관리 액세스 제어 개요

이 페이지에서는 Google Cloud의 관리 액세스 제어가 설계되는 핵심 기본 원칙을 간략하게 설명합니다.

관리 액세스란 무엇인가요?

관리 액세스에는 Google 직원이 관리 수단을 통해 고객 콘텐츠에 액세스하는 것이 포함됩니다. 예를 들어 Google 직원이 내부 지원 도구를 활용하여 Spanner 데이터베이스의 콘텐츠에 액세스하면 데이터베이스 기능 문제를 인용하는 고객이 제기한 지원 케이스를 진단할 수 있습니다.

비관리 액세스의 예시로는 사용자 공간에 일반 사용자 권한을 할당하여 프로젝트 수준에서 Google 직원에게 직접 IAM 액세스 권한을 부여하는 경우가 있습니다. 명시적으로 액세스 권한이 부여된 프로젝트에서 이 Google 직원이 액세스하는 것은 관리 액세스로 간주되지 않습니다.

관리 액세스 제어의 목표는 감사 가능한 근거 및 선택적으로 명시적 승인 없이는 Google 직원이 Google Cloud의 고객 콘텐츠에 액세스할 수 없도록 하는 것입니다.

핵심 원칙

이 섹션에서는 Google Cloud의 고객 콘텐츠 액세스가 준수하는 핵심 원칙을 설명합니다.

기본적으로 액세스 거부: 사용자 콘텐츠는 명시적으로 사용자 조직에 속합니다.

Google Cloud는 고객 콘텐츠가 고객에게 속하도록 최선을 다하고 있습니다. 이 입장은 고객 콘텐츠에 대한 모든 Google 직원의 기본 자세입니다.

관리 액세스에 대한 콘텐츠 소유자의 제어는 핵심 약속입니다.

액세스 이벤트는 클라우드 기반 비즈니스의 표준 운영 요소입니다. 예를 들어 지원 담당자는 요청된 지원을 제공하기 위해 고객 콘텐츠에 액세스해야 할 수 있으며, 엔지니어는 지원 요청 조사 중에 발견된 문제를 해결하기 위해 더 깊이 조사해야 할 수 있습니다. Google Cloud의 철학은 액세스 투명성과 액세스 승인 기능을 통해 콘텐츠 액세스를 위한 완전한 로깅 및 승인 지원을 제공하는 것입니다.

다음 표에서는 자동 액세스와 수동 액세스의 차이점을 설명합니다.

자동 액세스	수동 액세스
어떤 사람도 이러한 시스템에서 처리하는 모든 콘텐츠에 액세스하거나 콘텐츠를 보거나 내보낼 수 없습니다. 이러한 콘텐츠 액세스는 액세스 투명성 로그 생성 범위에 포함되지 않습니다. 예를 들어 데이터 손상을 확인하기 위해 정기적으로 고객 콘텐츠를 해시하는 프로그램을 통해 액세스합니다.	수동 액세스는 사용자 콘텐츠에 대해 사용자 액세스 권한을 부여하거나 부여할 수 있는 모든 액세스로 구성됩니다. 이 액세스에는 콘텐츠에 대한 간접 액세스 권한을 부여하기 위해 자동화된 액세스 경로를 사용하는 사용자가 포함됩니다. 이 콘텐츠 액세스는 액세스 투명성 및 액세스 승인의 범위에 완전히 포함됩니다.

자동 액세스

수동 액세스

어떤 사람도 이러한 시스템에서 처리하는 모든 콘텐츠에 액세스하거나 콘텐츠를 보거나 내보낼 수 없습니다. 이러한 콘텐츠 액세스는 액세스 투명성 로그 생성 범위에 포함되지 않습니다. 예를 들어 데이터 손상을 확인하기 위해 정기적으로 고객 콘텐츠를 해시하는 프로그램을 통해 액세스합니다.

수동 액세스는 사용자 콘텐츠에 대해 사용자 액세스 권한을 부여하거나 부여할 수 있는 모든 액세스로 구성됩니다. 이 액세스에는 콘텐츠에 대한 간접 액세스 권한을 부여하기 위해 자동화된 액세스 경로를 사용하는 사용자가 포함됩니다. 이 콘텐츠 액세스는 액세스 투명성 및 액세스 승인의 범위에 완전히 포함됩니다.

다음 표에서는 긴급 액세스와 긴급하지 않은 액세스의 차이점을 설명합니다.

긴급 액세스 긴급하지 않은 액세스

이 유형의 액세스는 Google 서비스, 인프라 또는 고객 서비스 또는 콘텐츠의 무결성에 대한 긴급 위협이 있을 때 발생합니다. 이러한 근거 중 하나가 포함된 액세스는 조직의 액세스 승인 정책보다 우선할 수 있습니다. 이러한 드문 액세스 유형은 auto-approved 상태로 액세스 승인에 로깅됩니다. auto-approved 상태에 대한 자세한 내용은 액세스 요청 상태를 참조하세요. 이러한 유형의 액세스는 사용자가 지원 요청을 제출한 모든 케이스로 구성되며 지원 담당자는 긴급 액세스 요구사항을 충족하지 않는 액세스를 지원할 수 있도록 고객 콘텐츠를 확인해야 합니다.

긴급 액세스	긴급하지 않은 액세스
이 유형의 액세스는 Google 서비스, 인프라 또는 고객 서비스 또는 콘텐츠의 무결성에 대한 긴급 위협이 있을 때 발생합니다. 이러한 근거 중 하나가 포함된 액세스는 조직의 액세스 승인 정책보다 우선할 수 있습니다. 이러한 드문 액세스 유형은 `auto-approved` 상태로 액세스 승인에 로깅됩니다. `auto-approved` 상태에 대한 자세한 내용은 액세스 요청 상태를 참조하세요.	이러한 유형의 액세스는 사용자가 지원 요청을 제출한 모든 케이스로 구성되며 지원 담당자는 긴급 액세스 요구사항을 충족하지 않는 액세스를 지원할 수 있도록 고객 콘텐츠를 확인해야 합니다.

모든 액세스에는 근거가 있습니다.

관리 액세스는 감사 가능하고 유효한 비즈니스 근거를 바탕으로 관리되며, 몇 가지 예외가 있습니다.

고객 콘텐츠에 액세스하기 위한 비즈니스 근거의 전체 목록은 정당성 이유 코드를 참조하세요.

액세스 로깅 범용

고객 콘텐츠에 대한 관리 액세스는 기본적으로 로깅됩니다. 액세스 투명성을 사용 설정하면 Google 직원이 조직의 사용자 콘텐츠에 액세스하는 것에 대한 거의 실시간 감사 로그가 각 프로젝트의 로그에 게시됩니다. 이러한 액세스는 Google 감사관의 내부에서 모니터링하며 액세스 투명성 로그를 통해 외부에서 볼 수 있습니다. 이러한 로그를 보는 방법은 액세스 투명성 로그 이해 및 사용을 참조하세요.

추가 보증을 위해 Assured Workloads 사용

Assured Workloads는 미국 외 지역의 직원에 대한 데이터 액세스 제한을 포함하여 미국 정부 인증에 의해 명시된 더 엄격한 가이드라인을 충족하는 관리 제어를 제공할 수 있습니다.

자세한 내용은 직원 데이터 액세스 및 지원 제어를 참조하세요.