffsgenehmigung bietet auch eine Verlaufsansicht aller Anfragen, die genehmigt, abgelehnt, widerrufen oder abgelaufen sind.

Wenn Sie den Zugriff von Google-Mitarbeitern auf Ihre Kundendaten direkt verwalten möchten, empfehlen wir die Verwendung der Zugriffsgenehmigung. Weitere Informationen dazu, warum Google-Mitarbeiter möglicherweise auf Kundendaten zugreifen müssen, und zu den Prinzipien für den privilegierten Zugriff von Google Cloud' finden Sie unter Privilegierter Zugriff bei Google Cloud.

Funktionsweise der Zugriffsgenehmigung

Für die Zugriffsgenehmigung müssen Google-Administratoren eine Genehmigung von einem autorisierten Kundenadministrator anfordern und erhalten, bevor sie auf Kundendaten zugreifen können. Kunden werden über eine ausstehende Genehmigungsanfrage per E‑Mail oder Pub/Sub-Nachricht benachrichtigt.

Mit den Informationen in der Nachricht kann die Anfrage für die Zugriffsgenehmigung in der Google Cloud Konsole oder über die Access Approval APIgenehmigt oder abgelehnt werden. Der Zugriff wird erst gewährt, nachdem die Genehmigungsanfrage genehmigt wurde. Die Zugriffsgenehmigung verwendet einen kryptografischen Schlüssel, um die Zugriffsanfrage zu signieren. Die Signatur wird verwendet, um die Integrität der Anfrage zu überprüfen. Sie können entweder einen von Google verwalteten Signierschlüssel verwenden oder Ihren eigenen Signierschlüssel mitbringen.

Funktionsweise der Zugriffsgenehmigung mit Assured Workloads

Wenn Sie die Zugriffsgenehmigung mit einer Assured Workloads-Compliancegrenze verwenden, gelten die Zusicherungen für den Zugriff von Assured Workloads-Mitarbeitern, bevor die Zugriffsgenehmigung ausgewertet wird. Die Zugriffsanfrage für die Zugriffsgenehmigung kann nicht konforme Parameter enthalten (z. B. den Standort global). Diese Bedingungen sind jedoch zweitrangig gegenüber der Arbeitslastkonfiguration von Assured Workloads.

Wenn beispielsweise ein Inhaber eines Ordners vom Typ „Canada Protected B“ eine Genehmigungsanfrage für den Standort global erhält, werden zuerst die Einschränkungen für „Canada Protected B“ angewendet. Für diese Mitarbeiter werden keine weiteren regionalen Einschränkungen für die Genehmigungsanfrage angewendet.

Die Verwendung eines von Google verwalteten Signierschlüssels ist die Standardoption. Wenn Sie Ihren eigenen Signierschlüssel verwenden möchten, können Sie einen mit Cloud KMS erstellen oder einen extern verwalteten Schlüssel mit Cloud EKM mitbringen. Weitere Informationen zu den ersten Schritten mit einem benutzerdefinierten Signierschlüssel finden Sie unter Zugriffsgenehmigung mit einem benutzerdefinierten Signierschlüssel einrichten.

Google-Dienste, die die Zugriffsgenehmigung unterstützen

Mit der Zugriffsgenehmigung können Sie die Google Cloud Dienste auswählen, die Sie für die Zugriffsgenehmigung registrieren möchten. Die Zugriffsgenehmigung fordert Ihre Einwilligung nur für Zugriffsanfragen auf Kundendaten an, die in den von Ihnen ausgewählten Diensten gespeichert sind.

Sie haben folgende Möglichkeiten, Dienste für die Zugriffsgenehmigung zu registrieren:

  • Aktivieren Sie die Zugriffsgenehmigung automatisch für alle unterstützten Dienste, unabhängig von der Produkteinführungsphase (z. B. Vorschau oder allgemeine Verfügbarkeit). Wenn Sie diese Option auswählen, werden auch alle Dienste automatisch registriert, die in Zukunft von der Zugriffsgenehmigung unterstützt werden. Dies ist die Standardoption.
  • Aktivieren Sie die Zugriffsgenehmigung nur für Dienste in der Phase der allgemeinen Verfügbarkeit. Wenn Sie diese Option auswählen, werden auch alle Dienste mit allgemeiner Verfügbarkeit automatisch registriert, die in Zukunft von der Zugriffsgenehmigung unterstützt werden.
  • Wählen Sie die Dienste aus, die Sie für die Zugriffsgenehmigung registrieren möchten.

Eine vollständige Liste der Dienste, die von der Zugriffsgenehmigung unterstützt werden, finden Sie unter Unterstützte Dienste.

Ausschlüsse von Zugriffsgenehmigungen

Die Ausschlüsse von Access Transparency gelten auch für die Zugriffsgenehmigung.

Zusätzlich zu diesen Ausschlüssen kann die Genehmigungsanfrage automatisch genehmigt werden, ohne dass der Kunde Maßnahmen ergreifen muss, um zeitkritische Ausfälle zu beheben. Solche automatisch genehmigten Anfragen für die Zugriffsgenehmigung werden mit dem Status auto approved protokolliert.

Die automatische Genehmigung ist für alle Arbeitslasten automatisch deaktiviert, die mit der EU-Datengrenze mit Zugriffsbegründungen oder Kontrolle der Datenhoheit durch Partnerbereitgestellt werden.

Kunden, die sicherstellen möchten, dass administrative Zugriffsanfragen nur verarbeitet werden können, wenn die Genehmigungen mit einem vom Kunden verwalteten Schlüssel signiert sind, können die Zugriffsgenehmigung mit einem vom Kunden verwalteten Schlüssel konfigurieren und Key Access Justifications verwenden.

Voraussetzungen für die Verwendung der Zugriffsgenehmigung

Sie können die Zugriffsgenehmigung für ein Google Cloud Projekt, Ordner oder eine Organisation aktivieren. Bevor Sie die Zugriffsgenehmigung aktivieren, müssen Sie Access Transparency für Ihre Organisation aktivieren.

Nachdem Sie Access Transparency aktiviert haben, können Sie die Google Cloud Konsole verwenden, um die Zugriffsgenehmigung zu aktivieren. Informationen zum Einrichten der Zugriffsgenehmigung finden Sie in den Kurzanleitungen.

Anforderungen an einen benutzerdefinierten Signierschlüssel

Für die Verwendung des standardmäßigen von Google verwalteten Signierschlüssels ist keine zusätzliche Konfiguration erforderlich. Wenn Sie Ihren eigenen Signierschlüssel verwenden möchten, können Sie entweder einen asymmetrischen Signierschlüssel mit Cloud Key Management Service erstellen oder Cloud External Key Manager verwenden, um einen extern verwalteten Signierschlüssel zu hosten. Die Einschränkungen für asymmetrische Signierschlüssel, die von Cloud EKM unterstützt werden, finden Sie unter Einschränkungen für asymmetrische Signierschlüssel.

Wenn Sie einen extern verwalteten Signierschlüssel verwenden möchten, empfehlen wir, Cloud EKM zu aktivieren. Weitere Informationen zur Verwendung von Cloud EKM zum Verwalten von Schlüsseln, die nicht in Google Cloudgespeichert sind, finden Sie unter Übersicht über Cloud EKM.

Nächste Schritte