Présentation des contrôles des accès administrateur

Cette page présente les principes sous-jacents fondamentaux sur lesquels sont pensés les contrôles d'accès administrateur de Google Cloud.

Qu'est-ce que l'accès administrateur ?

L'accès administrateur inclut l'accès du personnel de Google au contenu du client par des moyens administratifs. Par exemple, un employé de Google utilisant un outil d'assistance interne pour accéder au contenu d'une base de données Spanner afin de diagnostiquer une demande d'assistance soumise par un client qui mentionne des problèmes de fonctionnement de la base de données.

Un exemple d'accès non administrateur consiste à accorder à un employé de Google un accès IAM direct au niveau du projet en attribuant des autorisations utilisateur standards au niveau de l'espace utilisateur. L'accès de cet employé de Google dans le projet pour lequel vous lui avez explicitement accordé l'accès ne constitue pas un accès administrateur.

L'objectif des contrôles d'accès administrateur est de s'assurer que les employés de Google n'ont pas accès au contenu client sur Google Cloud sans justification vérifiable et, éventuellement, approbation explicite.

Principes de base

Cette section décrit les principes fondamentaux auxquels l'accès des clients aux contenus chez Google Cloud respecte.

Interdire l’accès par défaut: le contenu utilisateur appartient explicitement à l’organisation de l’utilisateur

Google Cloud s'engage fermement à s'assurer que les contenus du client lui appartiennent. Cette position constitue la stratégie par défaut de chaque employé de Google vis-à-vis du contenu client.

Le contrôle des propriétaires de contenu sur l'accès administrateur est un engagement essentiel

Les événements d'accès constituent un élément opérationnel standard de toute entreprise dans le cloud. Par exemple, le personnel d'assistance peut avoir besoin d'accéder au contenu client pour fournir l'assistance demandée, et les ingénieurs peuvent avoir besoin d'approfondir un problème détecté lors de l'enquête sur les demandes d'assistance. La philosophie de Google Cloud est de fournir une assistance complète pour la journalisation et l'approbation de l'accès au contenu à l'aide des fonctionnalités Access Transparency et Access Approval.

Le tableau suivant explique la différence entre un accès automatisé et un accès humain:

Accès automatisé	Accès humain
Personne ne peut accéder aux contenus gérés par ces systèmes, les consulter ni les exporter. Ces accès au contenu ne sont pas couverts par la génération de journaux Access Transparency. (par exemple, l'accès via des programmes qui hachent régulièrement le contenu du client pour détecter toute corruption des données).	L'accès humain désigne tout accès qui accorde ou peut accorder à un humain un accès humain au contenu d'un utilisateur. Cet accès inclut une personne utilisant un chemin d'accès automatisé pour accorder un accès indirect au contenu. Cet accès au contenu relève entièrement d'Access Transparency et d'Access Approval.

Le tableau suivant explique la différence entre un accès d'urgence et un accès non urgent:

Accès d'urgence Accès non urgent

Ce type d'accès se produit en cas de menace urgente pour l'intégrité des services, de l'infrastructure, ou des contenus ou services client de Google. Un accès avec l'une de ces raisons peut remplacer la stratégie Access Approval d'une organisation. Ce type d'accès rare est enregistré dans Access Approval avec l'état auto-approved. Pour en savoir plus sur l'état auto-approved, consultez la section État d'une demande d'accès. Ce type d'accès correspond à toute demande d'assistance que vous avez envoyée. Le personnel d'assistance doit consulter le contenu du client pour pouvoir vous aider, c'est-à-dire un accès qui ne répond pas aux exigences d'un accès d'urgence.

Accès d'urgence	Accès non urgent
Ce type d'accès se produit en cas de menace urgente pour l'intégrité des services, de l'infrastructure, ou des contenus ou services client de Google. Un accès avec l'une de ces raisons peut remplacer la stratégie Access Approval d'une organisation. Ce type d'accès rare est enregistré dans Access Approval avec l'état `auto-approved`. Pour en savoir plus sur l'état `auto-approved`, consultez la section État d'une demande d'accès.	Ce type d'accès correspond à toute demande d'assistance que vous avez envoyée. Le personnel d'assistance doit consulter le contenu du client pour pouvoir vous aider, c'est-à-dire un accès qui ne répond pas aux exigences d'un accès d'urgence.

Chaque accès comporte une justification

L'accès administrateur est protégé par une justification métier vérifiable et valide, à quelques exceptions près.

Pour obtenir la liste complète des raisons commerciales justifiant l'accès au contenu client, consultez Codes de motif de justification.

La journalisation des accès est universelle

L'accès administrateur au contenu client est enregistré par défaut. Une fois que vous avez activé Access Transparency, les journaux d'audit en temps quasi réel des accès du personnel de Google au contenu des utilisateurs de l'organisation sont publiés dans les journaux de chaque projet. Ces accès sont surveillés en interne par les auditeurs de Google et sont visibles par des utilisateurs externes via les journaux Access Transparency. Pour savoir comment afficher ces journaux, consultez la page Comprendre et utiliser les journaux Access Transparency.

Utilisez Assured Workloads pour une couverture plus étendue

Assured Workloads peut fournir des contrôles administratifs qui respectent les consignes plus strictes définies par les certifications du gouvernement américain, y compris des restrictions sur l'accès aux données par le personnel non américain.

Pour en savoir plus, consultez Accès aux données du personnel et contrôle de l'assistance.