Visão geral do Access Approval
A Aprovação de acesso garante que o atendimento ao cliente e a engenharia do Cloud exijam sua aprovação explícita sempre que precisarem acessar o conteúdo do seu cliente. Ela é verificada criptograficamente para garantir a integridade da aprovação de acesso.
Se você quiser gerenciar diretamente o acesso ao seu conteúdo por parte do Google, recomendamos usar a Access Approval.
Introdução
A Aprovação de acesso ajuda a implementar o princípio de segurança de privilégio mínimo, que afirma que ninguém deve ter mais permissões e acesso do que o necessário. Mesmo depois que você fornecer o acesso, a equipe do Google só poderá ver o conteúdo que for absolutamente essencial para cumprir a obrigação de fornecer um serviço contratado. Por exemplo, a equipe de suporte ao cliente na linha de frente só pode acessar informações sobre ambientes de clientes que sejam absolutamente essenciais para depurar problemas de suporte ao cliente.
Para mais informações sobre por que os funcionários do Google talvez precisem acessar o conteúdo do cliente e sobre os princípios de acesso privilegiado do Google Cloud, consulte Acesso privilegiado no Google Cloud.
Para saber mais sobre os princípios fundamentais dos controles de acesso administrativo do Google Cloud, consulte Visão geral dos controles de acesso administrativo.
Além da transparência oferecida pelos registros de transparência no acesso, a aprovação de acesso oferece uma camada adicional de controle. A transparência no acesso fornece registros que capturam as ações que a equipe do Google realiza ao acessar seu conteúdo. A Aprovação de acesso também fornece uma visão histórica de todas as solicitações que foram aprovadas, dispensadas ou expiraram.
Como o Access Approval funciona
A Access Approval envia um e-mail ou uma mensagem do Pub/Sub com uma solicitação de acesso que você pode aprovar.
Com as informações da mensagem, é possível usar o console do Google Cloud ou a API Access Approval para aprovar ou recusar o acesso. O Access Approval usa uma chave criptográfica para assinar a solicitação de acesso. Essa assinatura é usada para verificar a integridade da aprovação de acesso. É possível usar uma chave de assinatura gerenciada pelo Google ou trazer sua própria chave.
Usar uma chave de assinatura gerenciada pelo Google é a opção padrão. Se quiser usar sua própria chave de assinatura, crie uma usando o Cloud KMS ou use uma chave gerenciada externamente com o Cloud EKM. Para saber mais sobre como começar a usar uma chave de assinatura personalizada, consulte Configurar a aprovação de acesso usando uma chave de assinatura personalizada.
Serviços do Google que oferecem suporte ao Access Approval
Com a Aprovação de acesso, é possível selecionar os serviços do Google Cloud que você quer inscrever na Aprovação de acesso. Esse recurso solicita seu consentimento apenas para solicitações de acesso ao conteúdo armazenado nos serviços selecionados.
Você tem as seguintes opções para registrar serviços no Access Approval:
- Ativar automaticamente a Aprovação de acesso para todos os serviços com suporte, independentemente do nível de suporte (pré-lançamento ou disponibilidade geral). Selecionar essa opção também inscreve automaticamente todos os serviços compatíveis com o Access Approval no futuro. Essa é a opção padrão.
- Ative a Aprovação de acesso apenas para serviços com suporte no nível do GA. Selecionar essa opção também inscreve automaticamente todos os serviços compatíveis com o Access Approval no futuro com suporte no nível do GA.
- Escolha os serviços específicos que você quer registrar no Access Approval.
Para ver a lista completa de serviços compatíveis com o Access Approval, consulte Serviços compatíveis.
Exclusões do Access Approval
As seguintes ações do Google não acionam uma solicitação de aprovação de acesso:
Interrupções de serviço em grande escala que exigem resposta de emergência. Os registros de transparência no acesso são gerados quando ocorre acesso aos dados do cliente.
- Qualquer outra exceção documentada nas exclusões da transparência no acesso. Essas exclusões da Transparência no acesso também se aplicam às solicitações do Access Approval.
Requisitos para usar o Access Approval
É possível ativar a Aprovação de acesso para um projeto, uma pasta ou uma organização do Google Cloud. Antes de ativar o Access Approval, você precisa ativar a transparência no acesso no mesmo nível ou na hierarquia de recursos.
Depois de ativar a Transparência no acesso, use o console do Google Cloud para ativar a Aprovação de acesso. Para saber como configurar o Access Approval, consulte os guias de início rápido.
Requisitos para uma chave de assinatura personalizada
O uso da chave de assinatura padrão gerenciada pelo Google não requer nenhuma outra configuração. Para usar sua própria chave de assinatura, crie uma chave de assinatura assimétrica usando o Cloud Key Management Service ou use o Cloud External Key Manager para hospedar uma chave de assinatura gerenciada externamente. Para conhecer as limitações relacionadas a chaves de assinatura assimétricas compatíveis com o Cloud EKM, consulte Restrições para chaves de assinatura assimétricas.
Se você quiser usar uma chave de assinatura gerenciada externamente, recomendamos ativar o Cloud EKM. Para mais informações sobre como usar o Cloud EKM para gerenciar chaves que não estão armazenadas no Google Cloud, consulte Visão geral do Cloud EKM.
A seguir
- Consulte os guias de início rápido para configurar o Access Approval.
- Saiba como usar o Terraform para configurar o Access Approval.
- Saiba como aprovar solicitações de acesso.
- Saiba mais sobre os preços do Access Approval.
- Confira a lista de serviços do Google Cloud compatíveis com o Access Approval.