Ringkasan Persetujuan Akses

Persetujuan Akses memastikan bahwa Layanan Pelanggan Cloud dan engineering memerlukan persetujuan eksplisit Anda setiap kali mereka perlu mengakses konten pelanggan. Persetujuan diverifikasi secara kriptografis untuk memastikan integritas persetujuan akses.

Jika menginginkan kemampuan untuk mengelola akses secara langsung ke konten Anda oleh personel Google, sebaiknya gunakan Persetujuan Akses.

Pengantar

Persetujuan Akses membantu menerapkan prinsip keamanan hak istimewa terendah, yang menyatakan bahwa tidak ada yang boleh memiliki izin dan akses lebih dari yang dibutuhkan. Bahkan setelah Anda memberikan akses, personel Google hanya dapat melihat konten yang benar-benar penting untuk memenuhi kewajiban dalam menyediakan layanan terkontrak. Misalnya, personel dukungan pelanggan garis depan hanya dapat mengakses informasi tentang lingkungan pelanggan yang benar-benar penting untuk melakukan proses debug masalah dukungan pelanggan.

Untuk mengetahui informasi selengkapnya tentang alasan karyawan Google perlu mengakses konten pelanggan dan tentang prinsip akses istimewa Google Cloud, lihat Akses hak istimewa di Google Cloud.

Untuk mempelajari prinsip-prinsip inti di balik kontrol akses administratif Google Cloud, lihat Ringkasan kontrol akses administratif.

Persetujuan Akses memberikan lapisan kontrol tambahan selain transparansi yang diberikan oleh log Transparansi Akses. Transparansi Akses menyediakan log yang mencatat tindakan apa saja yang dilakukan staf Google saat mengakses konten Anda. Persetujuan Akses juga memberikan tampilan historis semua permintaan yang disetujui, ditolak, atau habis masa berlakunya.

Cara kerja Persetujuan Akses

Persetujuan Akses berfungsi dengan mengirimkan email atau pesan Pub/Sub yang berisi permintaan akses yang dapat Anda pilih untuk disetujui.

Dengan menggunakan informasi dalam pesan tersebut, Anda dapat menggunakan Google Cloud Console atau Access Approval API untuk menyetujui atau menolak akses. Persetujuan Akses menggunakan kunci kriptografis untuk menandatangani permintaan akses. Tanda tangan ini digunakan untuk memverifikasi integritas persetujuan akses. Anda dapat menggunakan kunci penandatanganan yang dikelola Google atau menggunakan kunci penandatanganan Anda sendiri.

Menggunakan kunci penandatanganan yang dikelola Google adalah opsi default. Jika ingin menggunakan kunci penandatanganan sendiri, Anda dapat membuatnya menggunakan Cloud KMS atau membawa kunci yang dikelola secara eksternal menggunakan Cloud EKM. Untuk informasi selengkapnya tentang cara memulai penggunaan kunci penandatanganan kustom, lihat Menyiapkan Persetujuan Akses menggunakan kunci penandatanganan kustom.

Layanan Google yang mendukung Persetujuan Akses

Access Approval dapat Anda gunakan untuk memilih layanan Google Cloud yang ingin didaftarkan di Access Approval. Persetujuan Akses meminta izin Anda hanya untuk permintaan akses ke konten yang disimpan dalam layanan yang Anda pilih.

Anda memiliki opsi berikut untuk mendaftarkan layanan di Persetujuan Akses:

  • Aktifkan otomatis Persetujuan Akses untuk semua layanan yang didukung, apa pun tingkat dukungannya (pratinjau atau GA). Memilih opsi ini juga akan otomatis mendaftarkan semua layanan yang didukung Access Approval di masa mendatang. Opsi ini adalah opsi default.
  • Hanya aktifkan Persetujuan Akses untuk layanan dengan dukungan tingkat GA. Memilih opsi ini juga akan otomatis mendaftarkan semua layanan yang didukung oleh Access Approval di masa mendatang dengan dukungan tingkat GA.
  • Pilih layanan tertentu yang ingin Anda daftarkan di Access Approval.

Untuk mengetahui daftar lengkap layanan yang didukung Access Approval, lihat Layanan yang didukung.

Pengecualian Persetujuan Akses

Tindakan Google berikut tidak memicu permintaan Persetujuan Akses:

Gangguan layanan berskala besar yang memerlukan tanggap darurat. Log Transparansi Akses akan dibuat saat akses ke data pelanggan terjadi.

  • Pengecualian lain yang didokumentasikan dalam pengecualian Transparansi Akses. Pengecualian dari Transparansi Akses ini juga berlaku untuk permintaan Persetujuan Akses.

Persyaratan untuk menggunakan Access Approval

Anda dapat mengaktifkan Access Approval untuk project Google Cloud, folder, atau organisasi. Sebelum mengaktifkan Persetujuan Akses, Anda harus mengaktifkan Transparansi Akses di tingkat yang sama dalam hierarki resource atau yang lebih tinggi.

Setelah mengaktifkan Transparansi Akses, Anda dapat menggunakan Konsol Google Cloud untuk mengaktifkan Persetujuan Akses. Untuk mempelajari cara menyiapkan Persetujuan Akses, lihat panduan memulai.

Persyaratan untuk kunci penandatanganan kustom

Menggunakan kunci penandatanganan yang dikelola Google default tidak memerlukan konfigurasi tambahan. Untuk menggunakan kunci penandatanganan sendiri, Anda dapat membuat kunci penandatanganan asimetris menggunakan Cloud Key Management Service atau menggunakan Cloud External Key Manager untuk menghosting kunci penandatanganan yang dikelola secara eksternal. Untuk mengetahui batasan terkait kunci penandatanganan asimetris yang didukung oleh Cloud EKM, lihat Pembatasan untuk kunci penandatanganan asimetris.

Jika Anda ingin menggunakan kunci penandatanganan yang dikelola secara eksternal, sebaiknya aktifkan Cloud EKM. Untuk mengetahui informasi selengkapnya tentang cara menggunakan Cloud EKM untuk mengelola kunci yang tidak disimpan di Google Cloud, lihat Ringkasan Cloud EKM.

Langkah selanjutnya