Panoramica dei controlli dell'accesso amministrativo

Questa pagina fornisce una panoramica dei principi fondamentali su cui sono progettati i controlli dell'accesso amministrativo di Google Cloud.

Che cos'è l'accesso amministrativo

L'accesso amministrativo include l'accesso ai contenuti dei clienti da parte del personale di Google per mezzi amministrativi. Ad esempio, un dipendente Google che utilizza uno strumento di assistenza interno per accedere ai contenuti di un database Spanner per diagnosticare una richiesta di assistenza sollevata dal cliente in cui vengono citati i problemi di funzionalità del database.

Un esempio di accesso non amministrativo è la concessione a un dipendente Google dell'accesso IAM diretto a livello di progetto assegnando autorizzazioni utente standard nello spazio utente. L'accesso da parte di questo dipendente Google nel progetto in cui è stato concesso esplicitamente l'accesso non costituisce un accesso amministrativo.

L'obiettivo dei controlli di accesso amministrativo è garantire che i contenuti dei clienti su Google Cloud non siano accessibili ai dipendenti Google senza una giustificazione verificabile e, facoltativamente, con un'approvazione esplicita.

Principi fondamentali

Questa sezione descrive i principi fondamentali che l'accesso ai contenuti dei clienti in Google Cloud è conforme.

Nega l'accesso per impostazione predefinita: i contenuti degli utenti appartengono esplicitamente all'organizzazione dell'utente

Google Cloud si impegna a garantire che i contenuti dei clienti appartengano a loro. Questa è la posizione predefinita di ogni dipendente Google nei confronti dei contenuti dei clienti.

Il controllo dell'accesso amministrativo da parte del proprietario dei contenuti è un impegno fondamentale

Gli eventi di accesso sono un elemento operativo standard di qualsiasi attività basata su cloud. Ad esempio, il personale di assistenza potrebbe avere bisogno di accedere ai contenuti dei clienti per fornire l'assistenza richiesta, mentre i tecnici potrebbero doverlo fare per approfondire e risolvere un problema rilevato durante l'indagine sulla richiesta di assistenza. La filosofia di Google Cloud è fornire un supporto completo per logging e approvazione dell'accesso ai contenuti con le funzionalità Access Transparency e Access Approval.

La seguente tabella spiega la differenza tra accesso automatico e accesso umano:

Accesso automatico	Accesso umano
Nessun essere umano può accedere, visualizzare o esportare i contenuti gestiti da questi sistemi. Questi accessi ai contenuti non rientrano nell'ambito della generazione dei log di Access Transparency. Ad esempio, accedi tramite programmi che eseguono periodicamente l'hashing dei contenuti dei clienti per verificare eventuali danni nei dati.	Per accesso umano si intende qualsiasi accesso che concede o può concedere l'accesso umano ai contenuti degli utenti. Questo accesso include una persona che utilizza un percorso di accesso automatizzato per concedere l'accesso indiretto ai contenuti. Questo accesso ai contenuti rientra completamente nell'ambito di Access Transparency e Access Approval.

La seguente tabella spiega la differenza tra accesso di emergenza e accesso non di emergenza:

Accesso di emergenza Accesso non di emergenza

Questo tipo di accesso si verifica quando esiste una minaccia urgente per l'integrità dei servizi e dell'infrastruttura di Google o per qualsiasi servizio o contenuto per i clienti. Un accesso con una di queste giustificazioni può eseguire l'override del criterio di Access Approval di un'organizzazione. Questo tipo raro di accesso viene registrato ad Access Approval con lo stato auto-approved. Per ulteriori informazioni sullo stato di auto-approved, consulta la sezione Stato di una richiesta di accesso. Questo tipo di accesso consiste in qualsiasi richiesta di assistenza presentata e il personale di assistenza deve esaminare i contenuti del cliente per poterti aiutare. accesso che non soddisfa i requisiti di un accesso di emergenza.

Accesso di emergenza	Accesso non di emergenza
Questo tipo di accesso si verifica quando esiste una minaccia urgente per l'integrità dei servizi e dell'infrastruttura di Google o per qualsiasi servizio o contenuto per i clienti. Un accesso con una di queste giustificazioni può eseguire l'override del criterio di Access Approval di un'organizzazione. Questo tipo raro di accesso viene registrato ad Access Approval con lo stato `auto-approved`. Per ulteriori informazioni sullo stato di `auto-approved`, consulta la sezione Stato di una richiesta di accesso.	Questo tipo di accesso consiste in qualsiasi richiesta di assistenza presentata e il personale di assistenza deve esaminare i contenuti del cliente per poterti aiutare. accesso che non soddisfa i requisiti di un accesso di emergenza.

Ogni accesso è costituito da una giustificazione

L'accesso amministrativo è controllato da una giustificazione aziendale valida e verificabile, con alcune eccezioni.

Per l'elenco completo delle giustificazioni aziendali per accedere ai contenuti dei clienti, consulta Codici dei motivi delle giustificazioni.

Il logging degli accessi è universale

L'accesso amministrativo ai contenuti dei clienti viene registrato per impostazione predefinita. Dopo aver attivato Access Transparency, gli audit log quasi in tempo reale degli accessi da parte del personale Google ai contenuti degli utenti nell'organizzazione vengono pubblicati nei log di ogni progetto. Questi accessi sono monitorati internamente dai revisori di Google e sono visibili esternamente tramite i log di Access Transparency. Per informazioni sulla visualizzazione di questi log, consulta Comprendere e utilizzare i log di Access Transparency.

Usa Assured Workloads per un'ulteriore copertura

Assured Workloads può fornire controlli amministrativi che rispettano le linee guida più rigorose stabilite dalle certificazioni governative degli Stati Uniti, incluse le limitazioni di accesso ai dati da parte di personale non statunitense.

Per maggiori informazioni, consulta Accesso ai dati del personale e controlli di assistenza.