Access Approval 總覽

本頁面提供 Access Approval 的總覽。我們長期致力於資訊公開透明化、贏得使用者信任,以及讓客戶擁有資料的所有權,而這項存取權核准機制正是我們努力的一部分。資料存取透明化控管機制可協助您瞭解 Google 人員存取客戶資料的時間點,而存取權核准功能則可讓您授權存取權要求。此外,您還能更精細地控管 Google 何時可以存取客戶資料。如果客戶使用以客戶管理的加密金鑰 (CMEK) 簽署的存取權核准,Google 也會透過金鑰存取權理由,讓使用者瞭解並控管金鑰存取權要求。

這些產品各自提供存取權管理功能,讓您控管管理要求,並提供客戶資料存取權的相關資訊。

總覽

使用 Access Approval 後,Cloud Customer Care 和工程團隊每次需要存取客戶資料時,都必須明確取得您的核准。每項核准要求都會經過加密簽署和驗證,以確保其完整性。有效的存取權核准要求隨時可以撤銷。

存取權核准功能可在資料存取透明化記錄提供的資訊之上,提供額外的控制層級。資料存取透明化控管機制會記錄 Google 人員存取客戶資料時採取的動作。Access Approval 也會提供歷史記錄檢視畫面,讓您查看已核准、關閉、撤銷或過期的所有要求。

如果您想直接管理 Google 人員對客戶資料的存取權,建議您使用存取權核准功能。如要進一步瞭解 Google 人員可能需要存取客戶資料的原因,以及Google Cloud的特殊權限存取原則,請參閱「 Google Cloud的特殊權限存取」。

Access Approval 的運作方式

存取權核准功能會要求 Google 管理員先向授權客戶管理員提出要求並獲得核准,才能存取客戶資料。客戶會收到使用預先設定電子郵件或 Pub/Sub 訊息的待核准要求通知。

您可以透過郵件中的資訊,在 Google Cloud 控制台或使用 Access Approval API 核准或拒絕存取核准要求。只有在存取權核准要求獲得核准後,才能授予存取權。存取權核准功能會使用加密編譯金鑰簽署存取要求,並使用簽章驗證要求的完整性。您可以使用 Google 代管的簽署金鑰,也可以自備簽署金鑰。

存取權核准功能與 Assured Workloads 的搭配運作方式

當您將存取權核准功能與 Assured Workloads 法規遵循邊界搭配使用時,系統會先套用 Assured Workloads 人員存取權保證,再評估存取權核准。存取權核准存取要求可能包含不符合規定的參數 (例如 global 位置);不過,這些條件在 Assured Workloads 工作負載設定中屬於次要條件。

舉例來說,如果向加拿大 Protected B 資料夾擁有者傳送 global 位置的存取權核准要求,系統會先將加拿大 Protected B 限制套用至這項要求,而不會對這些人員套用其他存取權核准區域限制。

預設選項為「使用 Google 代管的簽署金鑰」。如果您想使用自己的簽署金鑰,可以使用 Cloud KMS 建立金鑰,或使用 Cloud EKM 匯入外部管理的金鑰。如要進一步瞭解如何開始使用自訂簽署金鑰,請參閱「使用自訂簽署金鑰設定存取權核准」一文。

支援存取權核准的 Google 服務

您可以使用 Access Approval 選取要註冊 Access Approval 的 Google Cloud 服務。存取權核准功能只會針對您所選服務中儲存的客戶資料存取要求,要求您同意。

您可以透過下列選項在 Access Approval 中註冊服務:

  • 無論產品發布階段為何 (例如預先發布或正式發布 (GA)),系統都會自動為所有支援的服務啟用 Access Approval。選取這個選項後,系統也會自動註冊日後 Access Approval 支援的所有服務。這是預設選項。
  • 只為正式發布版階段的服務啟用 Access Approval。選取這個選項後,系統也會自動註冊日後 Access Approval 支援的所有 GA 服務。
  • 選擇要註冊 Access Approval 的特定服務。

如要查看 Access Approval 支援的完整服務清單,請參閱「支援的服務」。

存取權核准要求不適用的情況

資料存取透明化控管機制的排除條件也適用於 Access Approval。

除了這些排除條件外,系統可能會自動核准核准要求,而無須客戶採取行動來解決時間敏感性中斷情形。這類自動核准的存取權核准要求會記錄在 auto approved 狀態。

對於採用「確保工作負載主權控管」或合作夥伴提供的主權控管機制的所有工作負載,系統會自動停用自動核准功能。

如果客戶希望確保只有在使用客戶自行管理的金鑰簽署核准要求時,才能處理管理存取權要求,可以使用客戶自行管理的金鑰設定存取權核准,並使用金鑰存取依據。

使用存取權核准功能的需求

您可以為Google Cloud 專案資料夾機構啟用存取權核准功能。您必須先為貴機構啟用資料存取透明化控管機制,才能啟用存取權核准機制。

啟用資料存取透明化控管機制後,您可以使用 Google Cloud 控制台啟用存取權核准功能。如要瞭解如何設定存取權核准功能,請參閱快速入門

自訂簽署金鑰的相關規定

使用 Google 代管的預設簽署金鑰不需要任何額外設定。如要使用自己的簽署金鑰,您可以使用 Cloud Key Management Service 建立非對稱式簽署金鑰,也可以使用 Cloud External Key Manager 代管外部管理的簽署金鑰。如要瞭解 Cloud EKM 支援的非對稱式簽署金鑰相關限制,請參閱「非對稱式簽署金鑰的限制」。

如果您想使用外部代管的簽署金鑰,建議您啟用 Cloud EKM。如要進一步瞭解如何使用 Cloud EKM 管理未儲存在 Google Cloud中的金鑰,請參閱「Cloud EKM 總覽」。

後續步驟