Übersicht über die Steuerung des Administratorzugriffs

Diese Seite bietet einen Überblick über die grundlegenden Prinzipien, auf denen die Google Cloud-Steuerelemente für den Administratorzugriff basieren.

Was ist Administratorzugriff?

Der Administratorzugriff umfasst den Zugriff auf Kundeninhalte durch Google-Mitarbeiter auf administrative Weise. Beispiel: Ein Google-Mitarbeiter verwendet ein internes Supporttool, um auf den Inhalt einer Spanner-Datenbank zuzugreifen, um eine vom Kunden gemeldete Supportanfrage zu diagnostizieren, in der Probleme der Datenbankfunktionalität genannt werden.

Ein Beispiel für nicht administrativen Zugriff besteht darin, einem Google-Mitarbeiter direkten IAM-Zugriff auf Projektebene zu gewähren. Dazu werden Standardnutzerberechtigungen im Nutzerbereich zugewiesen. Der Zugriff dieses Google-Mitarbeiters in dem Projekt, dem Sie explizit Zugriff gewährt haben, gilt nicht als Administratorzugriff.

Das Ziel der Administratorzugriffskontrolle besteht darin, sicherzustellen, dass Google-Mitarbeiter ohne prüfbare Begründung und optional eine ausdrückliche Genehmigung nicht auf Kundeninhalte in Google Cloud zugreifen können.

Grundprinzipien

In diesem Abschnitt werden die Grundprinzipien beschrieben, die dem Zugriff auf Kundeninhalte in Google Cloud entsprechen.

Zugriff standardmäßig verweigern: Nutzerinhalte gehören explizit der Organisation des Nutzers

Google Cloud legt großen Wert darauf, dass die Kundeninhalte den Kunden gehören. Diese Einstellung ist die Standardeinstellung aller Google-Mitarbeiter gegenüber Kundeninhalten.

Die Kontrolle des Rechteinhabers über den Administratorzugriff ist ein zentraler Bestandteil

Zugriffsereignisse sind ein standardmäßiges operatives Element jedes cloudbasierten Unternehmens. Beispielsweise kann es sein, dass Supportmitarbeiter auf Kundeninhalte zugreifen müssen, um den angeforderten Support bereitzustellen, und Entwickler müssen dies tun, um ein Problem zu beheben, das bei der Untersuchung von Supportanfragen festgestellt wurde. Die Philosophie von Google Cloud besteht darin, das Logging und die Genehmigung des Inhaltszugriffs mithilfe der Features Access Transparency und Access Approval vollständig zu unterstützen.

In der folgenden Tabelle wird der Unterschied zwischen automatischem und menschlichem Zugriff erläutert:

Automatisierter Zugriff	Nutzerzugriff
Die Inhalte, die von diesen Systemen verarbeitet werden, können nicht von Menschen aufgerufen, angezeigt oder exportiert werden. Solche Zugriffe auf Inhalte werden bei der Generierung von Access Transparency-Logs nicht berücksichtigt. Dazu gehört beispielsweise der Zugriff über Programme, die Kundeninhalte regelmäßig hashen, um sie auf Datenbeschädigung zu prüfen.	Unter dem menschlichen Zugriff versteht man jeden Zugriff, der einem Menschen Zugriff auf Nutzerinhalte gewährt oder gewähren kann. Dazu gehört, dass ein Mensch über einen automatisierten Zugriffspfad indirekten Zugriff auf Inhalte gewährt. Dieser Zugriff auf Inhalte fällt vollständig in den Bereich von Access Transparency und Access Approval.

In der folgenden Tabelle wird der Unterschied zwischen dem Zugriff für Notfälle und andere Ereignisse erläutert:

Notfallzugriff Zugriff (nicht Notfallzugriff)

Diese Art des Zugriffs erfolgt, wenn die Integrität der Dienste, der Infrastruktur oder von Kundendiensten oder Inhalten von Google dringend gefährdet ist. Ein Zugriff mit einer dieser Begründungen kann die Zugriffsgenehmigungsrichtlinie einer Organisation überschreiben. Diese seltene Art von Zugriff wird in Access Approval mit dem Status auto-approved protokolliert. Weitere Informationen zum Status auto-approved finden Sie unter Status einer Zugriffsanfrage. Diese Art des Zugriffs umfasst alle Anfragen, die Sie eingereicht haben, und Supportmitarbeiter müssen sich die Kundeninhalte ansehen, um Ihnen helfen zu können. Zugriff, der nicht den Anforderungen eines Notfallzugriffs entspricht.

Notfallzugriff	Zugriff (nicht Notfallzugriff)
Diese Art des Zugriffs erfolgt, wenn die Integrität der Dienste, der Infrastruktur oder von Kundendiensten oder Inhalten von Google dringend gefährdet ist. Ein Zugriff mit einer dieser Begründungen kann die Zugriffsgenehmigungsrichtlinie einer Organisation überschreiben. Diese seltene Art von Zugriff wird in Access Approval mit dem Status `auto-approved` protokolliert. Weitere Informationen zum Status `auto-approved` finden Sie unter Status einer Zugriffsanfrage.	Diese Art des Zugriffs umfasst alle Anfragen, die Sie eingereicht haben, und Supportmitarbeiter müssen sich die Kundeninhalte ansehen, um Ihnen helfen zu können. Zugriff, der nicht den Anforderungen eines Notfallzugriffs entspricht.

Jeder Zugriff hat eine Begründung

Der Administratorzugriff ist mit einigen Ausnahmen durch eine prüfbare, gültige geschäftliche Begründung eingeschränkt.

Eine vollständige Liste der geschäftlichen Gründe für den Zugriff auf Kundeninhalte finden Sie unter Begründungscodes.

Zugriffs-Logging ist universell

Der Administratorzugriff auf Kundeninhalte wird standardmäßig protokolliert. Nachdem Sie Access Transparency aktiviert haben, werden in den Logs jedes Projekts nahezu in Echtzeit Audit-Logs aller Zugriffe von Google-Mitarbeitern auf Nutzerinhalte in der Organisation veröffentlicht. Diese Zugriffe werden intern von den Prüfern von Google überwacht und sind über Access Transparency-Logs extern sichtbar. Informationen zum Aufrufen dieser Logs finden Sie unter Access Transparency-Logs verstehen und verwenden.

Verwenden Sie Assured Workloads für eine weitere Abdeckung

Assured Workloads kann Verwaltungsfunktionen bereitstellen, die den strengeren Richtlinien der US-Regierungszertifizierungen entsprechen, einschließlich der Einschränkungen des Datenzugriffs durch Mitarbeiter außerhalb der USA.

Weitere Informationen finden Sie unter Steuerelemente für den Zugriff auf Personaldaten und den Support.