Descripción general de la Aprobación de acceso

En esta página, se proporciona una descripción general de la Aprobación de acceso. La aprobación de acceso forma parte del compromiso a largo plazo de Google con la transparencia, la confianza del usuario y la propiedad de los datos por parte del cliente. La Transparencia de acceso te ayuda a descubrir información sobre cuándo el personal de Google accede a los datos del cliente, y la Aprobación de acceso te permite autorizar esas solicitudes de acceso. Además, proporciona niveles mejorados de control detallado sobre cuándo Google puede acceder a los Datos del Cliente. En el caso de los clientes que usan aprobaciones de acceso firmadas con una clave de encriptación administrada por el cliente (CMEK), Google también les brinda a los usuarios visibilidad y control sobre las solicitudes de acceso a claves a través de las justificaciones de acceso a claves.

En conjunto, cada uno de estos productos proporciona funciones de administración de acceso que te brindan control y contexto para las solicitudes administrativas de acceso a los datos del cliente.

Descripción general

La aprobación de acceso garantiza que los equipos de Ingeniería y Atención al cliente de Cloud requieran tu aprobación explícita cada vez que necesiten acceder a tus datos de clientes. Cada solicitud de aprobación se firma y verifica de manera criptográfica para garantizar su integridad. Las solicitudes de aprobación de acceso activo se pueden revocar en cualquier momento.

La aprobación de acceso proporciona una capa adicional de control además de la transparencia que brindan los registros de Transparencia de acceso. La Transparencia de acceso proporciona registros que reflejan las acciones que realizan los empleados de Google cuando acceden a tus Datos del cliente. La aprobación de acceso también proporciona una vista histórica de todas las solicitudes que se aprobaron, descartaron, revocaron o vencieron.

Si deseas administrar directamente el acceso del personal de Google a tus datos del cliente, te recomendamos que uses la Aprobación de acceso. Para obtener más información sobre por qué el personal de Google podría necesitar acceder a los datos del cliente y sobre los principios de acceso privilegiado de Google Cloud, consulta Acceso privilegiado en Google Cloud.

Cómo funciona la Aprobación de acceso

La aprobación de acceso funciona de manera tal que los administradores de Google deben solicitar y recibir la aprobación de un administrador de clientes autorizado antes de acceder a los datos del cliente. Los clientes reciben una notificación sobre una solicitud de aprobación pendiente mediante un correo electrónico preconfigurado o un mensaje de Pub/Sub.

Con la información del mensaje, la solicitud de aprobación de acceso se puede aprobar o rechazar en la consola de Google Cloud o con la API de aprobación de acceso. El acceso se otorga solo después de que se aprueba la solicitud de aprobación de acceso. La Aprobación de acceso usa una clave criptográfica para firmar la solicitud de acceso, y su firma se usa para verificar la integridad de la solicitud. Puedes usar una clave de firma administrada por Google o llevar tu propia clave de firma.

Cómo funciona la Aprobación de acceso con Assured Workloads

Cuando se usa la Aprobación de acceso con un límite de cumplimiento de Assured Workloads, las garantías de acceso del personal de Assured Workloads se aplican antes de que se evalúe la Aprobación de acceso. La solicitud de acceso de aprobación de acceso puede contener parámetros que no cumplen con los requisitos (como la ubicación global). Sin embargo, estas condiciones son secundarias a la configuración de la carga de trabajo de Assured Workloads.

Por ejemplo, si se le envía una solicitud de aprobación de acceso para la ubicación global al propietario de una carpeta de Protected B de Canadá, a esta solicitud se le aplican primero las restricciones de Protected B de Canadá, y a ese personal no se le aplican más restricciones regionales de aprobación de acceso.

La opción predeterminada es usar una clave de firma administrada por Google. Si deseas usar tu propia clave de firma, puedes crear una con Cloud KMS o incorporar una clave administrada de forma externa con Cloud EKM. Para obtener más información sobre cómo comenzar a usar una clave de firma personalizada, consulta Cómo configurar la aprobación de acceso con una clave de firma personalizada.

Servicios de Google compatibles con la Aprobación de acceso

La Aprobación de acceso te permite seleccionar los servicios de Google Cloud que deseas inscribir en la Aprobación de acceso. La Aprobación de acceso solicita tu consentimiento solo para las solicitudes de acceso a los Datos del cliente almacenados en los servicios que selecciones.

Tienes las siguientes opciones para inscribir servicios en la aprobación de acceso:

  • Habilitar automáticamente la Aprobación de acceso para todos los servicios compatibles, independientemente de su etapa de lanzamiento de productos (como la versión preliminar o la disponibilidad general (DG)) Si seleccionas esta opción, también se inscribirán automáticamente todos los servicios que admita la Aprobación de acceso en el futuro. Esta es la opción predeterminada.
  • Habilitar solo la Aprobación de acceso para los servicios en la etapa de lanzamiento de la versión general Si seleccionas esta opción, también se inscribirán automáticamente todos los servicios de DG que admita la Aprobación de acceso en el futuro.
  • Elige los servicios específicos que quieres inscribir en la Aprobación de acceso.

Consulta Servicios compatibles para obtener una lista completa de los servicios que admite la Aprobación de acceso.

Exclusiones de la Aprobación de acceso

Las exclusiones de la Transparencia de acceso también se aplican a la Aprobación de acceso.

Además de estas exclusiones, la solicitud de aprobación se puede aprobar automáticamente sin la acción del cliente para abordar interrupciones urgentes. Estas solicitudes de aprobación de acceso aprobadas automáticamente se registran en un estado auto approved.

La aprobación automática se inhabilita automáticamente para todas las cargas de trabajo que se implementan con controles soberanos de cargas de trabajo aseguradas o controles soberanos de socios.

Los clientes que deseen asegurarse de que las solicitudes de acceso administrativo solo se puedan procesar cuando las aprobaciones se firmen con una clave administrada por el cliente pueden configurar la Aprobación de acceso con una clave administrada por el cliente y usar Key Access Justifications.

Requisitos para usar la Aprobación de acceso

Puedes habilitar la aprobación de acceso para un proyecto de Google Cloud, una carpeta o una organización. Antes de habilitar la Aprobación de acceso, debes habilitar la Transparencia de acceso para tu organización.

Después de habilitar la Transparencia de acceso, puedes usar la consola de Google Cloud para habilitar la aprobación de acceso. Para obtener información sobre cómo configurar la Aprobación de acceso, consulta las guías de inicio rápido.

Requisitos para una clave de firma personalizada

El uso de la clave de firma predeterminada administrada por Google no requiere ninguna configuración adicional. Para usar tu propia clave de firma, puedes crear una clave de firma asimétrica con Cloud Key Management Service o usar Cloud External Key Manager para alojar una clave de firma administrada de forma externa. Para conocer las limitaciones relacionadas con las claves de firma asimétrica que admite Cloud EKM, consulta Restricciones para las claves de firma asimétrica.

Si deseas usar una clave de firma administrada de forma externa, te recomendamos que habilites Cloud EKM. Para obtener más información sobre el uso de Cloud EKM para administrar claves que no se almacenan en Google Cloud, consulta la descripción general de Cloud EKM.

¿Qué sigue?