Übersicht über die Zugriffsgenehmigung

Auf dieser Seite erhalten Sie eine Übersicht über die Zugriffsgenehmigung. Die Zugriffsgenehmigung ist Teil des langfristigen Engagements von Google für Transparenz, Nutzervertrauen und die Kontrolle von Kunden über ihre Daten. Mit Access Transparency können Sie nachvollziehen, wann Google-Mitarbeiter auf Kundendaten zugreifen. Mit der Zugriffsberechtigung können Sie solche Zugriffsanfragen genehmigen. Außerdem können Sie noch genauer festlegen, wann Google auf Kundendaten zugreifen darf. Kunden, die Zugriffsberechtigungen verwenden, die mit einem vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) signiert sind, erhalten über Berechtigungen für den Schlüsselzugriff Zugriff auf und Kontrolle über Schlüsselzugriffsanfragen.

Zusammen bieten diese Produkte Funktionen zur Zugriffsverwaltung, mit denen Sie administrative Zugriffsanfragen auf Kundendaten steuern und Kontext dazu erhalten.

Übersicht

Mit der Zugriffsgenehmigung wird sichergestellt, dass Cloud Customer Care und die Entwicklerteams immer Ihre explizite Genehmigung benötigen, wenn sie auf Ihre Kundendaten zugreifen müssen. Jeder Genehmigungsantrag wird kryptografisch signiert und überprüft, um seine Integrität zu gewährleisten. Genehmigungsanfragen für den aktiven Zugriff können jederzeit widerrufen werden.

Die Zugriffsgenehmigung bietet eine zusätzliche Kontrollebene zusätzlich zu der Transparenz, die durch Access Transparency-Logs bereitgestellt wird. Mit Access Transparency erhalten Sie Logs, in denen die Aktionen erfasst werden, die Google-Mitarbeiter beim Zugriff auf Ihre Kundendaten ausführen. „Zugriffsgenehmigung“ bietet außerdem eine Verlaufsansicht aller Anfragen, die genehmigt, abgelehnt, widerrufen oder abgelaufen sind.

Wenn Sie den Zugriff von Google-Mitarbeitern auf Ihre Kundendaten direkt verwalten möchten, empfehlen wir die Verwendung der Zugriffsgenehmigung. Weitere Informationen dazu, warum Google-Mitarbeiter möglicherweise auf Kundendaten zugreifen müssen, und zu den Grundsätzen für den privilegierten Zugriff in Google Cloud finden Sie unter Privilegierter Zugriff in Google Cloud.

Funktionsweise der Zugriffsgenehmigung

Bei der Zugriffsgenehmigung müssen Google-Administratoren vor dem Zugriff auf Kundendaten eine Genehmigung von einem autorisierten Kundenadministrator anfordern und erhalten. Kunden werden über eine vorkonfigurierte E-Mail oder eine Pub/Sub-Nachricht über eine ausstehende Genehmigungsanfrage informiert.

Anhand der Informationen in der Nachricht kann die Anfrage für die Zugriffsgenehmigung in der Google Cloud Console oder mithilfe der Access Approval API genehmigt oder abgelehnt werden. Der Zugriff wird erst gewährt, nachdem die Anfrage für die Zugriffsgenehmigung genehmigt wurde. Bei der Zugriffsgenehmigung wird die Zugriffsanfrage mit einem kryptografischen Schlüssel signiert. Anhand der Signatur wird die Integrität der Anfrage überprüft. Sie können entweder einen von Google verwalteten Signaturschlüssel verwenden oder Ihren eigenen Signaturschlüssel verwenden.

Funktionsweise der Zugriffsgenehmigung mit Assured Workloads

Wenn Sie die Zugriffsgenehmigung mit einer Assured Workloads-Compliance-Grenze verwenden, werden die Zugriffssicherungen für das Personal von Assured Workloads angewendet, bevor die Zugriffsgenehmigung ausgewertet wird. Die Zugriffsanfrage für die Zugriffsberechtigung kann nicht konforme Parameter enthalten (z. B. den Speicherort global). Diese Bedingungen sind jedoch zweitrangig für die Arbeitslastkonfiguration „Assured Workloads“.

Wenn beispielsweise einem Inhaber eines Ordners mit Protected B in Kanada eine Access Approval-Anfrage für den Speicherort global gesendet wird, werden auf diese Anfrage zuerst die Einschränkungen für Protected B in Kanada angewendet. Auf diese Personen werden keine weiteren regionalen Einschränkungen für Access Approval angewendet.

Die Standardoption ist die Verwendung eines von Google verwalteten Signaturschlüssels. Wenn Sie einen eigenen Signaturschlüssel verwenden möchten, können Sie ihn mit Cloud KMS erstellen oder einen extern verwalteten Schlüssel mit Cloud EKM verwenden. Weitere Informationen zu den ersten Schritten mit einem benutzerdefinierten Signaturschlüssel finden Sie unter Zugriffsberechtigung mit einem benutzerdefinierten Signaturschlüssel einrichten.

Google-Dienste, die die Zugriffsgenehmigung unterstützen

Mit der Zugriffsgenehmigung können Sie die Google Cloud-Dienste auswählen, die Sie für die Zugriffsgenehmigung registrieren möchten. Bei der Zugriffsgenehmigung wird Ihre Einwilligung nur für Zugriffsanfragen auf Kundendaten angefordert, die in den von Ihnen ausgewählten Diensten gespeichert sind.

Sie haben folgende Möglichkeiten, Dienste für die Zugriffsgenehmigung zu registrieren:

  • Aktivieren Sie die Zugriffsbestätigung automatisch für alle unterstützten Dienste, unabhängig von der Phase der Produkteinführung (z. B. Vorabversion oder allgemeine Verfügbarkeit (GA)). Wenn Sie diese Option auswählen, werden auch alle Dienste, die in Zukunft von Access Approval unterstützt werden, automatisch registriert. Dies ist die Standardoption.
  • Aktivieren Sie Access Approval nur für Dienste, die sich in der GA-Phase befinden. Wenn Sie diese Option auswählen, werden automatisch alle GA-Dienste registriert, die in Zukunft von der Zugriffsgenehmigung unterstützt werden.
  • Wählen Sie die Dienste aus, die Sie für die Zugriffsgenehmigung registrieren möchten.

Eine vollständige Liste der Dienste, die die Zugriffsgenehmigung unterstützen, finden Sie unter Unterstützte Dienste.

Ausschlüsse von Zugriffsgenehmigungen

Die Ausschlüsse von Access Transparency gelten auch für die Zugriffsgenehmigung.

Zusätzlich zu diesen Ausschlüssen kann der Genehmigungsantrag bei zeitkritischen Ausfällen automatisch genehmigt werden, ohne dass der Kunde etwas unternehmen muss. Solche automatisch genehmigten Anfragen für die Zugriffsgenehmigung werden im Status auto approved protokolliert.

Die automatische Genehmigung ist für alle Arbeitslasten deaktiviert, die mit Sovereign Controls für versicherte Arbeitslasten oder Sovereign Controls von Partnern bereitgestellt werden.

Kunden, die dafür sorgen möchten, dass Anträge auf Administratorzugriff nur verarbeitet werden, wenn die Genehmigungen mit einem vom Kunden verwalteten Schlüssel signiert sind, können die Zugriffsgenehmigung mit einem vom Kunden verwalteten Schlüssel konfigurieren und Key Access Justifications verwenden.

Voraussetzungen für die Verwendung der Zugriffsgenehmigung

Sie können die Zugriffsgenehmigung für ein Google Cloud-Projekt, einen Ordner oder eine Organisation aktivieren. Bevor Sie die Zugriffsgenehmigung aktivieren können, müssen Sie Access Transparency für Ihre Organisation aktivieren.

Nachdem Sie Access Transparency aktiviert haben, können Sie die Zugriffsgenehmigung in der Google Cloud Console aktivieren. Informationen zum Einrichten der Zugriffsgenehmigung finden Sie in den Kurzanleitungen.

Anforderungen an einen benutzerdefinierten Signaturschlüssel

Für die Verwendung des standardmäßigen von Google verwalteten Signaturschlüssels ist keine zusätzliche Konfiguration erforderlich. Wenn Sie einen eigenen Signaturschlüssel verwenden möchten, können Sie entweder einen asymmetrischen Signaturschlüssel mit dem Cloud Key Management Service erstellen oder einen extern verwalteten Signaturschlüssel mit Cloud External Key Manager hosten. Informationen zu den Einschränkungen für asymmetrische Signaturschlüssel, die von Cloud EKM unterstützt werden, finden Sie unter Beschränkungen für asymmetrische Signaturschlüssel.

Wenn Sie einen extern verwalteten Signaturschlüssel verwenden möchten, empfehlen wir Ihnen, Cloud EKM zu aktivieren. Weitere Informationen zur Verwendung von Cloud EKM zum Verwalten von Schlüsseln, die nicht in Google Cloud gespeichert sind, finden Sie unter Cloud EKM – Übersicht.

Nächste Schritte