Panoramica di Access Approval
Questa pagina fornisce una panoramica di Access Approval. Approvazione accesso fa parte dell'impegno a lungo termine di Google a favore di trasparenza, fiducia degli utenti e proprietà dei dati da parte dei clienti. Access Transparency ti aiuta a scoprire informazioni su quando il personale Google accede ai dati dei clienti e l'approvazione accesso ti consente di autorizzare tali richieste di accesso. Inoltre, fornisce livelli avanzati di controllo granulare sui momenti in cui Google può accedere ai dati dei clienti. Per i clienti che utilizzano approvazioni dell'accesso firmate con una chiave di crittografia gestita dal cliente (CMEK), Google fornisce anche agli utenti visibilità e controllo delle richieste di accesso alle chiavi tramite Key Access Justifications.
Insieme, ciascuno di questi prodotti fornisce funzionalità di gestione degli accessi che ti danno il controllo e il contesto delle richieste amministrative di accesso ai dati dei clienti.
Panoramica
Access Approval garantisce che i team di assistenza clienti Google Cloud e tecnici richiedano la tua approvazione esplicita ogni volta che devono accedere ai tuoi dati dei clienti. Ogni richiesta di approvazione è firmata e verificata crittograficamente per garantirne l'integrità. Le richieste di approvazione dell'accesso attive possono essere revocate in qualsiasi momento.
Approvazione dell'accesso fornisce un ulteriore livello di controllo oltre alla trasparenza fornita dai log di Access Transparency. Access Transparency fornisce log che acquisiscono le azioni intraprese dal personale Google quando accede ai tuoi dati dei clienti. L'approvazione di accesso fornisce anche una visualizzazione cronologica di tutte le richieste che sono state approvate, ignorate, revocate o scadute.
Se vuoi gestire direttamente l'accesso del personale Google ai tuoi dati dei clienti, ti consigliamo di utilizzare Access Approval. Per ulteriori informazioni sul motivo per cui il personale di Google potrebbe dover accedere ai dati dei clienti e sui principi di accesso privilegiato diGoogle Cloud, consulta Accesso privilegiato su Google Cloud.
Come funziona Access Approval
Access Approval funziona richiedendo agli amministratori Google di richiedere e ricevere un'approvazione da un amministratore cliente autorizzato prima di accedere ai dati del cliente. I clienti vengono informati di una richiesta di approvazione in attesa tramite un'email preconfigurata o un messaggio Pub/Sub.
Utilizzando le informazioni presenti nel messaggio, la richiesta di approvazione di Access Approval può essere approvata o rifiutata nella console Google Cloud o utilizzando l'API Access Approval. L'accesso viene concesso solo dopo l'approvazione della richiesta di approvazione. L'approvazione di accesso utilizza una chiave di crittografia per firmare la richiesta di accesso e la sua firma viene utilizzata per verificare l'integrità della richiesta. Puoi utilizzare una chiave di firma gestita da Google o portare la tua chiave di firma.
Come funziona l'approvazione dell'accesso con Assured Workloads
Quando utilizzi l'approvazione di accesso con un perimetro di conformità di Assured Workloads, le garanzie di accesso del personale di Assured Workloads vengono applicate prima della valutazione dell'approvazione di accesso. La richiesta di accesso di Access Approval
potrebbe contenere parametri non conformi (ad esempio la posizione global); tuttavia, queste condizioni sono secondarie rispetto alla
configurazione del workload Assured Workloads.
Ad esempio, se al proprietario di una cartella Canada Protected B viene inviata una
richiesta di approvazione dell'accesso per la località global, questa richiesta
applica innanzitutto le limitazioni di Canada Protected B e a questo personale non
vengono applicate ulteriori limitazioni regionali di approvazione dell'accesso.
L'utilizzo di una chiave di firma gestita da Google è l'opzione predefinita. Se vuoi utilizzare la tua chiave di firma, puoi crearne una utilizzando Cloud KMS o importare una chiave gestita esternamente utilizzando Cloud EKM. Per saperne di più su come iniziare a utilizzare una chiave di firma personalizzata, consulta Configurare l'approvazione dell'accesso utilizzando una chiave di firma personalizzata.
Servizi Google che supportano Access Approval
Access Approval ti consente di selezionare i servizi che vuoi registrare in Access Approval. Google Cloud Access Approval richiede il tuo consenso solo per le richieste di accesso ai dati dei clienti archiviati nei servizi che selezioni.
Hai a disposizione le seguenti opzioni per registrare i servizi in Access Approval:
- Attiva automaticamente Access Approval per tutti i servizi supportati, indipendentemente dalla fase di lancio del prodotto (ad esempio anteprima o disponibilità generale (GA)). Se selezioni questa opzione, in futuro verranno registrati automaticamente tutti i servizi supportati da Access Approval. Questa è l'opzione predefinita.
- Attiva Access Approval solo per i servizi nella fase di lancio GA. Se selezioni questa opzione, vengono registrati automaticamente anche tutti i servizi GA che Access Approval supporterà in futuro.
- Scegli i servizi specifici a cui vuoi registrarti in Access Approval.
Consulta Servizi supportati per un elenco completo dei servizi supportati da Approvazione accesso.
Esclusioni di Access Approval
Anche le esclusioni di Access Transparency sono applicabili ad Access Approval.
Oltre a queste esclusioni, la richiesta di approvazione potrebbe essere approvata automaticamente
senza l'intervento del cliente per risolvere interruzioni sensibili al fattore tempo. Queste
richieste di Access Approval approvate automaticamente vengono registrate in uno stato
auto approved.
L'approvazione automatica viene disattivata automaticamente per tutti i workload di cui è stato eseguito il deployment con Data Boundary dell'UE con giustificazioni dell'accesso o Controlli di Sovranità dai Partner.
I clienti che vogliono assicurarsi che le richieste di accesso amministrativo possano essere elaborate solo quando le approvazioni sono firmate con una chiave gestita dal cliente possono configurare Access Approval con una chiave gestita dal cliente e utilizzare Key Access Justifications.
Requisiti per l'utilizzo di Approvazione dell'accesso
Puoi attivare Access Approval per un Google Cloud progetto, una cartella o un'organizzazione. Prima di attivare Access Approval, devi attivare Access Transparency per la tua organizzazione.
Dopo aver attivato Access Transparency, puoi utilizzare la console Google Cloud per attivare Access Approval. Per scoprire come configurare Access Approval, consulta le guide rapide.
Requisiti per una chiave di firma personalizzata
L'utilizzo della chiave di firma gestita da Google predefinita non richiede alcuna configurazione aggiuntiva. Per utilizzare la tua chiave di firma, puoi creare una chiave di firma asimmetrica utilizzando Cloud Key Management Service o utilizzare Cloud External Key Manager per ospitare una chiave di firma gestita esternamente. Per le limitazioni relative alle chiavi di firma asimmetriche supportate da Cloud EKM, consulta Limitazioni per le chiavi di firma asimmetriche.
Se vuoi utilizzare una chiave di firma gestita esternamente, ti consigliamo di attivare Cloud EKM. Per saperne di più sull'utilizzo di Cloud EKM per la gestione delle chiavi non archiviate in Google Cloud, consulta la panoramica di Cloud EKM.
Passaggi successivi
- Consulta le guide rapide per configurare Access Approval.
- Scopri come utilizzare Terraform per configurare Access Approval.
- Scopri come approvare le richieste di accesso.
- Scopri di più sui prezzi di Access Approval.
- Consulta l'elenco dei serviziGoogle Cloud supportati da Access Approval.