Panoramica di Access Approval
Questa pagina fornisce una panoramica di Access Approval. Access Approval fa parte dell'impegno a lungo termine di Googleper la trasparenza, la fiducia degli utenti e la proprietà dei dati dei clienti. Access Transparency ti aiuta a scoprire informazioni su quando il personale accede ai Google dati cliente, mentre Access Approval ti consente di autorizzare queste richieste di accesso. Inoltre, fornisce livelli avanzati di controllo granulare su quando Google può accedere ai dati cliente. Per i clienti che utilizzano le approvazioni di accesso firmate con una chiave di crittografia gestita dal cliente (CMEK), Google fornisce anche agli utenti visibilità e controllo sulle richieste di accesso alle chiavi tramite Key Access Justifications.
Insieme, ognuno di questi prodotti fornisce funzionalità di gestione degli accessi che ti danno il controllo e il contesto per le richieste amministrative di accesso ai dati cliente.
Panoramica
Access Approval garantisce che i team di assistenza clienti e tecnici di Cloud richiedano la tua approvazione esplicita ogni volta che devono accedere ai tuoi dati cliente. Ogni richiesta di approvazione viene firmata e verificata mediante crittografia per garantirne l'integrità. Le richieste di approvazione dell'accesso attive possono essere revocate in qualsiasi momento.
Access Approval fornisce un ulteriore livello di controllo oltre alla trasparenza fornita dai log di Access Transparency. Access Transparency fornisce log che acquisiscono le azioni Google intraprese dal personale quando accede ai tuoi dati cliente. Access Approval fornisce anche una visualizzazione della cronologia di tutte le richieste approvate, ignorate, revocate o scadute.
Se vuoi avere la possibilità di gestire direttamente l'accesso del personale ai tuoi dati cliente, ti consigliamo di utilizzare Access Approval. Google Per saperne di più sul motivo per cui il personale potrebbe dover accedere ai dati cliente e sui principi di accesso con privilegi di, consulta Accesso con privilegi in. Google Google CloudGoogle Cloud
Come funziona Access Approval
Access Approval funziona richiedendo agli amministratori di richiedere e ricevere un'approvazione da un amministratore cliente autorizzato prima di accedere ai dati cliente. Google I clienti ricevono una notifica di una richiesta di approvazione in attesa tramite un'email preconfigurata o un messaggio Pub/Sub.
Utilizzando le informazioni presenti nel messaggio, la richiesta di Access Approval può essere approvata o rifiutata all'interno della Google Cloud console o utilizzando l' API Access Approval. L'accesso viene concesso solo dopo l'approvazione della richiesta di Access Approval. Access Approval utilizza una chiave di crittografia per firmare la richiesta di accesso e la sua firma viene utilizzata per verificare l'integrità della richiesta. Puoi utilizzare una chiave di firma gestita da Google o portare la tua chiave di firma.
Come funziona Access Approval con Assured Workloads
Quando utilizzi Access Approval con un limite di conformità di Assured Workloads, le garanzie di accesso del personale di Assured Workloads vengono applicate prima della valutazione di Access Approval. La richiesta di accesso di Access Approval può contenere parametri non conformi (ad esempio la località global); tuttavia, queste condizioni sono secondarie rispetto alla configurazione del carico di lavoro di Assured Workloads.
Ad esempio, se al proprietario di una cartella Canada Protected B viene inviata una richiesta di Access Approval per la località global, questa richiesta viene applicata per prima alle restrizioni di Canada Protected B e a quel personale non vengono applicate ulteriori restrizioni regionali di Access Approval.
L'utilizzo di una chiave di firma gestita da Google è l'opzione predefinita. Se vuoi utilizzare la tua chiave di firma, puoi crearne una utilizzando Cloud KMS o portare una chiave gestita esternamente utilizzando Cloud EKM. Per saperne di più su come iniziare a utilizzare una chiave di firma personalizzata, consulta Configurare Access Approval utilizzando una chiave di firma personalizzata.
Servizi Google che supportano Access Approval
Access Approval ti consente di selezionare i Google Cloud servizi per cui vuoi attivare Access Approval. Access Approval richiede il tuo consenso solo per le richieste di accesso ai dati cliente archiviati nei servizi selezionati.
Hai a disposizione le seguenti opzioni per registrare i servizi in Access Approval:
- Attiva automaticamente Access Approval per tutti i servizi supportati, indipendentemente dalla fase di lancio del prodotto (ad esempio, anteprima o disponibilità generale (GA)). Se scegli questa opzione, vengono registrati automaticamente anche tutti i servizi che Access Approval supporterà in futuro. Questa è l'opzione predefinita.
- Attiva Access Approval solo per i servizi nella fase di lancio GA. Se scegli questa opzione, vengono registrati automaticamente anche tutti i servizi GA che Access Approval supporterà in futuro.
- Scegli i servizi specifici per cui vuoi attivare Access Approval.
Per un elenco completo dei servizi supportati da Access Approval, consulta Servizi supportati.
Esclusioni di Access Approval
Le esclusioni di Access Transparency sono applicabili anche ad Access Approval.
Oltre a queste esclusioni, la richiesta di approvazione può essere approvata automaticamente senza l'intervento del cliente per risolvere interruzioni sensibili al tempo. Queste richieste di Access Approval approvate automaticamente vengono registrate con lo stato auto approved.
I clienti che vogliono assicurarsi che le richieste di accesso amministrativo possano essere elaborate solo quando le approvazioni sono firmate con una chiave gestita dal cliente possono configurare Access Approval con una chiave gestita dal cliente e utilizzare Key Access Justifications.
Requisiti per l'utilizzo di Access Approval
Puoi attivare Access Approval per un Google Cloud progetto, cartella o organizzazione. Prima di attivare Access Approval, devi attivare Access Transparency per la tua organizzazione.
Dopo aver attivato Access Transparency, puoi utilizzare la Google Cloud console per attivare Access Approval. Per scoprire come configurare Access Approval, consulta le guide rapide.
Requisiti per una chiave di firma personalizzata
L'utilizzo della chiave di firma predefinita gestita da Google non richiede alcuna configurazione aggiuntiva. Per utilizzare la tua chiave di firma, puoi creare una chiave di firma asimmetrica utilizzando Cloud Key Management Service o utilizzare Cloud External Key Manager per ospitare una chiave di firma gestita esternamente. Per le limitazioni relative alle chiavi di firma asimmetriche supportate da Cloud EKM, consulta Restrizioni per le chiavi di firma asimmetriche.
Se vuoi utilizzare una chiave di firma gestita esternamente, ti consigliamo di attivare Cloud EKM. Per saperne di più sull'utilizzo di Cloud EKM per la gestione delle chiavi non archiviate in Google Cloud, consulta Panoramica di Cloud EKM.
Passaggi successivi
- Consulta le guide rapide per configurare Access Approval.
- Scopri come utilizzare Terraform per configurare Access Approval.
- Scopri come approvare le richieste di accesso.
- Scopri di più sui prezzi di Access Approval.
- Consulta l'elenco dei Google Cloud servizi supportati da Access Approval.