Esta página foi traduzida pela API Cloud Translation.

Visão geral do Access Approval

Esta página oferece uma visão geral do Access Approval. A aprovação de acesso faz parte do compromisso de longo prazo do Google com transparência, confiança do usuário e propriedade dos dados do cliente. A transparência no acesso ajuda você a descobrir informações sobre quando a equipe do Google acessa dados do cliente, e a aprovação de acesso permite que você autorize essas solicitações de acesso. Além disso, ele oferece níveis aprimorados de controle granular sobre quando o Google pode acessar os dados do cliente. Para clientes que usam aprovações de acesso assinadas com uma chave de criptografia gerenciada pelo cliente (CMEK), o Google também oferece aos usuários visibilidade e controle sobre pedidos de acesso a chaves usando Justificativas de acesso a chaves.

Juntos, esses produtos oferecem recursos de gerenciamento de acesso que dão a você controle e contexto para solicitações administrativas para acessar dados do cliente.

Visão geral

A Aprovação de acesso garante que o Atendimento ao cliente e as equipes de engenharia do Cloud exijam sua aprovação explícita sempre que precisarem acessar seus dados de clientes. Cada solicitação de aprovação é assinada e verificada criptograficamente para garantir a integridade. As solicitações de aprovação de acesso ativo podem ser revogadas a qualquer momento.

O Access Approval oferece um nível adicional de controle sobre a transparência fornecida pelos Registros de Transparência no Acesso. A Transparência no acesso fornece registros que capturam as ações realizadas pela equipe do Google ao acessar seus dados do cliente. O Access Approval também oferece uma visualização histórica de todas as solicitações que foram aprovadas, descartadas, revogadas ou expiradas.

Se você quiser gerenciar diretamente o acesso do pessoal do Google aos seus dados de clientes, recomendamos usar o Access Approval. Para mais informações sobre por que o pessoal do Google pode precisar acessar dados do cliente e sobre os princípios de acesso privilegiado do Google Cloud, consulte Acesso privilegiado no Google Cloud.

Como o Access Approval funciona

O Access Approval exige que os administradores do Google solicitem e recebam a aprovação de um administrador autorizado do cliente antes de acessar os dados do cliente. Os clientes são notificados sobre uma solicitação de aprovação pendente usando um e-mail pré-configurado ou uma mensagem do Pub/Sub.

Usando as informações na mensagem, a solicitação de aprovação de acesso pode ser aprovada ou negada no console do Google Cloud ou usando a API Access Approval. O acesso só é concedido após a aprovação do pedido de aprovação de acesso. A aprovação de acesso usa uma chave criptográfica para assinar a solicitação de acesso. A assinatura é usada para verificar a integridade da solicitação. É possível usar uma chave de assinatura gerenciada pelo Google ou trazer sua própria chave de assinatura.

Como o Access Approval funciona com o Assured Workloads

Ao usar a aprovação de acesso com um limite de conformidade do Assured Workloads, as garantias de acesso do pessoal do Assured Workloads são aplicadas antes da avaliação da aprovação de acesso. A solicitação de acesso de aprovação de acesso pode conter parâmetros não compatíveis (como o local global). No entanto, essas condições são secundárias à configuração de carga de trabalho do Assured Workloads.

Por exemplo, se um proprietário de uma pasta do Canadá Protected B receber uma solicitação de aprovação de acesso para o local global, essa solicitação será aplicada primeiro às restrições do Canadá Protected B, e esse pessoal não será aplicado mais restrições regionais de aprovação de acesso.

Usar uma chave de assinatura gerenciada pelo Google é a opção padrão. Se você quiser usar sua própria chave de assinatura, crie uma usando o Cloud KMS ou importe uma chave gerenciada externamente usando o Cloud EKM. Para mais informações sobre como começar a usar uma chave de assinatura personalizada, consulte Configurar a aprovação de acesso usando uma chave de assinatura personalizada.

Serviços do Google que oferecem suporte ao Access Approval

Com o Access Approval, você pode selecionar os serviços do Google Cloud que quer inscrição. A Aprovação de acesso solicita seu consentimento apenas para solicitações de acesso aos dados do cliente armazenados nos serviços selecionados.

Você tem as seguintes opções para inscrever serviços no Access Approval:

Ative automaticamente a Aprovação de acesso para todos os serviços compatíveis, independente do estágio de lançamento do produto, como "Pré-lançamento" ou "Disponibilidade geral" (GA). A seleção dessa opção também inscreve automaticamente todos os serviços compatíveis com a Aprovação de acesso no futuro. Essa é a opção padrão.
Ative a Aprovação de acesso apenas para serviços no estágio de lançamento da disponibilidade geral. A seleção dessa opção também inscreve automaticamente todos os serviços de disponibilidade geral que a Aprovação de acesso vai oferecer no futuro.
Escolha os serviços específicos que você quer inscrever no Access Approval.

Consulte Serviços compatíveis para conferir uma lista completa de serviços compatíveis com o Access Approval.

Exclusões do Access Approval

As exclusões da Transparência no acesso também se aplicam à Aprovação de acesso.

Além dessas exclusões, a solicitação de aprovação pode ser aprovada automaticamente sem a ação do cliente para resolver interrupções urgentes. Essas solicitações de aprovação de acesso aprovadas automaticamente são registradas em um estado auto approved.

A aprovação automática é desativada automaticamente para todas as cargas de trabalho implantadas com controles de soberania de cargas de trabalho garantidas ou controles de soberania por parceiros.

Os clientes que buscam garantir que as solicitações de acesso administrativo só possam ser processadas quando as aprovações forem assinadas com uma chave gerenciada pelo cliente podem configurar o Access Approval com uma chave gerenciada pelo cliente e usar Justificativas de acesso às chaves.

Requisitos para usar o Access Approval

É possível ativar o Access Approval para um projeto do Google Cloud, uma pasta ou uma organização. Antes de ativar o Access Approval, você precisa ativar a Transparência no Acesso para sua organização.

Depois de ativar a transparência no acesso, use o console do Google Cloud para ativar o Access Approval. Para saber como configurar o Access Approval, consulte os guias de início rápido.

Requisitos para uma chave de assinatura personalizada

O uso da chave de assinatura padrão gerenciada pelo Google não requer nenhuma configuração adicional. Para usar sua própria chave de assinatura, crie uma chave de assinatura assimétrica usando o Cloud Key Management Service ou o Cloud External Key Manager para hospedar uma chave de assinatura gerenciada externamente. Para saber mais sobre as limitações relacionadas a chaves de assinatura assimétricas com suporte do Cloud EKM, consulte Restrições para chaves de assinatura assimétricas.

Se você quiser usar uma chave de assinatura gerenciada externamente, recomendamos que você ative o Cloud EKM. Para mais informações sobre como usar o Cloud EKM para gerenciar chaves que não estão armazenadas no Google Cloud, consulte Visão geral do Cloud EKM.

A seguir

Consulte os guias de início rápido para configurar o Access Approval.
Saiba como usar o Terraform para configurar o Access Approval.
Saiba como aprovar solicitações de acesso.
Saiba mais sobre os preços do Access Approval.
Consulte a lista de serviços do Google Cloud compatíveis com o Access Approval.