Os nomes de alguns pacotes de controlos do Assured Workload estão a ser alterados. Para obter informações sobre a alteração de nome, consulte o artigo Controle o aviso de mudança do nome do pacote.

Esta página foi traduzida pela API Cloud Translation.

Vista geral da aprovação de acesso

Esta página fornece uma vista geral da aprovação de acesso. A aprovação de acesso faz parte do compromisso a longo prazo da Google com a transparência, a confiança dos utilizadores e a propriedade dos dados por parte dos clientes. A Transparência de acesso ajuda a descobrir informações sobre quando o pessoal da Google acede aos dados do cliente, e a aprovação de acesso permite-lhe autorizar esses pedidos de acesso. Além disso, oferece níveis melhorados de controlo detalhado sobre quando a Google pode aceder aos Dados do Cliente. Para os clientes que usam aprovações de acesso assinadas com uma chave de encriptação gerida pelo cliente (CMEK), a Google também oferece aos utilizadores visibilidade e controlo dos pedidos de acesso a chaves através das Justificações de acesso a chaves.

Em conjunto, cada um destes produtos oferece capacidades de gestão de acesso que lhe dão controlo e contexto para pedidos administrativos de acesso aos dados de clientes.

Vista geral

A aprovação de acesso garante que as equipas de engenharia e do apoio técnico ao cliente do Google Cloud precisam da sua aprovação explícita sempre que necessitam de aceder aos seus dados de clientes. Cada pedido de aprovação é assinado e validado criptograficamente para garantir a sua integridade. Os pedidos de aprovação de acesso ativos podem ser revogados em qualquer altura.

A aprovação de acesso oferece uma camada adicional de controlo além da transparência que os registos da Transparência de acesso oferecem. A Transparência de acesso fornece registos que captam as ações que o pessoal da Google realiza quando acede aos seus dados de clientes. A aprovação de acesso também oferece uma vista do histórico de todos os pedidos que foram aprovados, rejeitados, revogados ou expiraram.

Se quiser gerir diretamente o acesso do pessoal da Google aos seus dados de clientes, recomendamos que use a Aprovação de acesso. Para mais informações sobre o motivo pelo qual o pessoal da Google pode precisar de aceder aos dados do cliente e sobre os princípios de acesso privilegiado daGoogle Cloud, consulte Acesso privilegiado em Google Cloud.

Como funciona a aprovação de acesso

A aprovação de acesso funciona exigindo que os administradores da Google solicitem e recebam uma aprovação de um administrador do cliente autorizado antes de acederem aos dados de clientes. Os clientes são notificados de um pedido de aprovação pendente através de um email pré-configurado ou de uma mensagem do Pub/Sub.

Com as informações na mensagem, o pedido de aprovação de acesso pode ser aprovado ou recusado na Google Cloud consola ou através da API Access Approval. O acesso só é concedido após a aprovação do pedido de aprovação de acesso. A aprovação de acesso usa uma chave criptográfica para assinar o pedido de acesso e a respetiva assinatura é usada para validar a integridade do pedido. Pode usar uma chave de assinatura gerida pela Google ou trazer a sua própria chave de assinatura.

Como funciona a aprovação de acesso com o Assured Workloads

Quando usa a aprovação de acesso com um limite de conformidade do Assured Workloads, as garantias de acesso do pessoal do Assured Workloads aplicam-se antes de a aprovação de acesso ser avaliada. O pedido de acesso de aprovação de acesso pode conter parâmetros não conformes (como a localização); no entanto, estas condições são secundárias à configuração da carga de trabalho do Assured Workloads.global

Por exemplo, se o proprietário de uma pasta Protected B do Canadá receber um pedido de aprovação de acesso para a localização global, este pedido é primeiro aplicado às restrições Protected B do Canadá, e esse pessoal não é aplicado a restrições regionais de aprovação de acesso adicionais.

Usar uma chave de assinatura gerida pela Google é a opção predefinida. Se quiser usar a sua própria chave de assinatura, pode criar uma com o Cloud KMS ou usar uma chave gerida externamente com o Cloud EKM. Para mais informações sobre como começar a usar uma chave de assinatura personalizada, consulte o artigo Configure a aprovação de acesso com uma chave de assinatura personalizada.

Serviços Google que suportam a aprovação de acesso

A aprovação de acesso permite-lhe selecionar os Google Cloud serviços nos quais quer inscrever-se na aprovação de acesso. A aprovação de acesso pede o seu consentimento apenas para pedidos de acesso aos dados de clientes armazenados nos serviços que selecionar.

Tem as seguintes opções para inscrever serviços na aprovação de acesso:

Ativar automaticamente a aprovação de acesso para todos os serviços suportados, independentemente da respetiva fase de lançamento do produto (como pré-visualização ou disponibilidade geral [GA]). Ao selecionar esta opção, também inscreve automaticamente todos os serviços que a aprovação de acesso suporta no futuro. Esta é a opção predefinida.
Ative a aprovação de acesso apenas para serviços na fase de lançamento de GA. Ao selecionar esta opção, também inscreve automaticamente todos os serviços do GA que o Access Approval suportar no futuro.
Escolha os serviços específicos nos quais quer inscrever-se na aprovação de acesso.

Consulte a secção Serviços suportados para ver uma lista completa dos serviços suportados pela Aprovação de acesso.

Exclusões da aprovação de acesso

As exclusões da Transparência de acesso também são aplicáveis à Aprovação de acesso.

Além destas exclusões, o pedido de aprovação pode ser aprovado automaticamente sem a ação do cliente para resolver interrupções sensíveis ao tempo. Estes pedidos de aprovação de acesso aprovados automaticamente são registados num estado auto approved.

A aprovação automática é desativada automaticamente para todas as cargas de trabalho implementadas com os controlos soberanos dos Assured Workloads ou os controlos soberanos por parceiros.

Os clientes que pretendam garantir que os pedidos de acesso administrativo só podem ser processados quando as aprovações são assinadas com uma chave gerida pelo cliente podem configurar a aprovação de acesso com uma chave gerida pelo cliente e usar as justificações de acesso à chave.

Requisitos para usar a aprovação de acesso

Pode ativar a Aprovação de acesso para um Google Cloud projeto, pasta ou organização. Antes de ativar a aprovação de acesso, tem de ativar a transparência de acesso para a sua organização.

Depois de ativar a transparência de acesso, pode usar a Google Cloud consola para ativar a aprovação de acesso. Para saber como configurar a Aprovação de acesso, consulte os inícios rápidos.

Requisitos para uma chave de assinatura personalizada

A utilização da chave de assinatura predefinida gerida pela Google não requer nenhuma configuração adicional. Para usar a sua própria chave de assinatura, pode criar uma chave de assinatura assimétrica com o Cloud Key Management Service ou usar o Cloud External Key Manager para alojar uma chave de assinatura gerida externamente. Para ver as limitações relacionadas com as chaves de assinatura assimétricas suportadas pelo EKM da nuvem, consulte as Restrições para chaves de assinatura assimétricas.

Se quiser usar uma chave de assinatura gerida externamente, recomendamos que ative o Cloud EKM. Para mais informações sobre a utilização do Cloud EKM para gerir chaves que não estão armazenadas no Google Cloud, consulte a vista geral do Cloud EKM.

O que se segue?

Consulte os inícios rápidos para configurar a aprovação de acesso.
Saiba como usar o Terraform para configurar a Aprovação de acesso.
Saiba como aprovar pedidos de acesso.
Saiba mais sobre os preços da aprovação de acessos.
Consulte a lista de Google Cloud serviços suportados pela aprovação de acesso.