Visão geral dos controles de acesso administrativo

Nesta página, você terá uma visão geral dos princípios básicos com base nos controles de acesso administrativo do Google Cloud projetados.

O que é acesso administrativo

O acesso administrativo inclui o acesso ao conteúdo do cliente pela equipe do Google por meios administrativos. Por exemplo, um funcionário do Google usando uma ferramenta de suporte interna para acessar o conteúdo de um banco de dados do Spanner e diagnosticar um caso de suporte gerado pelo cliente que cita problemas de funcionalidade do banco de dados.

Um exemplo de acesso não administrativo é conceder a um funcionário do Google acesso direto ao IAM para envolvidos no projeto, atribuindo permissões de usuário padrão no espaço do usuário. O acesso por esse funcionário do Google no projeto em que você concedeu acesso explicitamente não constitui acesso administrativo.

O objetivo dos controles de acesso administrativo é garantir que o conteúdo do cliente no Google Cloud não seja acessível aos funcionários do Google sem uma justificativa auditável e, opcionalmente, uma aprovação explícita.

Princípios básicos

Nesta seção, descrevemos os princípios fundamentais que o acesso ao conteúdo do cliente no Google Cloud segue.

Negar acesso por padrão: o conteúdo do usuário pertence explicitamente à organização do usuário

O Google Cloud tem o compromisso de garantir que o conteúdo dos clientes pertença a eles. Essa é a postura padrão de todos os funcionários do Google em relação ao conteúdo do cliente.

O controle do proprietário do conteúdo sobre o acesso administrativo é um compromisso principal

Os eventos de acesso são um elemento operacional padrão de qualquer empresa baseada na nuvem. Por exemplo, a equipe de suporte pode precisar acessar o conteúdo do cliente para fornecer o suporte solicitado, e os engenheiros talvez precisem fazer isso para se aprofundar em um problema descoberto durante a investigação da solicitação de suporte. A filosofia do Google Cloud é fornecer suporte completo de geração de registros e aprovação para acesso ao conteúdo com os recursos de Transparência no acesso e de Aprovação de acesso.

A tabela a seguir explica a diferença entre acesso automatizado e humano:

Acesso automatizado	Acesso humano
Ninguém pode acessar, visualizar ou exportar conteúdo processado por esses sistemas. Esses acessos ao conteúdo estão fora do escopo da geração de registros da Transparência no acesso. Por exemplo, acesso por meio de programas que periodicamente geram hash do conteúdo do cliente para verificar se há corrupção de dados.	O acesso humano consiste em qualquer acesso que conceda ou possa conceder a um humano acesso ao conteúdo do usuário. Esse acesso inclui uma pessoa que usa um caminho automatizado para conceder acesso indireto ao conteúdo. Esse acesso ao conteúdo está totalmente no escopo da Transparência no acesso e da Aprovação de acesso.

A tabela a seguir explica a diferença entre o acesso de emergência e não emergencial:

Acesso emergencial Acesso não emergencial

Esse tipo de acesso ocorre quando há uma ameaça urgente à integridade dos serviços ou à infraestrutura do Google ou a qualquer serviço ou conteúdo do cliente. Um acesso com uma dessas justificativas pode substituir a política de aprovação de acesso de uma organização. Esse tipo raro de acesso é registrado na Aprovação de acesso com o status auto-approved. Saiba mais sobre o status auto-approved em Status de uma solicitação de acesso. Esse tipo de acesso consiste em qualquer um que você tenha registrado uma solicitação de suporte, e a equipe de suporte deve examinar o conteúdo do cliente para poder ajudar. Acesso que não atende aos requisitos de um acesso emergencial.

Acesso emergencial	Acesso não emergencial
Esse tipo de acesso ocorre quando há uma ameaça urgente à integridade dos serviços ou à infraestrutura do Google ou a qualquer serviço ou conteúdo do cliente. Um acesso com uma dessas justificativas pode substituir a política de aprovação de acesso de uma organização. Esse tipo raro de acesso é registrado na Aprovação de acesso com o status `auto-approved`. Saiba mais sobre o status `auto-approved` em Status de uma solicitação de acesso.	Esse tipo de acesso consiste em qualquer um que você tenha registrado uma solicitação de suporte, e a equipe de suporte deve examinar o conteúdo do cliente para poder ajudar. Acesso que não atende aos requisitos de um acesso emergencial.

Todo acesso tem uma justificativa

O acesso administrativo é protegido por uma justificativa comercial válida e auditável, com algumas exceções.

Para ver a lista completa de justificativas comerciais para acessar o conteúdo do cliente, consulte os códigos de motivo da justificativa.

A geração de registros de acesso é universal

O acesso administrativo ao conteúdo do cliente é registrado por padrão. Depois que você ativar a transparência no acesso, registros de auditoria quase em tempo real de qualquer acesso da equipe do Google ao conteúdo do usuário na organização serão publicados nos registros de cada projeto. Esses acessos são monitorados internamente pelos auditores do Google e são visíveis externamente pelos registros de transparência no acesso. Para mais informações sobre como visualizar esses registros, consulte Como entender e usar os registros de transparência no acesso.

Use Assured Workloads para ter uma cobertura maior

O Assured Workloads pode fornecer controles administrativos que atendem às diretrizes mais rigorosas estabelecidas por certificações do governo dos EUA, incluindo restrições de acesso a dados por funcionários de fora dos EUA.

Para mais informações, consulte Controles de suporte e acesso a dados da equipe.