此页面由 Cloud Translation API 翻译。

Access Approval 概览

借助 Access Approval，可确保 Cloud Customer Care 和工程部门在访问您的客户内容时都需要获得您的明确批准。审批会进行加密验证，以确保访问权限审批的完整性。

如果您希望能够直接管理 Google 员工对您内容的访问权限，我们建议您使用 Access Approval。

简介

Access Approval 有助于实施最小权限安全原则，该原则要求任何人都不应拥有超出所需权限和访问权限。即使您提供了访问权限，Google 员工也只能查看对履行合约服务的义务绝对重要的内容。例如，一线客户服务人员只能访问对调试客户服务问题至关重要的客户环境信息。

如需详细了解 Google 员工可能需要访问客户内容的原因以及 Google 的特权访问原则，请参阅 Google 特权访问。

除了 Access Transparency 日志所提供的透明度，Access Approval 还提供了一个额外的控制层。Access Transparency 提供的日志会记录 Google 员工在访问您的内容时所执行的操作。Access Approval 还提供了所有已批准、拒绝或过期请求的历史视图。

Access Approval 的工作方式

Access Approval 的工作原理是发送电子邮件或 Pub/Sub 消息，其中包含您可以选择批准的访问请求。

根据消息中的信息，您可以使用 Google Cloud Console 或 Access Approval API 批准或拒绝访问权限。Access Approval 使用加密密钥对访问请求进行签名。此签名用于验证访问权限审批的完整性。您可以使用 Google 管理的签名密钥，也可以自带签名密钥。

默认选项为使用 Google 管理的签名密钥。如果要使用自己的签名密钥，您可以使用 Cloud KMS 创建一个，也可以使用 Cloud EKM 引入外部管理的密钥。如需详细了解如何开始使用自定义签名密钥，请参阅使用自定义签名密钥设置 Access Approval。

支持 Access Approval 的 Google 服务

借助 Access Approval，您可以选择要注册 Access Approval 的 Google Cloud 服务。只有在访问您所选服务中的内容时，Access Approval 才会征求您的同意。

您可以通过以下方式为 Access Approval 注册服务：

无论支持级别（预览版或正式版），是否自动为所有支持的服务启用 Access Approval。选择此选项后，系统还会自动注册 Access Approval 将来支持的所有服务。这是默认选项。
仅为拥有 GA 级支持的服务启用 Access Approval。选择此选项也会自动注册 Access Approval 未来支持的所有 GA 级别服务。
选择要注册 Access Approval 的特定服务。

如需查看 Access Approval 支持的服务的完整列表，请参阅支持的服务。

Access Approval 排除项

Google 的以下操作不会触发 Access Approval 请求：

对用户内容的系统访问权限。这些访问是经过授权和审核的 Google 流程进行的程序化的非真人访问。例如，在内容删除过程中对内容或磁盘销毁运行的压缩作业。这些访问由二进制授权功能检查，该功能会验证作业是否源自已经过检查进入生产并已由第二方审核过的代码。
影响重大的多客户服务中断。
Access Transparency 排除项中记录的任何其他例外情况。任何未能生成 Access Transparency 日志的内容也不会生成 Access Approval 请求。

Access Approval 的使用要求

您可以为 Google Cloud 项目、文件夹或组织启用 Access Approval。在启用 Access Approval 之前，您必须在资源层次结构或更高级别的同一级层启用 Access Transparency。

启用 Access Transparency 后，您可以使用 Google Cloud Console 启用 Access Approval。如需了解如何设置 Access Approval，请参阅快速入门。

自定义签名密钥的要求

使用默认的 Google 管理的签名密钥不需要任何其他配置。如需使用您自己的签名密钥，您可以使用 Cloud Key Management Service 创建非对称签名密钥，也可以使用 Cloud External Key Manager 托管由外部管理的签名密钥。

如果要使用外部管理的签名密钥，我们建议您启用 Cloud EKM。如需详细了解如何使用 Cloud EKM 管理未存储在 Google Cloud 中的密钥，请参阅 Cloud EKM 概览。

后续步骤

请参阅快速入门以设置 Access Approval。
了解如何使用 Terraform 设置 Access Approval。
了解如何批准访问权限请求。
了解 Access Approval 价格。
请参阅 Access Approval 支持的 Google Cloud 服务列表。