Ringkasan Persetujuan Akses
Halaman ini memberikan ringkasan tentang Persetujuan Akses. Persetujuan Akses adalah bagian dari komitmen jangka panjang Google terhadap transparansi, kepercayaan pengguna, dan kepemilikan pelanggan atas data mereka. Transparansi Akses membantu Anda menemukan informasi tentang kapan personel Google mengakses Data Pelanggan, dan Persetujuan Akses memungkinkan Anda mengotorisasi permintaan akses tersebut. Selain itu, Persetujuan Akses memberikan tingkat kontrol terperinci yang lebih baik atas kapan Google dapat mengakses Data Pelanggan. Untuk pelanggan yang menggunakan persetujuan akses yang ditandatangani dengan kunci enkripsi yang dikelola pelanggan (CMEK), Google juga memberi pengguna visibilitas dan kontrol atas permintaan akses kunci melalui Key Access Justifications.
Bersama-sama, setiap produk ini menyediakan kemampuan pengelolaan akses yang memberi Anda kontrol dan konteks untuk permintaan administratif guna mengakses Data Pelanggan.
Ringkasan
Persetujuan Akses memastikan bahwa tim Cloud Customer Care dan engineering memerlukan persetujuan eksplisit Anda setiap kali mereka perlu mengakses Data Pelanggan Anda. Setiap permintaan persetujuan ditandatangani dan diverifikasi secara kriptografis untuk memastikan integritasnya. Permintaan persetujuan akses aktif dapat dicabut kapan saja.
Persetujuan Akses memberikan lapisan kontrol tambahan selain transparansi yang diberikan oleh log Transparansi Akses. Transparansi Akses memberikan log yang mencatat tindakan yang dilakukan personel Google saat mengakses Data Pelanggan Anda. Persetujuan Akses juga memberikan tampilan historis semua permintaan yang disetujui, ditolak, dicabut, atau habis masa berlakunya.
Jika Anda ingin dapat mengelola akses personel Google ke Data Pelanggan Anda secara langsung, sebaiknya gunakan Persetujuan Akses. Untuk mengetahui informasi selengkapnya tentang alasan personel Google mungkin perlu mengakses Data Pelanggan dan tentang Google Cloud's prinsip akses istimewa Google, lihat Akses istimewa di Google Cloud.
Cara kerja Persetujuan Akses
Persetujuan Akses berfungsi dengan mewajibkan Administrator Google untuk meminta dan menerima persetujuan dari administrator pelanggan yang berwenang sebelum mengakses Data Pelanggan. Pelanggan akan diberi tahu tentang permintaan persetujuan yang tertunda menggunakan email yang telah dikonfigurasi atau pesan Pub/Sub.
Dengan menggunakan informasi dalam pesan, permintaan Persetujuan Akses dapat disetujui atau ditolak dalam Google Cloud konsol atau menggunakan Access Approval API. Akses hanya diberikan setelah permintaan Persetujuan Akses disetujui. Persetujuan Akses menggunakan kunci kriptografi untuk menandatangani permintaan akses, dan tanda tangannya digunakan untuk memverifikasi integritas permintaan. Anda dapat menggunakan kunci penandatanganan yang dikelola Google atau menggunakan kunci penandatanganan Anda sendiri.
Cara kerja Persetujuan Akses dengan Assured Workloads
Saat menggunakan Persetujuan Akses dengan batas kepatuhan Assured Workloads, jaminan akses personel Assured Workloads berlaku sebelum Persetujuan Akses dievaluasi. Permintaan akses Persetujuan Akses dapat berisi parameter yang tidak sesuai (seperti lokasi global); namun, kondisi ini bersifat sekunder untuk konfigurasi workload Assured Workloads.
Misalnya, jika pemilik folder Canada Protected B dikirimi permintaan Persetujuan Akses untuk lokasi global, permintaan ini pertama-tama akan menerapkan batasan Canada Protected B—dan personel tersebut tidak akan menerapkan batasan regional Persetujuan Akses lebih lanjut.
Menggunakan kunci penandatanganan yang dikelola Google adalah opsi default. Jika ingin menggunakan kunci penandatanganan Anda sendiri, Anda dapat membuatnya menggunakan Cloud KMS, atau menggunakan kunci yang dikelola secara eksternal menggunakan Cloud EKM. Untuk mengetahui informasi selengkapnya tentang cara memulai penggunaan kunci penandatanganan kustom, lihat Menyiapkan Persetujuan Akses menggunakan kunci penandatanganan kustom.
Layanan Google yang mendukung Persetujuan Akses
Persetujuan Akses memungkinkan Anda memilih Google Cloud layanan yang ingin didaftarkan ke Persetujuan Akses. Persetujuan Akses hanya meminta izin Anda untuk permintaan akses ke Data Pelanggan yang disimpan di layanan yang Anda pilih.
Anda memiliki opsi berikut untuk mendaftarkan layanan ke Persetujuan Akses:
- Aktifkan Persetujuan Akses secara otomatis untuk semua layanan yang didukung, terlepas dari tahap peluncuran produknya (seperti Pratinjau atau Ketersediaan Umum (GA)). Memilih opsi ini juga akan otomatis mendaftarkan semua layanan yang didukung Persetujuan Akses di masa mendatang. Setelan ini adalah opsi default.
- Hanya aktifkan Persetujuan Akses untuk layanan dalam tahap peluncuran GA. Memilih opsi ini juga akan otomatis mendaftarkan semua layanan GA yang didukung Persetujuan Akses di masa mendatang.
- Pilih layanan tertentu yang ingin Anda daftarkan ke Persetujuan Akses.
Lihat Layanan yang didukung untuk mengetahui daftar lengkap layanan yang didukung Persetujuan Akses.
Pengecualian Persetujuan Akses
Pengecualian Transparansi Akses juga berlaku untuk Persetujuan Akses.
Selain pengecualian ini, permintaan persetujuan dapat disetujui secara otomatis tanpa tindakan pelanggan untuk mengatasi gangguan yang sensitif terhadap waktu. Permintaan Persetujuan Akses yang disetujui secara otomatis tersebut dicatat dalam status auto approved.
Persetujuan otomatis dinonaktifkan secara otomatis untuk semua workload yang di-deploy dengan Batas Data Uni Eropa dengan Key Access Justifications atau Kontrol Berdaulat oleh Partner.
Pelanggan yang ingin memastikan bahwa permintaan akses administratif hanya dapat diproses jika persetujuan ditandatangani dengan kunci yang dikelola pelanggan dapat mengonfigurasi Persetujuan Akses dengan kunci yang dikelola pelanggan dan menggunakan Key Access Justifications.
Persyaratan untuk menggunakan Persetujuan Akses
Anda dapat mengaktifkan Persetujuan Akses untuk a Google Cloud project, folder, atau organization. Sebelum mengaktifkan Persetujuan Akses, Anda harus mengaktifkan Transparansi Akses untuk organisasi Anda.
Setelah mengaktifkan Transparansi Akses, Anda dapat menggunakan Google Cloud konsol untuk mengaktifkan Persetujuan Akses. Untuk mempelajari cara menyiapkan Persetujuan Akses, lihat panduan memulai.
Persyaratan untuk kunci penandatanganan kustom
Menggunakan kunci penandatanganan yang dikelola Google secara default tidak memerlukan konfigurasi tambahan. Untuk menggunakan kunci penandatanganan Anda sendiri, Anda dapat membuat kunci penandatanganan asimetris menggunakan Cloud Key Management Service atau menggunakan Cloud External Key Manager untuk menghosting kunci penandatanganan yang dikelola secara eksternal. Untuk mengetahui batasan terkait kunci penandatanganan asimetris yang didukung oleh Cloud EKM, lihat Batasan untuk kunci penandatanganan asimetris.
Jika ingin menggunakan kunci penandatanganan yang dikelola secara eksternal, sebaiknya aktifkan Cloud EKM. Untuk mengetahui informasi selengkapnya tentang penggunaan Cloud EKM untuk mengelola kunci yang tidak disimpan di Google Cloud, lihat Ringkasan Cloud EKM.
Langkah berikutnya
- Lihat panduan memulai untuk menyiapkan Persetujuan Akses.
- Pelajari cara me nggunakan Terraform untuk menyiapkan Persetujuan Akses.
- Pelajari cara menyetujui permintaan akses.
- Pelajari harga Persetujuan Akses.
- Lihat daftar Google Cloud layanan yang didukung Persetujuan Akses.