Descripción general de los controles de acceso de administrador
En esta página, se proporciona una descripción general de los principios subyacentes principales en función de los cuales se diseñan los controles de acceso administrativo de Google Cloud.
¿Qué es el acceso de administrador?
El acceso de administrador incluye el acceso al contenido del cliente por parte del personal de Google por medios administrativos. Por ejemplo, un empleado de Google que usa una herramienta de asistencia interna para acceder al contenido de una base de datos de Spanner a fin de diagnosticar un caso de asistencia generado por el cliente que cita problemas de funcionalidad de la base de datos.
Un ejemplo de acceso no administrativo es otorgar a un empleado de Google acceso directo de IAM a nivel de proyecto mediante la asignación de permisos de usuario estándar en el espacio del usuario. El acceso de este empleado de Google en el proyecto en el que otorgaste acceso explícitamente no constituye un acceso de administrador.
El objetivo de los controles de acceso administrativo es garantizar que los empleados de Google no puedan acceder al contenido de los clientes en Google Cloud sin una justificación auditable y, de forma opcional, una aprobación explícita.
Principios básicos
En esta sección, se describen los principios fundamentales que se respetan en el acceso al contenido del cliente en Google Cloud.
Denegar acceso de forma predeterminada: el contenido del usuario pertenece explícitamente a la organización del usuario
Google Cloud tiene un fuerte compromiso para garantizar que el contenido de los clientes les pertenezca a ellos. Esta postura es la postura predeterminada de todos los empleados de Google con respecto al contenido del cliente.
El control del propietario del contenido sobre el acceso de administrador es un compromiso principal
Los eventos de acceso son un elemento operativo estándar de cualquier negocio basado en la nube. Por ejemplo, es posible que el personal de asistencia necesite acceder al contenido del cliente para proporcionar la asistencia solicitada, y es posible que los ingenieros deban hacerlo para investigar más a fondo y resolver un problema descubierto durante la investigación de la solicitud de asistencia. La filosofía de Google Cloud es proporcionar una asistencia completa de registro y aprobación para el acceso al contenido con las funciones de Transparencia de acceso y Aprobación de acceso.
En la siguiente tabla, se explica la diferencia entre el acceso automático y el humano:
| Acceso automático | Acceso humano |
|---|---|
| Ninguna persona puede acceder, ver ni exportar contenido que manejan estos sistemas. Estos accesos al contenido están fuera del alcance de la generación de registros de Transparencia de acceso. Por ejemplo, puedes acceder a través de programas que generan un hash periódicamente en el contenido de los clientes para detectar daños en los datos. | El acceso humano consiste en cualquier acceso que otorgue o pueda otorgar a una persona acceso al contenido del usuario. Este acceso incluye a una persona que usa una ruta de acceso automatizada para otorgar acceso indirecto al contenido. El acceso al contenido está completamente dentro del alcance de la Transparencia de acceso y la Aprobación de acceso. |
En la siguiente tabla, se explica la diferencia entre el acceso de emergencia y el que no es de emergencia:
| Acceso de emergencia | Acceso que no es de emergencia |
|---|---|
Este tipo de acceso se produce cuando hay una amenaza urgente a la integridad de los servicios o la infraestructura de Google, o a cualquier servicio o contenido del cliente. Un acceso con una de estas justificaciones puede anular la política de Aprobación de acceso de una organización.
Este tipo de acceso poco frecuente se registra en la Aprobación de acceso con el estado auto-approved. Para obtener más información sobre el estado auto-approved, consulta Estado de una solicitud de acceso. |
Este tipo de acceso consiste en cualquiera que hayas enviado una solicitud de asistencia, y el personal de asistencia debe analizar el contenido del cliente para poder ayudarte. Un acceso que no cumple con los requisitos de un acceso de emergencia. |
Cada acceso consiste en una justificación
El acceso de administrador está restringido detrás de una justificación comercial válida y auditable, con algunas excepciones.
Si deseas obtener una lista completa de justificaciones comerciales para acceder al contenido de los clientes, consulta Códigos de motivos de justificación.
El registro de acceso es universal
El acceso de administrador al contenido de los clientes se registra de forma predeterminada. Después de habilitar la Transparencia de acceso, los registros de auditoría casi en tiempo real de cualquier acceso del personal de Google al contenido de los usuarios de la organización se publican en los registros de cada proyecto. Los auditores de Google supervisan estos accesos de forma interna y se pueden ver de forma externa a través de los registros de Transparencia de acceso. Para obtener información sobre cómo ver estos registros, consulta Comprende y usa los registros de Transparencia de acceso.
Usa Assured Workloads para obtener una mayor cobertura
Assured Workloads puede proporcionar controles administrativos que cumplen con los lineamientos más estrictos establecidos por las certificaciones gubernamentales de EE.UU., incluidas las restricciones al acceso a los datos por parte del personal que no es de EE.UU.
Para obtener más información, consulta Controles de asistencia y acceso a los datos del personal.
¿Qué sigue?
- Acceso privilegiado en Google Cloud
- Informe sobre la administración y protección del contenido almacenado en Google Cloud
- Informe sobre la residencia de datos, la transparencia operativa y la privacidad para clientes europeos
- Descripción general de Key Access Justifications
- Descripción general de la Transparencia de acceso
- Descripción general de la Aprobación de acceso