Panoramica di Access Approval

Access Approval garantisce che l'assistenza clienti Google Cloud e il team di progettazione richiedano la tua approvazione esplicita ogni volta che hanno bisogno di accedere ai contenuti dei tuoi clienti. L'approvazione viene verificata crittograficamente per garantire l'integrità dell'approvazione dell'accesso.

Se vuoi avere la possibilità di gestire direttamente l'accesso ai tuoi contenuti da parte del personale Google, ti consigliamo di utilizzare Access Approval.

Introduzione

Access Approval consente di implementare il principio di sicurezza del privilegio minimo, secondo cui nessuno deve avere più autorizzazioni e livelli di accesso di quelli necessari. Anche dopo che avrai fornito l'accesso, il personale di Google potrà visualizzare solo i contenuti assolutamente essenziali per adempiere a un obbligo di fornire un servizio contrattato. Ad esempio, il personale dell'assistenza clienti in prima linea può accedere solo a informazioni sugli ambienti dei clienti che sono assolutamente essenziali per il debug dei problemi relativi all'assistenza clienti.

Per ulteriori informazioni sul motivo per cui i dipendenti Google potrebbero aver bisogno di accedere ai contenuti dei clienti e sui principi di accesso privilegiato di Google Cloud, consulta Accesso con privilegi in Google Cloud.

Per conoscere i principi fondamentali alla base dei controlli dell'accesso amministrativo di Google Cloud, consulta Panoramica dei controlli dell'accesso amministrativo.

Access Approval fornisce un ulteriore livello di controllo oltre alla trasparenza fornita dai log di Access Transparency. Access Transparency fornisce log che acquisiscono le azioni intraprese dal personale Google quando accede ai tuoi contenuti. Access Approval fornisce inoltre una visualizzazione cronologica di tutte le richieste approvate, ignorate o scadute.

Come funziona Access Approval

Access Approval ti invia un'email o un messaggio Pub/Sub con una richiesta di accesso che puoi scegliere di approvare.

Con le informazioni contenute nel messaggio, puoi utilizzare la console Google Cloud o l'API Access Approval per approvare o rifiutare l'accesso. Access Approval utilizza una chiave crittografica per firmare la richiesta di accesso. Questa firma viene utilizzata per verificare l'integrità dell'approvazione dell'accesso. Puoi utilizzare una chiave di firma gestita da Google o utilizzare la tua chiave di firma.

L'utilizzo di una chiave di firma gestita da Google è l'opzione predefinita. Se vuoi utilizzare la tua chiave di firma, puoi crearne una mediante Cloud KMS o utilizzare una chiave gestita esternamente con Cloud EKM. Per ulteriori informazioni su come iniziare a utilizzare una chiave di firma personalizzata, consulta Configurare Access Approval utilizzando una chiave di firma personalizzata.

Servizi Google che supportano Access Approval

Access Approval ti consente di selezionare i servizi Google Cloud che vuoi registrare in Access Approval. Access Approval richiede il tuo consenso solo per le richieste di accesso ai contenuti archiviati nei servizi selezionati.

Per registrare i servizi in Access Approval sono disponibili le seguenti opzioni:

  • Abilita automaticamente Access Approval per tutti i servizi supportati, indipendentemente dal livello di assistenza (anteprima o GA). Se selezioni questa opzione, vengono registrati automaticamente anche tutti i servizi che Access Approval supporterà in futuro. Questa è l'opzione predefinita.
  • Attiva Access Approval solo per i servizi con assistenza a livello di GA. Se selezioni questa opzione, verranno registrati automaticamente anche tutti i servizi che Access Approval supporterà in futuro con l'assistenza a livello di GA.
  • Scegli i servizi specifici che vuoi registrare in Access Approval.

Per l'elenco completo dei servizi supportati da Access Approval, vedi Servizi supportati.

Esclusioni di Access Approval

Le seguenti azioni di Google non attivano una richiesta di Access Approval:

Interruzioni del servizio su larga scala che richiedono interventi di emergenza. I log di Access Transparency verranno generati quando avrà luogo l'accesso ai dati dei clienti.

  • Qualsiasi altra eccezione documentata nelle esclusioni di Access Transparency. Queste esclusioni da Access Transparency si applicano anche alle richieste di Access Approval.

Requisiti per l'utilizzo di Access Approval

Puoi abilitare Access Approval per un progetto, una cartella o un'organizzazione Google Cloud. Prima di abilitare Access Approval, devi abilitare Access Transparency allo stesso livello nella gerarchia delle risorse o a un livello superiore.

Dopo aver abilitato Access Transparency, puoi utilizzare la console Google Cloud per abilitare Access Approval. Per scoprire come configurare Access Approval, consulta le guide rapide.

Requisiti per una chiave di firma personalizzata

L'utilizzo della chiave di firma predefinita gestita da Google non richiede alcuna configurazione aggiuntiva. Per utilizzare la tua chiave di firma, puoi creare una chiave di firma asimmetrica utilizzando Cloud Key Management Service oppure utilizzare Cloud External Key Manager per ospitare una chiave di firma gestita esternamente. Per le limitazioni relative alle chiavi di firma asimmetriche supportate da Cloud EKM, consulta Restrizioni per le chiavi di firma asimmetriche.

Se vuoi utilizzare una chiave di firma gestita esternamente, ti consigliamo di abilitare Cloud EKM. Per ulteriori informazioni sull'utilizzo di Cloud EKM per la gestione delle chiavi non archiviate in Google Cloud, consulta la panoramica di Cloud EKM.

Passaggi successivi