Información general sobre Access Approval

En esta página se ofrece una descripción general de Access Approval. Aprobación de acceso forma parte del compromiso a largo plazo de Google con la transparencia, la confianza de los usuarios y la propiedad de los datos por parte de los clientes. Transparencia de acceso te ayuda a descubrir información sobre cuándo accede el personal de Google a los datos de clientes, y Aprobación de acceso te permite autorizar dichas solicitudes de acceso. Además, ofrece niveles mejorados de control granular sobre cuándo puede acceder Google a los Datos del Cliente. En el caso de los clientes que usan aprobaciones de acceso firmadas con una clave de cifrado gestionada por el cliente (CMEK), Google también ofrece a los usuarios visibilidad y control sobre las solicitudes de acceso a claves a través de Key Access Justifications.

En conjunto, cada uno de estos productos ofrece funciones de gestión de acceso que te permiten controlar y contextualizar las solicitudes de acceso a los datos de clientes por parte de los administradores.

Información general

Aprobación de acceso asegura que los equipos de Asistencia y de Ingeniería de Google Cloud necesiten tu aprobación explícita siempre que deban acceder a tus Datos de Cliente. Cada solicitud de aprobación se firma y verifica criptográficamente para asegurar su integridad. Las solicitudes de aprobación de acceso activas se pueden revocar en cualquier momento.

Aprobación de acceso proporciona una capa de control adicional a la transparencia que ofrecen los registros de Transparencia de acceso. Transparencia de acceso proporciona registros que recogen las acciones que lleva a cabo el personal de Google cuando accede a tus Datos de Cliente. Aprobación del acceso también proporciona un historial de todas las solicitudes que se han aprobado, rechazado, revocado o caducado.

Si quieres gestionar directamente el acceso del personal de Google a tus Datos de Cliente, te recomendamos que utilices Aprobación de Acceso. Para obtener más información sobre por qué el personal de Google puede necesitar acceder a los Datos del Cliente y sobre los principios de acceso privilegiado deGoogle Cloud, consulta Acceso privilegiado en Google Cloud.

Cómo funciona la aprobación de acceso

Aprobación de acceso funciona de la siguiente manera: los administradores de Google deben solicitar y recibir la aprobación de un administrador autorizado del cliente antes de acceder a los datos del cliente. Se notifica a los clientes que hay una solicitud de aprobación pendiente mediante un correo preconfigurado o un mensaje de Pub/Sub.

Con la información del mensaje, la solicitud de Aprobación de acceso se puede aprobar o rechazar en la Google Cloud consola o mediante la API de Aprobación de acceso. El acceso solo se concede una vez que se aprueba la solicitud de aprobación de acceso. Aprobación de acceso usa una clave criptográfica para firmar la solicitud de acceso y su firma se usa para verificar la integridad de la solicitud. Puedes usar una clave de firma gestionada por Google o usar tu propia clave de firma.

Cómo funciona Aprobación de acceso con Assured Workloads

Cuando se usa Aprobación de acceso con un límite de cumplimiento de Assured Workloads, las garantías de acceso del personal de Assured Workloads se aplican antes de que se evalúe Aprobación de acceso. La solicitud de acceso de Aprobación de acceso puede contener parámetros no conformes (como la ubicación global). Sin embargo, estas condiciones son secundarias a la configuración de la carga de trabajo de Assured Workloads.

Por ejemplo, si se envía una solicitud de aprobación de acceso para la ubicación global al propietario de una carpeta de Canadá protegida de nivel B, primero se aplican las restricciones de Canadá protegida de nivel B y, después, no se aplican más restricciones regionales de aprobación de acceso a ese personal.

Usar una clave de firma gestionada por Google es la opción predeterminada. Si quieres usar tu propia clave de firma, puedes crear una con Cloud KMS o usar una clave gestionada externamente con Cloud EKM. Para obtener más información sobre cómo empezar a usar una clave de firma personalizada, consulta el artículo Configurar Aprobación de acceso con una clave de firma personalizada.

Servicios de Google que admiten Aprobación de acceso

Aprobación de acceso te permite seleccionar los Google Cloud servicios que quieras registrar en Aprobación de acceso. Aprobación de acceso solo solicita tu consentimiento para las solicitudes de acceso a los Datos de Cliente almacenados en los servicios que selecciones.

Tienes las siguientes opciones para registrar servicios en Aprobación de acceso:

  • Habilita automáticamente Aprobación de acceso en todos los servicios compatibles, independientemente de la fase de lanzamiento del producto (como Vista Previa o Disponibilidad General). Si seleccionas esta opción, también se registrarán automáticamente todos los servicios que sean compatibles con Aprobación de acceso en el futuro. Es la opción predeterminada.
  • Habilitar los roles de Aprobación de acceso solo en los servicios de la fase de lanzamiento de disponibilidad general. Si selecciona esta opción, también se registrarán automáticamente todos los servicios de disponibilidad general que sean compatibles con Aprobación de acceso en el futuro.
  • Elige los servicios específicos en los que quieras habilitar Aprobación de acceso.

Consulta la lista completa de servicios admitidos por Aprobación de acceso.

Exclusiones de Aprobación de acceso

Las exclusiones de Transparencia de acceso también se aplican a Aprobación de acceso.

Además de estas exclusiones, la solicitud de aprobación puede aprobarse automáticamente sin que el cliente tenga que hacer nada para solucionar las interrupciones urgentes. Estas solicitudes de aprobación de acceso aprobadas automáticamente se registran en el estado auto approved.

La aprobación automática se inhabilita automáticamente en todas las cargas de trabajo implementadas con controles de soberanía de Assured Workloads o controles de soberanía de partners.

Los clientes que quieran asegurarse de que las solicitudes de acceso de administrador solo se puedan procesar cuando las aprobaciones se firmen con una clave gestionada por el cliente pueden configurar Aprobación de acceso con una clave gestionada por el cliente y usar Justificaciones de acceso con clave.

Requisitos para usar Aprobación de accesos

Puedes habilitar Aprobación de acceso en un Google Cloud proyecto, una carpeta o una organización. Antes de habilitar Aprobación de acceso, debes habilitar Transparencia de acceso en tu organización.

Una vez que hayas habilitado Transparencia de acceso, puedes usar la consola de Google Cloud para habilitar Aprobación de acceso. Para saber cómo configurar Aprobación de acceso, consulta las guías de inicio rápido.

Requisitos de una clave de firma personalizada

Para usar la clave de firma predeterminada gestionada por Google, no es necesario realizar ninguna configuración adicional. Para usar tu propia clave de firma, puedes crear una clave de firma asimétrica con Cloud Key Management Service o usar Cloud External Key Manager para alojar una clave de firma gestionada externamente. Para obtener información sobre las limitaciones relacionadas con las claves de firma asimétricas compatibles con Cloud EKM, consulta Restricciones de las claves de firma asimétricas.

Si quieres usar una clave de firma gestionada externamente, te recomendamos que habilites Cloud EKM. Para obtener más información sobre cómo usar Cloud EKM para gestionar claves que no están almacenadas en Google Cloud, consulta el resumen de Cloud EKM.

Siguientes pasos