Visão geral do Access Approval

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

O Access Approval garante que o Cloud Customer Care e a engenharia exijam sua aprovação explícita sempre que forem necessários para acessar o conteúdo do cliente. A aprovação é verificada criptograficamente para garantir a integridade da aprovação de acesso.

Se você quiser gerenciar diretamente o acesso ao seu conteúdo pela equipe do Google, recomendamos usar a aprovação de acesso.

Introdução

A aprovação de acesso ajuda na implementação do princípio de segurança de menor privilégio, que declara que ninguém precisa ter mais permissões e acesso do que o necessário. Mesmo depois que você conceder acesso, a equipe do Google só poderá ver o conteúdo que é absolutamente essencial para cumprir uma obrigação de prestar um serviço contratado. Por exemplo, a equipe de suporte ao cliente da linha de frente só pode acessar informações sobre os ambientes do cliente que são absolutamente essenciais para depurar problemas de suporte ao cliente.

Para saber mais sobre por que os funcionários do Google podem precisar acessar o conteúdo do cliente e sobre os princípios de acesso privilegiados do Google, consulte Acesso privilegiado no Google.

Além disso, eles oferecem uma camada extra de controle além da transparência que os registros de transparência no acesso oferecem. A transparência no acesso fornece registros que capturam as ações realizadas pela equipe do Google ao acessar seu conteúdo. O Access Approval também fornece uma visualização histórica de todas as solicitações que foram aprovadas, descartadas ou expiradas.

Como o Access Approval funciona

O Access Approval envia um e-mail ou uma mensagem do Pub/Sub com uma solicitação de acesso que você pode aprovar.

Com as informações da mensagem, é possível usar o Console do Google Cloud ou a API Access Approval para aprovar ou recusar o acesso. O Access Approval usa uma chave criptográfica para assinar a solicitação de acesso. Essa assinatura é usada para verificar a integridade da aprovação do acesso. Você pode usar uma chave de assinatura gerenciada pelo Google ou usar sua própria chave de assinatura.

Usar uma chave de assinatura gerenciada pelo Google é a opção padrão. Se você quiser usar a própria chave de assinatura, crie uma usando o Cloud KMS ou use uma chave gerenciada externamente com o Cloud EKM. Para saber mais sobre como começar a usar uma chave de assinatura personalizada, consulte Configurar o Access Approval com uma chave de assinatura personalizada.

Serviços do Google que oferecem suporte ao Access Approval

Com a aprovação de acesso, é possível selecionar os serviços do Google Cloud em que você quer se inscrever no Access Approval. O Access Approval solicita seu consentimento apenas para solicitações de acesso ao conteúdo armazenado nos serviços selecionados.

Você tem as seguintes opções para inscrever serviços no Access Approval:

  • Ative automaticamente o Access Approval para todos os serviços compatíveis, seja qual for o nível de suporte (visualização ou GA). Essa opção também inscreve automaticamente todos os serviços compatíveis com a Aprovação de acesso no futuro. Essa é a opção padrão.
  • Ative o Access Approval apenas para serviços compatíveis com o nível de disponibilidade geral. A seleção dessa opção também inscreve automaticamente todos os serviços compatíveis com o Access Approval no nível do GA.
  • Escolha os serviços específicos em que você quer se inscrever no Access Approval.

Veja a lista completa de serviços compatíveis com o Access Approval em Serviços compatíveis.

Exclusões do Access Approval

As seguintes ações do Google não acionam uma solicitação do Access Approval:

  • Acesso do sistema ao conteúdo do usuário. Estes são acessos programáticos, não realizados por pessoas de processos autorizados e revisados do Google. Por exemplo, um job de compactação executado na destruição de conteúdo ou disco durante o processo de exclusão de conteúdo. Esses acessos são verificados por nossa funcionalidade de autorização binária, que verifica se o job se origina do código que foi verificado na produção e revisado por uma segunda parte.

  • Falhas temporárias de vários clientes com grande impacto generalizado.

  • Qualquer outra exceção documentada nas exclusões de transparência no acesso. Tudo o que não gerar um registro de transparência no acesso também não gera uma solicitação de aprovação de acesso.

Requisitos para usar o Access Approval

É possível ativar o Access Approval para um projeto do Google Cloud, pasta ou organização. Antes de ativar a Aprovação de acesso, é preciso ativar a transparência no acesso no mesmo nível na hierarquia de recursos ou superior.

Depois de ativar a transparência no acesso, você pode usar o Console do Google Cloud para ativar o Access Approval. Para saber como configurar a aprovação de acesso, consulte os guias de início rápido.

Requisitos para uma chave de assinatura personalizada

O uso da chave de assinatura padrão gerenciada pelo Google não requer configuração adicional. Para usar sua própria chave de assinatura, crie uma chave de assinatura assimétrica usando o Cloud Key Management Service ou use o Cloud External Key Manager para hospedar uma chave de assinatura gerenciada externamente.

Se você quiser usar uma chave de assinatura gerenciada externamente, recomendamos ativar o Cloud EKM. Para mais informações sobre como usar o Cloud EKM para gerenciar chaves que não estão armazenadas no Google Cloud, consulte Visão geral do Cloud EKM.

A seguir