Présentation des contrôles des accès administrateur
Cette page présente les principes de base sur lesquels reposent les contrôles d'accès administrateur deGoogle Cloud.
Qu'est-ce qu'un accès administrateur ?
L'accès administrateur inclut l'accès aux Données client par le personnel Google par des moyens administratifs. Par exemple, un employé Google qui utilise un outil d'assistance interne pour accéder au contenu d'une base de données Spanner afin de diagnostiquer une demande d'assistance client qui cite des problèmes de base de données.
Un exemple d'accès non administratif consiste à accorder à un employé Google un accès IAM direct au niveau du projet en lui attribuant des autorisations d'utilisateur standard dans l'espace utilisateur. L'accès de cet employé Google au projet auquel vous avez explicitement accordé l'accès ne constitue pas un accès administrateur.
L'objectif des contrôles d'accès administrateur est de s'assurer que les données client sur Google Cloud ne sont pas accessibles aux employés Google sans justification auditable et, éventuellement, sans approbation explicite.
Principes de base
Cette section décrit les principes fondamentaux auxquels l'accès aux données client chezGoogle Cloud est soumis.
Accès refusé par défaut : le contenu utilisateur appartient explicitement à l'organisation de l'utilisateur
Google Cloud s'engage fermement à garantir que les données client appartiennent aux clients. Il s'agit de la position par défaut de chaque employé Google vis-à-vis des données client.
L'engagement fondamental de Google est de permettre aux propriétaires de contenu de contrôler l'accès administratif.
Les événements d'accès sont un élément opérationnel standard de toute entreprise basée sur le cloud. Par exemple, le personnel d'assistance peut avoir besoin d'accéder aux Données client pour fournir l'assistance demandée, et les ingénieurs peuvent avoir besoin de le faire pour approfondir l'analyse et résoudre un problème découvert lors de l'examen de la demande d'assistance. La philosophie deGoogle Cloudest de fournir une assistance complète pour la journalisation et l'approbation de l'accès au contenu grâce aux fonctionnalités Access Transparency et Access Approval.
Le tableau suivant explique la différence entre l'accès automatisé et l'accès humain :
| Accès automatisé | Accès humain |
|---|---|
| Aucun humain ne peut accéder, consulter ni exporter le contenu géré par ces systèmes. Ces accès au contenu ne sont pas pris en compte pour la génération des journaux Access Transparency. Par exemple, l'accès via des programmes qui hachent périodiquement le contenu client pour vérifier si les données sont corrompues. | L'accès humain désigne tout accès qui accorde ou peut accorder à une personne l'accès au contenu utilisateur. Cet accès inclut une personne utilisant un chemin d'accès automatisé pour accorder un accès indirect au contenu. Cet accès au contenu est entièrement couvert par Access Transparency et Access Approval. |
Le tableau suivant explique la différence entre l'accès d'urgence et l'accès non urgent :
| Accès d'urgence | Accès non urgent |
|---|---|
Ce type d'accès se produit en cas de menace urgente pour l'intégrité des services ou de l'infrastructure de Google, ou pour les services ou contenus des clients. Un accès avec l'une de ces justifications peut remplacer la règle Access Approval d'une organisation.
Ce type d'accès rare est consigné dans Access Approval avec l'état auto-approved. Pour en savoir plus sur l'état auto-approved, consultez État d'une demande d'accès. |
Ce type d'accès concerne toute demande d'assistance que vous avez déposée et pour laquelle le personnel d'assistance doit examiner les données client pour pouvoir vous aider. Il s'agit d'un accès qui ne répond pas aux exigences d'un accès d'urgence. |
Chaque accès nécessite une justification
L'accès administrateur est soumis à une justification métier valide et vérifiable, à quelques exceptions près.
Pour obtenir la liste complète des justifications métier permettant d'accéder aux données client, consultez Codes de motifs de justification.
La journalisation des accès est universelle
L'accès administrateur aux données client est consigné par défaut. Une fois que vous avez activé Access Transparency, des journaux d'audit en temps quasi réel de tout accès au contenu utilisateur dans l'organisation par le personnel Google sont publiés dans les journaux de chaque projet. Ces accès sont contrôlés en interne par les auditeurs de Google et sont visibles en externe grâce aux journaux Access Transparency. Pour savoir comment afficher ces journaux, consultez Comprendre et utiliser les journaux Access Transparency.
Utiliser Assured Workloads pour une couverture plus étendue
Assured Workloads peut fournir des contrôles administratifs qui répondent aux consignes plus strictes définies par les certifications du gouvernement américain, y compris les restrictions sur l'accès aux données par le personnel non américain.
Pour en savoir plus, consultez Contrôles d'accès aux données et d'assistance pour le personnel.
Étapes suivantes
- Accès privilégié à Google Cloud
- Livre blanc sur la gestion et la protection de vos contenus stockés sur Google Cloud
- Livre blanc sur la résidence des données, la transparence opérationnelle et la confidentialité pour les clients européens
- Présentation de Key Access Justifications
- Présentation d'Access Transparency
- Présentation d'Access Approval