このページは Cloud Translation API によって翻訳されました。

管理アクセス制御の概要

このページでは、Google Cloud の管理アクセス制御に基づいて設計された基本原則の概要を説明します。

管理アクセスとは

管理アクセスには、管理的手段での Google 従業員による顧客コンテンツへのアクセスが含まれます。たとえば、データベースの機能の問題に言及するお客様のサポートケースを診断するために、Google 社員が内部サポートツールを使用して Cloud Spanner データベースのコンテンツにアクセスする場合があります。

非管理アクセスの一例は、ユーザー空間で標準ユーザー権限を割り当てることで、Google 社員にプロジェクトレベルでの IAM への直接アクセス権を付与することです。明示的にアクセス権を付与したプロジェクトでのこの Google 社員によるアクセスは、管理アクセスには含まれません。

管理者アクセス制御の目的は、監査可能な理由と、必要に応じて明示的な承認がなければ、Google Cloud のお客様のコンテンツが Google 従業員にアクセスできないようにすることです。

基本原則

このセクションでは、Google Cloud が遵守するお客様のコンテンツアクセスの基本原則について説明します。

デフォルトでアクセスを拒否する: ユーザーコンテンツはユーザー組織に明示的に属する

Google Cloud は、お客様のコンテンツがお客様に属することを保証することに強くコミットしています。このスタンスは、すべての Google 社員が顧客コンテンツに対してとるデフォルトの姿勢です。

コンテンツ所有者の管理アクセスに対する管理は基本のコミットメントである

アクセスイベントは、クラウドベースのビジネスの標準的な運用要素です。たとえば、サポート担当者は要求されたサポートを提供するためにお客様のコンテンツにアクセスする必要があり、エンジニアはサポートリクエストの調査中に発見された問題の解決のためにより深く掘り下げるために、アクセスする必要がある場合があります。Google Cloud の方針は、アクセスの透明性と Access Approval の機能を使用して、コンテンツアクセスの完全なロギングと承認をサポートすることです。

次の表に、自動アクセスと人間によるアクセスの違いを示します。

自動アクセス	人間によるアクセス
人間は、これらのシステムで扱われるコンテンツのアクセス、表示、エクスポートを行うことができません。これらのコンテンツアクセスは、アクセスの透明性ログの生成の対象外です。たとえば、顧客コンテンツを定期的にハッシュ化してデータの破損を確認するプログラムによるアクセスなどです。	人間によるアクセスとは、ユーザーコンテンツへの人間によるアクセスを許可する、または許可できるアクセスのことです。このアクセスには、自動化されたアクセスパスを使用してコンテンツへの間接アクセスを許可する人間が含まれます。このコンテンツアクセスは、アクセスの透明性とアクセスの承認のスコープに完全に含まれます。

自動アクセス

人間によるアクセス

人間は、これらのシステムで扱われるコンテンツのアクセス、表示、エクスポートを行うことができません。これらのコンテンツアクセスは、アクセスの透明性ログの生成の対象外です。たとえば、顧客コンテンツを定期的にハッシュ化してデータの破損を確認するプログラムによるアクセスなどです。

人間によるアクセスとは、ユーザーコンテンツへの人間によるアクセスを許可する、または許可できるアクセスのことです。このアクセスには、自動化されたアクセスパスを使用してコンテンツへの間接アクセスを許可する人間が含まれます。このコンテンツアクセスは、アクセスの透明性とアクセスの承認のスコープに完全に含まれます。

次の表に、緊急アクセスと緊急以外のアクセスの違いを示します。

緊急アクセス非緊急アクセス権

このタイプのアクセスは、Google のサービス、インフラストラクチャ、またはカスタマーサービスやコンテンツの整合性に対する緊急の脅威がある場合に発生します。これらの理由のいずれかによるアクセスでは、組織の Access Approval ポリシーをオーバーライドできます。このまれなタイプのアクセスは、アクセス承認に auto-approved ステータスで記録されます。auto-approved ステータスの詳細については、アクセスリクエストのステータスをご覧ください。このタイプのアクセスは、あらゆる提出したサポートリクエストで構成され、サポート担当者は、サポートするためにお客様のコンテンツを調べる必要があります。緊急アクセスの要件を満たさないアクセス。

緊急アクセス	非緊急アクセス権
このタイプのアクセスは、Google のサービス、インフラストラクチャ、またはカスタマーサービスやコンテンツの整合性に対する緊急の脅威がある場合に発生します。これらの理由のいずれかによるアクセスでは、組織の Access Approval ポリシーをオーバーライドできます。このまれなタイプのアクセスは、アクセス承認に `auto-approved` ステータスで記録されます。`auto-approved` ステータスの詳細については、アクセスリクエストのステータスをご覧ください。	このタイプのアクセスは、あらゆる提出したサポートリクエストで構成され、サポート担当者は、サポートするためにお客様のコンテンツを調べる必要があります。緊急アクセスの要件を満たさないアクセス。

すべてのアクセスには理由がある

管理アクセスは、一部の例外とともに、監査可能な有効なビジネス上の正当な理由を裏付けとして囲われています。

お客様のコンテンツにアクセスするためのビジネス上の正当な理由の一覧については、正当化理由コードをご覧ください。

アクセスロギングはユニバーサル

お客様のコンテンツに対する管理アクセスは、デフォルトでログに記録されます。アクセスの透明性を有効にすると、Google の担当者による組織内のユーザーコンテンツへのアクセスがほぼリアルタイムで各プロジェクトのログに記録されます。これらのアクセスは Google の監査担当者によって内部でモニタリングされ、アクセスの透明性ログを通じて外部から確認できます。これらのログの表示については、アクセスの透明性ログを理解して使用するをご覧ください。

Assured Workloads を使用してカバレッジを拡大する

Assured Workloads では、米国政府の認証で規定されているより厳格なガイドライン（米国以外の人によるデータアクセスの制限など）を満たす管理コントロールを提供できます。

詳細については、担当者のデータのアクセスとサポートの管理をご覧ください。