管理员权限控制概览
本页面简要介绍了Google Cloud管理员访问权限控制的设计依据,即核心底层原则。
什么是管理员权限
管理员权限包括 Google 员工通过管理手段访问客户内容。例如,Google 员工使用内部支持工具访问 Spanner 数据库的内容,以诊断客户提出的支持请求(其中提及数据库功能问题)。
非管理员访问权限的一个示例是,通过在用户空间中分配标准用户权限,向 Google 员工授予项目级直接 IAM 访问权限。此 Google 员工对您明确授予访问权限的项目的访问权限不构成管理员访问权限。
管理员访问权限控制的目标是确保 Google 员工在没有可审核的理由(可选)和明确批准的情况下无法访问 Google Cloud 上的客户内容。
核心原则
本部分介绍了Google Cloud 客户内容访问权限所遵循的核心原则。
默认拒绝访问:用户内容明确归用户组织所有
Google Cloud 坚定致力于确保客户内容归客户所有。这是 Google 每位员工对待客户内容的默认态度。
内容所有者对管理员访问权限的控制是一项核心承诺
访问事件是任何云端企业的标准运营要素。例如,支持人员可能需要访问客户内容才能提供所请求的支持服务,工程师可能需要访问客户内容才能深入了解支持请求调查期间发现的问题。Google Cloud的理念是通过 Access Transparency 和 Access Approval 功能为内容访问提供完整的日志记录和审批支持。
下表说明了自动访问和人工访问之间的区别:
| 自动访问 | 人工访问 |
|---|---|
| 任何人也无法访问、查看或导出这些系统处理的任何内容。这些内容访问不在生成 Access Transparency 日志的范围内。例如,通过定期对客户内容进行哈希处理以检查数据是否损坏的程序进行访问。 | 人为访问权限包括授予或可以授予用户访问权限的任何访问权限。这种访问包括用户使用自动化访问路径授予对内容的间接访问权限。此内容访问完全在 Access Transparency 和 Access Approval 的适用范围内。 |
下表说明了紧急访问权限和非紧急访问权限之间的区别:
| 紧急访问 | 非紧急访问 |
|---|---|
当 Google 服务、基础架构或任何客户服务或内容的完整性受到紧急威胁时,就会发生此类访问。具有以下任一理由的访问权限可以替换组织的“访问权限审批”政策。这种罕见的访问权限会在 Access Approval 中记录,并带有 auto-approved 状态。如需详细了解 auto-approved 状态,请参阅访问权限请求的状态。 |
此类访问权限包括以下情况:您提交了支持请求,并且支持人员必须查看客户内容才能提供帮助。 |
每项访问都包含一个理由
除非例外情况,否则您必须提供可审核的有效业务理由,才能获得管理员访问权限。
如需查看访问客户内容的完整业务理由列表,请参阅理由原因代码。
访问日志记录是通用的
默认情况下,系统会记录对客户内容的管理员访问权限。启用 Access Transparency 后,Google 人员对组织中用户内容的任何访问都会记录在近乎实时的审核日志中,并发布到每个项目的日志中。Google 的审核员会在内部监控这些访问,并且这些访问会通过 Access Transparency 日志向外公开。如需了解如何查看这些日志,请参阅了解和使用 Access Transparency 日志。
使用 Assured Workloads 获得更广泛的覆盖
Assured Workloads 可提供符合美国政府认证更严格准则的管理控制措施,包括对非美国人员的数据访问权限进行限制。
如需了解详情,请参阅人员数据访问权限和支持控制。
后续步骤
- Google Cloud的特权访问权限
- 关于管理和保护您存储在 Google Cloud上的内容的白皮书
- 关于欧洲客户的数据驻留情况、运维透明度和隐私权的白皮书
- Key Access Justifications 概览
- Access Transparency 概览
- Access Approval 概览