管理员权限控制概览
本页面简要介绍了Google Cloud管理员权限控制所依据的核心基本原则。
什么是管理员权限
管理员访问权限包括 Google 人员通过管理方式访问客户数据的权限。例如,Google 员工使用内部支持工具访问 Spanner 数据库的内容,以诊断客户提出的支持请求(其中提及了数据库问题)。
非管理员权限的一个示例是在用户空间中分配标准用户权限,从而授予 Google 员工项目级直接 IAM 访问权限。您明确授予访问权限的项目中,相应 Google 员工的访问权限不属于管理员权限。
管理员权限控制的目标是确保 Google Cloud 上的客户数据在没有可审核的正当理由或(如适用)明确批准的情况下,不会被 Google 员工访问。
核心原则
本部分介绍了Google Cloud 在访问客户数据时遵循的核心原则。
默认拒绝访问:用户内容明确属于用户组织
Google Cloud 坚定承诺确保客户数据归客户所有。这是每位 Google 员工对客户数据的默认立场。
内容所有者对管理员权限的控制是一项核心承诺
访问事件是任何基于云的业务的标准运营要素。例如,支持人员可能需要访问客户数据才能提供所请求的支持,而工程师可能需要访问客户数据才能深入调查支持请求调查期间发现的问题,并解决该问题。 Google Cloud的理念是,通过 Access Transparency 和 Access Approval 功能,为内容访问提供完整的日志记录和审批支持。
下表说明了自动化访问与人工访问之间的区别:
| 自动访问 | 人工访问 |
|---|---|
| 任何人都无法访问、查看或导出这些系统处理的任何内容。这些内容访问不在生成 Access Transparency 日志的范围内。例如,通过定期对客户内容进行哈希处理以检查数据损坏情况的程序进行访问。 | 人工访问是指授予或可以授予人类用户内容访问权限的任何访问。此访问权限包括���用自动化访问路径授予对内容间接访问权限的人员。此内容访问完全在 Access Transparency 和 Access Approval 的范围内。 |
下表说明了紧急访问与非紧急访问之间的区别:
| 紧急访问 | 非紧急访问 |
|---|---|
当 Google 的服务、基础架构或任何客户服务或内容面临紧急威胁时,就会发生此类访问。如果访问具有以下任一理由,则可以替换组织的 Access Approval 政策。
这种罕见的访问类型会在 Access Approval 中记录为 auto-approved 状态。如需详细了解 auto-approved 状态,请参阅访问权限请求的状态。 |
此类访问是指您已提交支持请求,并且支持人员必须查看客户数据才能提供帮助,但访问不符合紧急访问的要求。 |
每次访问都需要提供正当理由
管理员访问权限受到可审核的有效业务理由的限制,但也有一些例外情况。
如需查看访问客户数据的完整业务理由列表,请参阅理由原因代码。
访问日志记录是通用的
默认情况下,系统会记录对客户数据的管理员访问权限。启用 Access Transparency 后,Google 人员对组织中用户内容的任何访问活动都会以近乎实时的速度记录在每个项目的日志中。Google 的审核人员会在内部监控这些访问,并且可以通过 Access Transparency 日志在外部查看这些访问。如需了解如何查看这些日志,请参阅了解和使用 Access Transparency 日志。
使用 Assured Workloads 进一步扩大覆盖范围
Assured Workloads 可提供符合美国政府认证所规定的更严格准则的管理员控制措施,包括限制非美国人员对数据的访问权限。
如需了解详情,请参阅人员数据访问权限和支持控制。
后续步骤
- Google Cloud的特权访问权限
- 有关管理和保护存储在 Google Cloud上的内容的白皮书
- 关于欧洲客户的数据驻留情况、运维透明度和隐私权的白皮书
- Key Access Justifications 概览
- Access Transparency 概览
- Access Approval 概览