Cette page a été traduite par l'API Cloud Translation.

Présentation des contrôles des accès administrateur

Cette page présente les principes sous-jacents fondamentaux sur lesquels les contrôles d'accès administratifs deGoogle Cloudsont conçus.

Qu'est-ce que l'accès administrateur ?

L'accès administrateur inclut l'accès au contenu client par le personnel Google par des moyens administratifs. Par exemple, un employé Google utilise un outil d'assistance interne pour accéder au contenu d'une base de données Spanner afin de diagnostiquer une demande d'assistance envoyée par un client qui fait état de problèmes de fonctionnalité de la base de données.

Un exemple d'accès non administrateur consiste à accorder à un employé Google un accès IAM direct au niveau du projet en lui attribuant des autorisations utilisateur standards dans l'espace utilisateur. L'accès de cet employé Google au projet auquel vous lui avez explicitement accordé l'accès ne constitue pas un accès administrateur.

L'objectif des contrôles d'accès administrateur est de s'assurer que les employés Google n'ont pas accès au contenu client sur Google Cloud sans justification vérifiable et, éventuellement, sans approbation explicite.

Principes de base

Cette section décrit les principes fondamentaux auxquels l'accès aux contenus client chezGoogle Cloud est soumis.

Refuser l'accès par défaut: le contenu de l'utilisateur appartient explicitement à son organisation

Google Cloud s'engage à s'assurer que le contenu des clients leur appartient. Cette position est celle par défaut de chaque employé Google vis-à-vis du contenu client.

Le contrôle du propriétaire du contenu sur l'accès administratif est un engagement fondamental

Les événements d'accès sont un élément opérationnel standard de toute entreprise basée sur le cloud. Par exemple, le personnel d'assistance peut avoir besoin d'accéder au contenu client pour fournir l'assistance demandée, et les ingénieurs peuvent avoir besoin de le faire pour approfondir la résolution d'un problème détecté lors de l'examen de la demande d'assistance. La philosophie deGoogle Cloudest de fournir une assistance complète en matière de journalisation et d'approbation pour l'accès aux contenus grâce aux fonctionnalités Access Transparency et Access Approval.

Le tableau suivant explique la différence entre l'accès automatisé et l'accès humain:

Accès automatisé	Accès humain
Aucun humain ne peut accéder, consulter ni exporter le contenu géré par ces systèmes. Ces accès aux contenus ne sont pas concernés par la génération de journaux Access Transparency. Par exemple, l'accès via des programmes qui hachent périodiquement le contenu client pour détecter la corruption des données.	L'accès humain consiste en tout accès qui accorde ou peut accorder à un humain un accès au contenu utilisateur. Cet accès inclut un humain qui utilise un chemin d'accès automatisé pour accorder un accès indirect au contenu. Cet accès aux contenus est entièrement couvert par Access Transparency et Access Approval.

Le tableau suivant explique la différence entre l'accès d'urgence et l'accès non d'urgence:

Accès d'urgence Accès non urgent

Ce type d'accès se produit en cas de menace urgente sur l'intégrité des services ou de l'infrastructure de Google, ou sur les services ou le contenu d'un client. Un accès avec l'une de ces justifications peut remplacer la stratégie Access Approval d'une organisation. Ce type d'accès rare est consigné dans Access Approval avec l'état auto-approved. Pour en savoir plus sur l'état auto-approved, consultez la section État d'une demande d'accès. Ce type d'accès consiste en tout accès qui ne répond pas aux exigences d'un accès d'urgence.

Accès d'urgence	Accès non urgent
Ce type d'accès se produit en cas de menace urgente sur l'intégrité des services ou de l'infrastructure de Google, ou sur les services ou le contenu d'un client. Un accès avec l'une de ces justifications peut remplacer la stratégie Access Approval d'une organisation. Ce type d'accès rare est consigné dans Access Approval avec l'état `auto-approved`. Pour en savoir plus sur l'état `auto-approved`, consultez la section État d'une demande d'accès.	Ce type d'accès consiste en tout accès qui ne répond pas aux exigences d'un accès d'urgence.

Chaque accès est justifié

L'accès administrateur est soumis à une justification professionnelle valide et vérifiable, à quelques exceptions près.

Pour obtenir la liste complète des justifications métier pour accéder au contenu des clients, consultez la section Codes de motif de justification.

La journalisation des accès est universelle

L'accès administrateur au contenu client est consigné par défaut. Une fois que vous avez activé Access Transparency, des journaux d'audit en quasi-temps réel de tout accès du personnel Google au contenu utilisateur de l'organisation sont publiés dans les journaux de chaque projet. Ces accès sont surveillés en interne par les auditeurs de Google et sont visibles en externe via les journaux Access Transparency. Pour savoir comment afficher ces journaux, consultez Comprendre et utiliser les journaux Access Transparency.

Utiliser Assured Workloads pour une couverture plus étendue

Assured Workloads peut fournir des commandes administratives qui répondent aux consignes plus strictes établies par les certifications gouvernementales américaines, y compris des restrictions sur l'accès aux données par le personnel non américain.

Pour en savoir plus, consultez la section Contrôles d'accès aux données et d'assistance pour le personnel.