Descripción general de la aprobación de acceso

La aprobación de acceso garantiza que el equipo de Atención al cliente y la ingeniería de Cloud requieran tu aprobación explícita cada vez que necesiten acceder al contenido de tu cliente. La aprobación se verifica de manera criptográfica para garantizar la integridad de la aprobación de acceso.

Si deseas administrar directamente el acceso a tu contenido por parte del personal de Google, te recomendamos usar la Aprobación de acceso.

Introducción

La aprobación de acceso ayuda a implementar el principio de privilegio mínimo de seguridad, que indica que nadie debe tener más permisos y acceso de los que necesita. Incluso después de proporcionar el acceso, el personal de Google solo puede ver el contenido que sea esencial para cumplir con una obligación de brindar un servicio contratado. Por ejemplo, el personal de asistencia al cliente de primera línea solo puede acceder a la información sobre los entornos del cliente que es absolutamente esencial para depurar problemas de asistencia al cliente.

Para obtener más información sobre por qué es posible que los empleados de Google necesiten acceder al contenido de los clientes y acerca de los principios de acceso privilegiados de Google, consulta Acceso privilegiado en Google.

La Aprobación de acceso proporciona una capa adicional de control sobre la transparencia que proporcionan los registros de Transparencia de acceso. La Transparencia de acceso proporciona registros que capturan las acciones que el personal de Google realiza cuando accede a tu contenido. La aprobación de acceso también proporciona una vista histórica de todas las solicitudes que se aprobaron, se descartaron o vencieron.

Cómo funciona Aprobación de acceso

La aprobación de acceso funciona mediante el envío de un correo electrónico o un mensaje de Pub/Sub con una solicitud de acceso que puedes elegir.

Con la información del mensaje, puedes usar Google Cloud Console o la API de aprobación de acceso para aprobar o rechazar el acceso. Aprobación de acceso usa una clave criptográfica para firmar la solicitud de acceso. Esta firma se usa para verificar la integridad de la aprobación de acceso. Puedes usar una clave de firma administrada por Google o usar tu propia clave de firma.

La clave predeterminada de firma administrada por Google es la opción predeterminada. Si deseas usar tu propia clave de firma, puedes crear una con Cloud KMS o usar una clave administrada de forma externa con Cloud EKM. Para obtener más información sobre cómo comenzar a usar una clave de firma personalizada, consulta Cómo configurar la aprobación de acceso con una clave de firma personalizada.

Servicios de Google compatibles con la Aprobación de acceso

Aprobación de acceso te permite seleccionar los servicios de Google Cloud que deseas inscribir en Aprobación de acceso. La aprobación de acceso solicita tu consentimiento solo para solicitudes de acceso al contenido almacenado en los servicios que seleccionas.

Tienes las siguientes opciones para inscribir servicios en Aprobación de acceso:

  • Habilita la Aprobación de acceso de forma automática para todos los servicios compatibles, sin importar el nivel de asistencia (vista previa o GA). Si seleccionas esta opción, también se inscriben automáticamente todos los servicios que admite Aprobación de acceso en el futuro. Esta es la opción predeterminada.
  • Habilita solo la Aprobación de acceso para servicios con asistencia a nivel de DG. Si seleccionas esta opción, también se inscriben automáticamente todos los servicios que admite Aprobación de acceso en el futuro con asistencia a nivel de DG.
  • Elige los servicios específicos que deseas inscribir en Aprobación de acceso.

Para obtener una lista completa de los servicios compatibles con la Aprobación de acceso, consulta Servicios compatibles.

Exclusiones de la Aprobación de acceso

Las siguientes acciones de Google no activan una solicitud de aprobación de acceso:

  • Acceso del sistema al contenido de los usuarios. Estos son accesos programáticos y no humanos creados por procesos de Google autorizados y revisados. Por ejemplo, un trabajo de compresión que se ejecuta en el contenido o en la destrucción del disco durante el proceso de eliminación. Estos accesos se verifican mediante nuestra funcionalidad de autorización binaria, que verifica que el trabajo se origine a partir del código que se verificó en producción y que un tercero revise.

  • Interrupciones de varios clientes con un impacto generalizado significativo

  • Cualquier otra excepción documentada en las exclusiones de Transparencia de acceso. Todo lo que no genere un registro de Transparencia de acceso tampoco genera una solicitud de Aprobación de acceso.

Requisitos para usar la aprobación de acceso

Puedes habilitar la aprobación de acceso para un proyecto de Google Cloud, una carpeta o una organización. Antes de habilitar la aprobación de acceso, debes habilitar la Transparencia de acceso en el mismo nivel de la jerarquía de recursos o de una versión superior.

Después de habilitar la Transparencia de acceso, puedes usar Google Cloud Console para habilitar la Aprobación de acceso. Si quieres obtener información para configurar la Aprobación de acceso, consulta las guías de inicio rápido.

Requisitos para una clave de firma personalizada

El uso de la clave de firma administrada por Google predeterminada no requiere configuración adicional. Para usar tu propia clave de firma, puedes crear una clave asimétrica con Cloud Key Management Service o Cloud External Key Manager para alojar una clave de firma administrada de forma externa.

Si deseas usar una clave de firma administrada de forma externa, te recomendamos que habilites Cloud EKM. Si quieres obtener más información sobre el uso de Cloud EKM para administrar claves que no están almacenadas en Google Cloud, consulta Descripción general de Cloud EKM.

¿Qué sigue?