Visão geral dos controles de acesso administrativo

Esta página oferece uma visão geral dos princípios básicos em que os controles de acesso administrativo doGoogle Cloudsão projetados.

O que é o acesso administrativo

O acesso administrativo inclui o acesso aos Dados do Cliente pela equipe do Google por meios administrativos. Por exemplo, um funcionário do Google que usa uma ferramenta de suporte interno para acessar o conteúdo de um banco de dados do Spanner e diagnosticar um caso de suporte criado pelo cliente que cita problemas no banco de dados.

Um exemplo de acesso não administrativo é conceder a um funcionário do Google acesso direto ao IAM no nível do projeto, atribuindo permissões de usuário padrão no espaço do usuário. O acesso feito por esse funcionário do Google no projeto em que você concedeu acesso explicitamente não constitui acesso administrativo.

O objetivo dos controles de acesso administrativo é garantir que os Dados do cliente em Google Cloud não sejam acessíveis para funcionários do Google sem uma justificativa auditável e, opcionalmente, uma aprovação explícita.

Princípios básicos

Esta seção descreve os princípios básicos que o acesso aos dados do cliente no Google Cloud segue.

Negar acesso por padrão: o conteúdo do usuário pertence explicitamente à organização do usuário

AGoogle Cloud tem o compromisso de garantir que os dados do cliente pertençam aos clientes. Essa é a postura padrão de todos os funcionários do Google em relação aos dados do cliente.

O controle do proprietário do conteúdo sobre o acesso administrativo é um compromisso fundamental

Os eventos de acesso são um elemento operacional padrão de qualquer empresa baseada na nuvem. Por exemplo, a equipe de suporte pode precisar acessar os dados do cliente para fornecer o suporte solicitado, e os engenheiros podem precisar fazer isso para investigar mais a fundo e resolver um problema descoberto durante a investigação da solicitação de suporte. A filosofia doGoogle Cloudé oferecer suporte completo de registro e aprovação para o acesso ao conteúdo com os recursos de Transparência no acesso e Aprovação de acesso.

A tabela a seguir explica a diferença entre o acesso automatizado e o humano:

Acesso automatizado Acesso humano
Nenhum humano pode acessar, visualizar ou exportar qualquer conteúdo processado por esses sistemas. Esses acessos de conteúdo estão fora do escopo para a geração de registros de transparência no acesso. Por exemplo, o acesso por programas que geram hash periodicamente do conteúdo do cliente para verificar se há corrupção de dados. O acesso humano consiste em qualquer acesso que conceda ou possa conceder a um humano acesso ao conteúdo do usuário. Esse acesso inclui uma pessoa usando um caminho de acesso automatizado para conceder acesso indireto ao conteúdo. Esse acesso ao conteúdo está completamente no escopo da transparência no acesso e da aprovação de acesso.

A tabela a seguir explica a diferença entre acesso de emergência e não emergência:

Acesso de emergência Acesso não emergencial
Esse tipo de acesso ocorre quando há uma ameaça urgente à integridade dos serviços ou da infraestrutura do Google ou a qualquer serviço ou conteúdo do cliente. Um acesso com uma dessas justificativas pode substituir a política de aprovação de acesso de uma organização. Esse tipo raro de acesso é registrado na aprovação de acesso com o status auto-approved. Para mais informações sobre o status auto-approved, consulte Status de uma solicitação de acesso. Esse tipo de acesso consiste em qualquer pedido de suporte que você tenha enviado, e a equipe de suporte precisa analisar os dados do cliente para ajudar. O acesso que não atende aos requisitos de um acesso de emergência.

Cada acesso tem uma justificativa

O acesso administrativo é limitado por uma justificativa comercial válida e auditável, com algumas exceções.

Para conferir a lista completa de justificativas comerciais para acessar os dados do cliente, consulte Códigos de motivo de justificativa.

A geração de registros de acesso é universal

O acesso administrativo aos dados do cliente é registrado por padrão. Depois de ativar a transparência no acesso, os registros de auditoria quase em tempo real de qualquer acesso do pessoal do Google ao conteúdo do usuário na organização são publicados nos registros de cada projeto. Esses acessos são monitorados internamente pelos auditores do Google e são visíveis externamente nos registros de transparência no acesso. Para saber como visualizar esses registros, consulte Como entender e usar os registros de transparência no acesso.

Usar o Assured Workloads para mais cobertura

O Assured Workloads pode oferecer controles administrativos que atendam às diretrizes mais rígidas estabelecidas pelas certificações do governo dos EUA, incluindo restrições ao acesso de dados por funcionários de outros países.

Para mais informações, consulte Acesso a dados pessoais e controles de suporte.

A seguir