Diese Seite wurde von der Cloud Translation API übersetzt.

Übersicht über die Zugriffssteuerung für Administratoren

Auf dieser Seite finden Sie einen Überblick über die grundlegenden Prinzipien, auf denen die administrativen Zugriffssteuerungen vonGoogle Cloudbasieren.

Was ist Administratorzugriff?

Der Administratorzugriff umfasst den Zugriff auf Kundendaten durch Google-Mitarbeiter auf administrative Weise. Beispiel: Ein Google-Mitarbeiter verwendet ein internes Supporttool, um auf den Inhalt einer Spanner-Datenbank zuzugreifen und eine Supportanfrage zu diagnostizieren, bei der der Kunde von Datenbankproblemen berichtet.

Ein Beispiel für keinen Administratorzugriff ist die Gewährung direkten IAM-Zugriffs auf Projektebene für einen Google-Mitarbeiter durch Zuweisen von Standardnutzerberechtigungen im Nutzerbereich. Der Zugriff dieses Google-Mitarbeiters auf das Projekt, in dem Sie ihm explizit Zugriff gewährt haben, stellt keinen Administratorzugriff dar.

Mit den Zugriffskontrollen für Administratoren soll sichergestellt werden, dass Google-Mitarbeiter nicht ohne nachprüfbare Begründung und optional ohne ausdrückliche Genehmigung auf Kundendaten auf Google Cloud zugreifen können.

Grundprinzipien

In diesem Abschnitt werden die Grundprinzipien beschrieben, die beim Zugriff auf Kundendaten beiGoogle Cloud eingehalten werden.

Zugriff standardmäßig verweigern: Nutzerinhalte gehören ausdrücklich der Organisation des Nutzers

Google Cloud ist bestrebt, dafür zu sorgen, dass Kundendaten den Kunden gehören. Diese Haltung ist die Standardeinstellung aller Google-Mitarbeiter in Bezug auf Kundendaten.

Kontrolle des Rechteinhabers über den Administratorzugriff ist eine zentrale Verpflichtung

Zugriffsereignisse sind ein Standardbetriebselement jedes cloudbasierten Unternehmens. Beispielsweise müssen Supportmitarbeiter möglicherweise auf Kundendaten zugreifen, um den angeforderten Support zu leisten, und Entwickler müssen dies möglicherweise tun, um ein Problem zu beheben, das bei der Untersuchung der Supportanfrage festgestellt wurde. Google Cloudmöchte mit den Funktionen „Access Transparency“ und „Access Approval“ eine vollständige Protokollierung und Genehmigung für den Zugriff auf Inhalte ermöglichen.

In der folgenden Tabelle wird der Unterschied zwischen automatisiertem und menschlichem Zugriff erläutert:

Automatisierter Zugriff	Zugriff durch Personen
Niemand kann auf Inhalte zugreifen, die von diesen Systemen verarbeitet werden, sie ansehen oder exportieren. Diese Zugriffe auf Inhalte fallen nicht in den Geltungsbereich der Access Transparency-Logs. Dazu gehören beispielsweise Programme, die Kundeninhalte regelmäßig hashen, um sie auf Datenbeschädigungen zu prüfen.	Der Zugriff von Personen umfasst jeden Zugriff, der einem Nutzer Zugriff auf Nutzerinhalte gewährt oder gewähren kann. Dazu gehört auch, dass eine natürliche Person einen automatisierten Zugriffspfad verwendet, um indirekten Zugriff auf Inhalte zu gewähren. Dieser Zugriff auf Inhalte fällt vollständig unter Access Transparency und die Zugriffsgenehmigung.

In der folgenden Tabelle wird der Unterschied zwischen Notfallzugriff und nicht dringlichem Zugriff erläutert:

Notfallzugriff Zugriff bei nicht lebensbedrohlichen Notfällen

Dieser Zugriff erfolgt, wenn eine dringende Bedrohung für die Integrität der Google-Dienste, der Google-Infrastruktur oder der Dienste oder Inhalte eines Kunden vorliegt. Ein Zugriff mit einer dieser Begründungen kann die Richtlinie für Zugriffsgenehmigungen einer Organisation überschreiben. Dieser seltene Zugriffstyp wird in der Zugriffsgenehmigung mit dem Status auto-approved protokolliert. Weitere Informationen zum Status auto-approved finden Sie unter Status einer Zugriffsanfrage. Diese Art von Zugriff umfasst alle Zugriffe, bei denen Sie eine Supportanfrage gestellt haben und Supportmitarbeiter Kundendaten sehen müssen, um Ihnen helfen zu können.

Notfallzugriff	Zugriff bei nicht lebensbedrohlichen Notfällen
Dieser Zugriff erfolgt, wenn eine dringende Bedrohung für die Integrität der Google-Dienste, der Google-Infrastruktur oder der Dienste oder Inhalte eines Kunden vorliegt. Ein Zugriff mit einer dieser Begründungen kann die Richtlinie für Zugriffsgenehmigungen einer Organisation überschreiben. Dieser seltene Zugriffstyp wird in der Zugriffsgenehmigung mit dem Status `auto-approved` protokolliert. Weitere Informationen zum Status `auto-approved` finden Sie unter Status einer Zugriffsanfrage.	Diese Art von Zugriff umfasst alle Zugriffe, bei denen Sie eine Supportanfrage gestellt haben und Supportmitarbeiter Kundendaten sehen müssen, um Ihnen helfen zu können.

Jeder Zugriff muss begründet sein

Der Administratorzugriff ist mit einigen Ausnahmen an eine überprüfbare, gültige geschäftliche Begründung gebunden.

Eine vollständige Liste der geschäftlichen Begründungen für den Zugriff auf Kundendaten finden Sie unter Justifications-Gründe.

Zugriffs-Logging ist universell

Der Administratorzugriff auf Kundendaten wird standardmäßig protokolliert. Nachdem Sie Access Transparency aktiviert haben, werden Audit-Logs nahezu in Echtzeit zu jedem Zugriff von Google-Mitarbeitern auf Nutzerinhalte in der Organisation in den Logs der einzelnen Projekte veröffentlicht. Diese Zugriffe werden intern von den Prüfern von Google überwacht und sind extern über Access Transparency-Logs sichtbar. Informationen zum Aufrufen dieser Protokolle finden Sie im Hilfeartikel Access Transparency-Logs verstehen und verwenden.

Assured Workloads für zusätzliche Abdeckung verwenden

Assured Workloads kann Verwaltungssteuerelemente bereitstellen, die den strengeren Richtlinien entsprechen, die durch Zertifizierungen der US-Regierung festgelegt wurden, einschließlich Einschränkungen des Datenzugriffs durch Personen, die nicht in den USA ansässig sind.

Weitere Informationen finden Sie unter Steuerung von Mitarbeiterdatenzugriff und Support.