管理员权限控制概览
本页面简要介绍了Google Cloud管理员访问权限控制的设计依据,即核心底层原则。
什么是管理员权限
管理员权限包括 Google 人员通过管理手段访问客户数据的权限。例如,Google 员工使用内部支持工具访问 Spanner 数据库的内容,以诊断客户提出的涉及数据库问题的支持请求。
非管理员访问权限的一个示例是,通过在用户空间中分配标准用户权限,向 Google 员工授予项目级直接 IAM 访问权限。此 Google 员工对您明确授予访问权限的项目的访问权限不构成管理员访问权限。
管理员访问权限控制的目标是确保 Google 员工在未经可审核的理由(以及可选的明确批准)的情况下无法访问 Google Cloud 中的客户数据。
核心原则
本部分介绍了Google Cloud 客户数据访问权限遵循的核心原则。
默认拒绝访问:用户内容明确归用户组织所有
Google Cloud 坚定致力于确保客户数据归客户所有。这是 Google 每位员工对待客户数据的默认态度。
内容所有者对管理员访问权限的控制是我们的一项核心承诺
访问事件是任何云端企业的标准运营要素。例如,支持人员可能需要访问客户数据才能提供所请求的支持服务,工程师可能需要访问客户数据才能深入了解支持请求调查期间发现的问题并加以解决。Google Cloud的理念是通过 Access Transparency 和 Access Approval 功能为内容访问提供完整的日志记录和审批支持。
下表说明了自动访问和人工访问之间的区别:
| 自动访问 | 人工访问 |
|---|---|
| 任何人也无法访问、查看或导出这些系统处理的任何内容。这些内容访问不在生成 Access Transparency 日志的范围内。例如,通过定期对客户内容进行哈希处理以检查数据是否损坏的程序进行访问。 | 人为访问权限包括授予或可以授予用户访问权限的任何访问权限。这种访问包括用户使用自动化访问路径授予对内容的间接访问权限。此内容访问完全在 Access Transparency 和 Access Approval 的适用范围内。 |
下表说明了紧急访问权限和非紧急访问权限之间的区别:
| 紧急访问 | 非紧急访问 |
|---|---|
当 Google 服务、基础架构或任何客户服务或内容的完整性受到紧急威胁时,就会发生此类访问。具有以下任一理由的访问权限可以替换组织的 Access Approval 政策。这种罕见的访问权限会在 Access Approval 中记录,并带有 auto-approved 状态。如需详细了解 auto-approved 状态,请参阅访问权限请求的状态。 |
此类访问权限包括您提交支持请求后,支持人员为了提供帮助而访问的任何客户数据。 |
每项访问都包含一个理由
除非例外情况,否则必须提供可审核的有效业务理由才能获得管理员访问权限。
如需查看访问客户数据的完整业务理由列表,请参阅理由原因代码。
访问日志记录是通用的
默认情况下,系统会记录对客户数据的管理员访问权限。启用 Access Transparency 后,Google 人员对组织中用户内容的任何访问都会记录在近乎实时的审核日志中,并发布到每个项目的日志中。Google 的审核员会在内部监控这些访问,并且这些访问会通过 Access Transparency 日志在外部公开显示。如需了解如何查看这些日志,请参阅了解和使用 Access Transparency 日志。
使用 Assured Workloads 获得更广泛的覆盖
Assured Workloads 可提供符合美国政府认证更严格准则的管理控制措施,包括对非美国人员的数据访问权限进行限制。
如需了解详情,请参阅人员数据访问权限和支持控制。
后续步骤
- Google Cloud的特权访问权限
- 关于管理和保护您存储在 Google Cloud上的内容的白皮书
- 关于欧洲客户的数据驻留情况、运维透明度和隐私权的白皮书
- Key Access Justifications 概览
- Access Transparency 概览
- Access Approval 概览