Die Namen einiger Assured Workload-Kontrollpakete ändern sich. Informationen zur Namensänderung finden Sie im Hinweis zum Umbenennen von Steuerpaketen.

Diese Seite wurde von der Cloud Translation API übersetzt.

Übersicht über die administrativen Zugriffssteuerungen

Auf dieser Seite finden Sie einen Überblick über die grundlegenden Prinzipien, auf denen die administrativen Zugriffssteuerungen vonGoogle Cloudbasieren.

Was ist Administratorzugriff?

Der Administratorzugriff umfasst den Zugriff auf Kundendaten durch Google-Mitarbeiter auf administrativem Wege. Beispiel: Ein Google-Mitarbeiter verwendet ein internes Supporttool, um auf den Inhalt einer Spanner-Datenbank zuzugreifen, um eine Supportanfrage eines Kunden zu diagnostizieren, in der Datenbankprobleme genannt werden.

Ein Beispiel für den Zugriff ohne Administratorrechte ist, einem Google-Mitarbeiter direkten IAM-Zugriff auf Projektebene zu gewähren, indem ihm Standardnutzerberechtigungen im Nutzerbereich zugewiesen werden. Der Zugriff dieses Google-Mitarbeiters auf das Projekt, für das Sie explizit Zugriff gewährt haben, stellt keinen Administratorzugriff dar.

Ziel der administrativen Zugriffskontrollen ist es, sicherzustellen, dass Kundendaten auf Google Cloud nicht ohne nachvollziehbare Begründung und optional ohne ausdrückliche Genehmigung für Google-Mitarbeiter zugänglich sind.

Grundprinzipien

In diesem Abschnitt werden die grundlegenden Prinzipien beschrieben, die für den Zugriff auf Kundendaten beiGoogle Cloud gelten.

Zugriff standardmäßig verweigern: Nutzerinhalte gehören explizit der Nutzerorganisation

Google Cloud legt großen Wert darauf, dass Kundendaten den Kunden gehören. Dies ist die Standardhaltung jedes Google-Mitarbeiters gegenüber Kundendaten.

Die Kontrolle des Rechteinhabers über den administrativen Zugriff ist ein zentrales Anliegen

Zugriffsereignisse sind ein standardmäßiges Betriebselement jedes cloudbasierten Unternehmens. Supportmitarbeiter müssen beispielsweise auf Kundendaten zugreifen, um den angeforderten Support zu leisten, und Entwickler müssen dies möglicherweise tun, um ein Problem zu beheben, das bei der Untersuchung der Supportanfrage entdeckt wurde. Google Cloudbietet vollständige Protokollierungs- und Genehmigungsunterstützung für den Zugriff auf Inhalte mit den Funktionen „Access Transparency“ und „Zugriffsgenehmigung“.

In der folgenden Tabelle wird der Unterschied zwischen automatisiertem und menschlichem Zugriff erläutert:

Automatisierter Zugriff	Menschlicher Zugriff
Kein Mensch kann auf Inhalte zugreifen, sie ansehen oder exportieren, die von diesen Systemen verarbeitet werden. Diese Zugriffe auf Inhalte fallen nicht in den Bereich der Generierung von Access Transparency-Logs. Zum Beispiel Zugriff über Programme, die in regelmäßigen Abständen Kundeninhalte hashen, um auf Datenbeschädigung zu prüfen.	Der Zugriff durch Menschen umfasst jeden Zugriff, der einem Menschen Zugriff auf Nutzerinhalte gewährt oder gewähren kann. Dieser Zugriff umfasst auch den Fall, dass eine Person einen automatisierten Zugriffspfad verwendet, um indirekten Zugriff auf Inhalte zu gewähren. Dieser Inhaltszugriff fällt vollständig unter Access Transparency und Zugriffsgenehmigung.

In der folgenden Tabelle wird der Unterschied zwischen Notfall- und Nicht-Notfallzugriff erläutert:

Notfallzugriff Zugriff ohne Notfall

Diese Art von Zugriff erfolgt, wenn eine dringende Bedrohung der Integrität der Dienste, der Infrastruktur oder der Kundendienste oder -inhalte von Google vorliegt. Ein Zugriff mit einer dieser Begründungen kann die Access Approval-Richtlinie einer Organisation überschreiben. Diese seltene Art des Zugriffs wird in der Zugriffsgenehmigung mit dem Status auto-approved protokolliert. Weitere Informationen zum Status auto-approved finden Sie unter Status einer Zugriffsanfrage. Diese Art von Zugriff besteht, wenn Sie eine Supportanfrage gestellt haben und Supportmitarbeiter Kundendaten einsehen müssen, um Ihnen helfen zu können. Der Zugriff erfüllt nicht die Anforderungen für einen Notfallzugriff.

Notfallzugriff	Zugriff ohne Notfall
Diese Art von Zugriff erfolgt, wenn eine dringende Bedrohung der Integrität der Dienste, der Infrastruktur oder der Kundendienste oder -inhalte von Google vorliegt. Ein Zugriff mit einer dieser Begründungen kann die Access Approval-Richtlinie einer Organisation überschreiben. Diese seltene Art des Zugriffs wird in der Zugriffsgenehmigung mit dem Status `auto-approved` protokolliert. Weitere Informationen zum Status `auto-approved` finden Sie unter Status einer Zugriffsanfrage.	Diese Art von Zugriff besteht, wenn Sie eine Supportanfrage gestellt haben und Supportmitarbeiter Kundendaten einsehen müssen, um Ihnen helfen zu können. Der Zugriff erfüllt nicht die Anforderungen für einen Notfallzugriff.

Für jeden Zugriff ist eine Begründung erforderlich

Der administrative Zugriff ist mit einigen Ausnahmen an eine prüfbare, gültige geschäftliche Begründung gebunden.

Eine vollständige Liste der geschäftlichen Begründungen für den Zugriff auf Kundendaten finden Sie unter Begründungscodes.

Zugriffs-Logging ist universell

Der Administratorzugriff auf Kundendaten wird standardmäßig protokolliert. Nachdem Sie Access Transparency aktiviert haben, werden Audit-Logs nahezu in Echtzeit für jeden Zugriff von Google-Mitarbeitern auf Nutzerinhalte in der Organisation in den Logs der einzelnen Projekte veröffentlicht. Diese Zugriffe werden intern von Google-Prüfern überwacht und sind extern über Access Transparency-Logs sichtbar. Informationen zum Aufrufen dieser Logs finden Sie unter Access Transparency-Logs verstehen und verwenden.

Assured Workloads für zusätzliche Abdeckung verwenden

Assured Workloads bietet administrative Steuerelemente, die den strengeren Richtlinien der Zertifizierungen der US-Regierung entsprechen, einschließlich Einschränkungen des Datenzugriffs durch nicht in den USA ansässige Mitarbeiter.

Weitere Informationen finden Sie unter Steuerung von Mitarbeiterdatenzugriff und Support.