管理员权限控制概览
本页面根据设计 Google Cloud 管理员权限控制措施时,概述了核心基本原则。
什么是管理员权限
管理员权限包括 Google 员工以管理方式访问客户内容的权限。例如,某 Google 员工利用内部支持工具访问 Spanner 数据库的内容,以诊断一个由客户提出的支持请求,并指出该支持请求提到了数据库功能问题。
例如,通过在用户空间中分配标准用户权限,在项目级向 Google 员工授予直接的 IAM 访问权限就是非管理员权限。该 Google 员工在您明确授予访问权限的项目中访问不构成管理员权限。
管理员权限控制的目标是确保 Google 员工在没有可审计的理由和(可选)明确批准的情况下,无法访问 Google Cloud 上的客户内容。
核心原则
本部分介绍了在 Google Cloud 访问内容的客户需要遵循的核心原则。
默认拒绝访问:用户内容明确归属于用户组织
Google Cloud 致力于确保客户内容属于客户。这是每位 Google 员工对待客户内容的默认立场。
内容所有者对管理员权限的控制是一项核心承诺
访问事件是任何云端业务的标准运营元素。例如,支持人员可能需要访问客户内容以提供请求的支持,而工程师可能需要这样做来更深入地解决在支持请求调查期间发现的问题。Google Cloud 的理念是使用 Access Transparency 和 Access Approval 功能为内容访问提供完整的日志记录和审批支持。
下表说明了自动访问和人工访问之间的区别:
| 自动访问 | 人工访问 |
|---|---|
| 任何人都无法访问、查看或导出由这些系统处理的任何内容。这些内容访问不在 Access Transparency 日志的生成范围内。例如,通过定期对客户内容进行哈希处理以检查数据是否损坏的程序进行访问。 | 人工访问包括授予或能够授予用户内容访问权限的任何访问权限。这种访问权限包括人工通过自动访问路径授予间接内容访问权限。此内容访问权限完全在 Access Transparency 和 Access Approval 的范围内。 |
下表说明了紧急访问和非紧急访问之间的区别:
| 紧急访问 | 非紧急访问权限 |
|---|---|
当 Google 的服务、基础架构或任何客户服务或内容的完整性受到紧急威胁时,就会出现此类访问。具有上述任一理由的访问权限可以替换组织的 Access Approval 政策。
这种罕见的访问权限会记录在 Access Approval 中,状态为 auto-approved。如需详细了解 auto-approved 状态,请参阅访问权限请求的状态。 |
此类访问包括您提交支持请求的任何访问,支持人员必须查看客户内容才能提供帮助。不符合紧急访问要求的访问。 |
每次访问都包含一个理由
管理员权限受可审核、有效的业务理由控制,但也有一些例外情况。
如需查看访问客户内容的业务理由的完整列表,请参阅理由原因代码。
访问日志记录是通用的
默认情况下,系统会记录对客户内容的管理员权限。启用 Access Transparency 后,对于 Google 员工对组织中的用户内容的任何访问操作,系统都会将近乎实时的审核日志发布到每个项目的日志中。此类访问由 Google 的审核人员在内部监控,可通过 Access Transparency 日志对外查看。如需了解如何查看这些日志,请参阅了解和使用 Access Transparency 日志。
使用 Assured Workloads 实现进一步覆盖
Assured Workloads 可提供管理控制措施,以符合美国政府认证中规定的更严格的准则,包括对非美国人员的数据访问的限制。
如需了解详情,请参阅人员数据访问和支持控制。
后续步骤
- Google Cloud 的特权访问权限
- 关于管理和保护您存储在 Google Cloud 中的内容的白皮书
- 有关欧洲客户的数据驻留、运营透明度和隐私权的白皮书
- Key Access Justifications 概览
- Access Transparency 概览
- Access Approval 概览