Panoramica di Access Approval
Questa pagina fornisce una panoramica di Access Approval. L'approvazione dell'accesso fa parte dell'impegno a lungo termine di Google per la trasparenza, la fiducia degli utenti e la proprietà dei dati da parte dei clienti. Access Transparency ti aiuta a scoprire quando il personale Google accede ai dati dei clienti e l'approvazione accesso ti consente di autorizzare queste richieste di accesso. Inoltre, offre livelli superiori di controllo granulare sul momento in cui Google può accedere ai dati dei clienti. Per i clienti che utilizzano le approvazioni di accesso firmate con una chiave di crittografia gestita dal cliente (CMEK), Google fornisce agli utenti anche visibilità e controllo sulle richieste di accesso alle chiavi tramite Key Access Justifications.
Insieme, ciascuno di questi prodotti offre funzionalità di gestione dell'accesso che ti consentono di controllare e contestualizzare le richieste amministrative per accedere ai dati dei clienti.
Panoramica
Access Approval garantisce che i team di assistenza clienti e tecnici di Cloud requirano la tua approvazione esplicita ogni volta che devono accedere ai tuoi dati cliente. Ogni richiesta di approvazione viene firmata e verificata crittograficamente per garantirne l'integrità. Le richieste di approvazione dell'accesso attive possono essere revocate in qualsiasi momento.
L'approvazione dell'accesso fornisce un ulteriore livello di controllo oltre alla trasparenza offerta dai log di Access Transparency. Access Transparency fornisce log che acquisiscono le azioni intraprese dal personale di Google quando accede ai tuoi dati dei clienti. L'approvazione di accesso fornisce anche una visualizzazione storica di tutte le richieste che sono state approvate, ignorate, revocate o scadute.
Se vuoi avere la possibilità di gestire direttamente l'accesso del personale Google ai tuoi dati dei clienti, ti consigliamo di utilizzare l'approvazione dell'accesso. Per ulteriori informazioni sul motivo per cui il personale di Google potrebbe dover accedere ai dati dei clienti e sui principi di accesso privilegiato di Google Cloud, consulta Accesso privilegiato in Google Cloud.
Come funziona Access Approval
Access Approval funziona richiedendo agli amministratori Google di richiedere e ricevere l'approvazione di un amministratore cliente autorizzato prima di accedere ai dati del cliente. I clienti vengono informati di una richiesta di approvazione in attesa tramite un'email preconfigurata o un messaggio Pub/Sub.
Utilizzando le informazioni presenti nel messaggio, la richiesta di approvazione dell'accesso può essere approvata o rifiutata nella console Google Cloud o utilizzando l'API Access Approval. L'accesso viene concesso solo dopo l'approvazione della richiesta di approvazione dell'accesso. L'approvazione dell'accesso utilizza una chiave di crittografia per firmare la richiesta di accesso e la relativa firma viene utilizzata per verificare l'integrità della richiesta. Puoi utilizzare una chiave di firma gestita da Google o una tua chiave di firma.
Come funziona l'approvazione di accesso con Assured Workloads
Quando utilizzi l'approvazione di accesso con un confine di conformità di Assured Workloads, le garanzie di accesso del personale di Assured Workloads vengono applicate prima della valutazione dell'approvazione di accesso. La richiesta di accesso per l'approvazione dell'accesso può contenere parametri non conformi (ad esempio la posizione global
), ma queste condizioni sono secondarie alla configurazione del carico di lavoro Assured Workloads.
Ad esempio, se a un proprietario di una cartella Protected B in Canada viene inviata una richiesta di approvazione dell'accesso per la località global
, a questa richiesta vengono inizialmente applicate le limitazioni di Protected B in Canada e a questo personale non vengono applicate ulteriori limitazioni regionali di approvazione dell'accesso.
L'utilizzo di una chiave di firma gestita da Google è l'opzione predefinita. Se vuoi utilizzare la tua chiave di firma, puoi crearne una utilizzando Cloud KMS o importare una chiave gestita esternamente utilizzando Cloud EKM. Per saperne di più su come iniziare a utilizzare una chiave di firma personalizzata, consulta Configurare l'approvazione dell'accesso utilizzando una chiave di firma personalizzata.
Servizi Google che supportano Access Approval
Access Approval ti consente di selezionare i servizi Google Cloud per i quali vuoi registrarti ad Access Approval. Access Approval richiede il tuo consenso solo per le richieste di accesso ai dati dei clienti memorizzati nei servizi selezionati.
Per registrare i servizi in Access Approval, hai a disposizione le seguenti opzioni:
- Attiva automaticamente l'approvazione dell'accesso per tutti i servizi supportati, indipendentemente dalla fase di lancio del prodotto (ad esempio Anteprima o disponibilità generale (GA)). Se selezioni questa opzione, vengono registrati automaticamente anche tutti i servizi supportati da Access Approval in futuro. Questa è l'opzione predefinita.
- Attiva Access Approval solo per i servizi nella fase di lancio della versione GA. Se scegli questa opzione, vengono registrati automaticamente anche tutti i servizi GA supportati da Access Approval in futuro.
- Scegli i servizi specifici per cui vuoi registrarti ad Access Approval.
Consulta Servizi supportati per un elenco completo dei servizi supportati da Access Approval.
Esclusioni di Access Approval
Le esclusioni di Access Transparency sono applicabili anche ad Access Approval.
Oltre a queste esclusioni, la richiesta di approvazione potrebbe essere approvata automaticamente senza l'intervento del cliente per risolvere interruzioni urgenti. Queste richieste di Access Approval approvate automaticamente vengono registrate in uno stato auto approved
.
L'approvazione automatica viene disattivata automaticamente per tutti i carichi di lavoro di cui è stato eseguito il deployment con i controlli di sovranità per i carichi di lavoro garantiti o con i controlli di sovranità di Partner.
I clienti che vogliono assicurarsi che le richieste di accesso amministrativo possano essere elaborate solo quando le approvazioni sono firmate con una chiave gestita dal cliente possono configurare Access Approval con una chiave gestita dal cliente e utilizzare Key Access Justifications.
Requisiti per l'utilizzo di Access Approval
Puoi attivare l'approvazione dell'accesso per un progetto Google Cloud, cartella o organizzazione. Prima di attivare l'approvazione dell'accesso, devi attivare Access Transparency per la tua organizzazione.
Dopo aver attivato Access Transparency, puoi utilizzare la console Google Cloud per attivare Access Approval. Per scoprire come configurare Access Approval, consulta le guide rapide.
Requisiti per una chiave di firma personalizzata
L'utilizzo della chiave di firma gestita da Google predefinita non richiede alcuna configurazione aggiuntiva. Per utilizzare la tua chiave di firma, puoi creare una chiave di firma asimmetrica utilizzando Cloud Key Management Service o utilizzare Cloud External Key Manager per ospitare una chiave di firma gestita esternamente. Per le limitazioni relative alle chiavi di firma asimmetriche supportate da Cloud EKM, consulta Limitazioni per le chiavi di firma asimmetriche.
Se vuoi utilizzare una chiave di firma gestita esternamente, ti consigliamo di attivare Cloud EKM. Per ulteriori informazioni sull'utilizzo di Cloud EKM per gestire le chiavi che non sono archiviate in Google Cloud, consulta la Panoramica di Cloud EKM.
Passaggi successivi
- Consulta le guide rapide per configurare Access Approval.
- Scopri come utilizzare Terraform per configurare Access Approval.
- Scopri come approvare le richieste di accesso.
- Scopri di più sui prezzi di Access Approval.
- Consulta l'elenco dei servizi Google Cloud supportati da Access Approval.