管理アクセス制御の概要

このページでは、Google Cloud の管理アクセス制御が設計されており、その基盤となる基本原則の概要を説明します。

管理アクセスとは

管理アクセスには、管理的手段での Google 従業員による顧客コンテンツへのアクセスが含まれます。たとえば、データベースの機能の問題に言及するお客様のサポートケースを診断するために、Google 社員が内部サポートツールを使用して Cloud Spanner データベースのコンテンツにアクセスする場合があります。

非管理アクセスの一例は、ユーザー空間で標準ユーザー権限を割り当てることで、Google 社員にプロジェクトレベルでの IAM への直接アクセス権を付与することです。明示的にアクセス権を付与したプロジェクトでのこの Google 社員によるアクセスは、管理アクセスには含まれません。

管理者アクセス制御の目的は、監査可能な理由と、必要に応じて明示的な承認がなければ、Google Cloud のお客様のコンテンツが Google 従業員にアクセスできないようにすることです。

基本原則

このセクションでは、Google Cloud が遵守するお客様のコンテンツアクセスの基本原則について説明します。

デフォルトでアクセスを拒否する: ユーザーコンテンツはユーザー組織に明示的に属する

Google Cloud は、お客様のコンテンツがお客様に属することを保証することに強くコミットしています。これは、すべての Google 社員の顧客コンテンツに対するデフォルトの体制です。

コンテンツ所有者の管理アクセスに対する管理は基本のコミットメントである

アクセスイベントは、クラウドベースのビジネスにおける標準的な運用要素です。たとえば、サポート担当者は要求されたサポートを提供するためにお客様のコンテンツにアクセスする必要があり、エンジニアはサポートリクエストの調査中に発見された問題の解決のためにより深く掘り下げるために、アクセスする必要がある場合があります。Google Cloud の方針は、アクセスの透明性と Access Approval の機能を使用して、コンテンツアクセスの完全なロギングと承認をサポートすることです。

次の表に、自動アクセスと人間によるアクセスの違いを示します。

自動アクセス	人間によるアクセス
人間は、これらのシステムで扱われるコンテンツのアクセス、表示、エクスポートを行うことができません。これらのコンテンツアクセスは、アクセスの透明性ログの生成の対象外です。たとえば、お客様のコンテンツを定期的にハッシュしてプログラムデータの破損をチェックするプログラムを介してアクセスします。	人間によるアクセスは、ユーザーコンテンツへのアクセスを許可または付与できるすべてのアクセスで構成されます。このアクセスには、自動アクセスパスを使用してコンテンツへの間接的なアクセス権を付与する人間が含まれます。このコンテンツアクセスは、アクセスの透明性とアクセスの承認のスコープに完全に含まれます。

自動アクセス

人間によるアクセス

人間は、これらのシステムで扱われるコンテンツのアクセス、表示、エクスポートを行うことができません。これらのコンテンツアクセスは、アクセスの透明性ログの生成の対象外です。たとえば、お客様のコンテンツを定期的にハッシュしてプログラムデータの破損をチェックするプログラムを介してアクセスします。

人間によるアクセスは、ユーザーコンテンツへのアクセスを許可または付与できるすべてのアクセスで構成されます。このアクセスには、自動アクセスパスを使用してコンテンツへの間接的なアクセス権を付与する人間が含まれます。このコンテンツアクセスは、アクセスの透明性とアクセスの承認のスコープに完全に含まれます。

以下の表に、緊急アクセスと非緊急アクセスの違いを示します。

緊急アクセス非緊急アクセス権

このタイプのアクセスは、Google のサービス、インフラストラクチャ、またはカスタマーサービスやコンテンツの整合性に対する緊急の脅威がある場合に発生します。これらの理由のいずれかによるアクセスでは、組織の Access Approval ポリシーをオーバーライドできます。このまれなタイプのアクセスは、auto-approved ステータスで Access Approval に記録されます。auto-approved ステータスの詳細については、アクセスリクエストのステータスをご覧ください。このタイプのアクセスは、あらゆる提出したサポートリクエストで構成され、サポート担当者は、サポートするためにお客様のコンテンツを調べる必要があります。緊急アクセスの要件を満たさないアクセス。

緊急アクセス	非緊急アクセス権
このタイプのアクセスは、Google のサービス、インフラストラクチャ、またはカスタマーサービスやコンテンツの整合性に対する緊急の脅威がある場合に発生します。これらの理由のいずれかによるアクセスでは、組織の Access Approval ポリシーをオーバーライドできます。このまれなタイプのアクセスは、`auto-approved` ステータスで Access Approval に記録されます。`auto-approved` ステータスの詳細については、アクセスリクエストのステータスをご覧ください。	このタイプのアクセスは、あらゆる提出したサポートリクエストで構成され、サポート担当者は、サポートするためにお客様のコンテンツを調べる必要があります。緊急アクセスの要件を満たさないアクセス。

すべてのアクセスには理由がある

管理アクセスは、一部の例外とともに、監査可能な有効なビジネス上の正当な理由を裏付けとして囲われています。

お客様のコンテンツにアクセスするためのビジネス上の正当な理由の一覧については、正当化理由コードをご覧ください。

アクセスロギングはユニバーサル

お客様のコンテンツに対する管理アクセスは、デフォルトでログに記録されます。アクセスの透明性を有効にすると、Google の担当者による組織内のユーザーコンテンツへのアクセスがほぼリアルタイムで各プロジェクトのログに記録されます。これらのアクセスは Google の監査者によって内部でモニタリングされ、アクセスの透明性ログを通じて外部に表示されます。これらのログの表示については、アクセスの透明性ログを理解して使用するをご覧ください。

Assured Workloads を使用して対象範囲を拡大する

Assured Workloads では、米国政府の認証で規定されているより厳格なガイドライン（米国以外の人によるデータアクセスの制限など）を満たす管理コントロールを提供できます。

詳細については、担当者のデータへのアクセスとサポートの制御をご覧ください。