Access Approval bietet explizite Kontrolle über Google Support-Zugriffe auf Ihre Cloud-Daten. Jeder Zugriff erfordert manuelle Genehmigung mit vollständiger Audit-Transparenz.
Was ist Access Approval?
Access Approval ist eine Enterprise-Funktion für Google Cloud, die zusätzliche Kontrolle über Support-Zugriffe bietet. Standardmäßig kann Google Support bei technischen Problemen auf Ihre Ressourcen zugreifen, um Issues zu diagnostizieren und zu lösen.
Mit Access Approval ändert sich dies grundlegend. Jeder Support-Zugriff erfordert Ihre explizite Genehmigung. Sie erhalten eine Benachrichtigung mit Details zum angefragten Zugriff, dem Grund, den betroffenen Ressourcen und der Dauer. Ohne Ihre Zustimmung bleibt der Zugriff gesperrt.
Dies ist besonders relevant für regulierte Branchen wie Finanzdienstleistungen, Gesundheitswesen oder öffentliche Verwaltung. DSGVO und andere Compliance-Frameworks verlangen dokumentierte Kontrolle über Datenzugriffe durch Dritte. Access Approval erfüllt diese Anforderungen mit vollständiger Audit-Transparenz über Cloud Audit Logs.
Die Funktion ist exklusiv in Enterprise und Enterprise Plus Support-Tiers verfügbar. Die Integration erfolgt ohne Code-Änderungen und hat keine Auswirkungen auf normale Anwendungs-Workloads.
Wie funktioniert Access Approval?
Der Approval-Workflow läuft in mehreren Schritten ab:
- Support-Case Eskalation: Ein Google Support-Mitarbeiter benötigt Zugriff auf Ihre Ressourcen zur Problemlösung
- Approval-Anfrage: Sie erhalten eine Benachrichtigung per E-Mail und in der Cloud Console
- Prüfung: Die Anfrage enthält Grund, Ressourcen, Zeitdauer und den anfragenden Mitarbeiter
- Entscheidung: Sie genehmigen, lehnen ab oder passen die Zugriffszeit an
- Zugriff: Bei Genehmigung erhält der Support zeitlich begrenzten Zugriff
- Audit: Alle Schritte werden in Cloud Audit Logs protokolliert
Die Genehmigung kann auf Projekt-, Ordner- oder Organisationsebene konfiguriert werden. Granulare Policies ermöglichen Ausnahmen für bestimmte Services oder Ressourcen.
Access Approval vs. Access Transparency
Access Approval und Access Transparency ergänzen sich, haben aber unterschiedliche Funktionen:
| Feature | Access Approval | Access Transparency |
|---|---|---|
| Funktion | Genehmigung erforderlich | Nur Transparenz-Logs |
| Kontrolle | Aktive Zugriffskontrolle | Passive Beobachtung |
| Use Case | Regulierte Branchen | Compliance-Monitoring |
| Support Tier | Enterprise/Enterprise Plus | Premium und höher |
| Verzögerung | Möglich bei Support | Keine |
Access Transparency dokumentiert alle Google-Zugriffe ohne Genehmigungspflicht. Access Approval erfordert explizite Genehmigung. Für maximale Kontrolle kombinieren Unternehmen beide Features.
Best Practices
1. Definieren Sie klare Genehmigungsprozesse
Legen Sie fest, wer Approval-Anfragen genehmigen darf. Definieren Sie Reaktionszeiten für kritische vs. nicht-kritische Cases. Dokumentieren Sie Eskalationspfade bei Abwesenheit.
2. Nutzen Sie automatische Genehmigungen für unkritische Ressourcen
Entwicklungs- und Test-Umgebungen können automatische Genehmigungen erhalten, um Support-Delays zu vermeiden. Produktions-Datenbanken und sensible Systeme erfordern manuelle Genehmigung.
3. Konfigurieren Sie Approval-Zeitfenster sinnvoll
Gewähren Sie ausreichend Zeit für Support-Troubleshooting, aber vermeiden Sie übermäßig lange Zeiträume. Typisch sind 4-8 Stunden für Diagnose-Zugriffe.
4. Überwachen Sie Approval-Logs regelmäßig
Nutzen Sie Cloud Audit Logs für monatliche Reviews aller Approval-Anfragen. Identifizieren Sie Muster oder ungewöhnliche Zugriffswünsche als Teil Ihrer Security-Reviews.
5. Kombinieren Sie mit VPC Service Controls
VPC Service Controls ergänzen Access Approval durch Perimeter-basierte Zugriffskontrolle. Dies verhindert Daten-Exfiltration auch bei genehmigten Support-Zugriffen.
Integration mit innFactory
Als Google Cloud Partner unterstützt innFactory Sie bei der Implementierung von Access Approval:
- Compliance-Strategie: Design von Approval-Workflows für DSGVO, HIPAA oder FINMA-Anforderungen
- Policy-Konfiguration: Setup von granularen Approval-Policies auf Organisations-, Ordner- und Projektebene
- Audit-Integration: Anbindung von Cloud Audit Logs an SIEM-Systeme für zentrale Compliance-Reports
- Zero-Trust Architecture: Integration von Access Approval in umfassende Zero-Trust Security-Modelle
Kontaktieren Sie uns für eine Beratung zu Access Approval und Google Cloud Security.
Verfügbare Varianten & Optionen
Enterprise und Enterprise Plus
- Explizite Genehmigung für Support-Zugriffe
- Audit-Trail aller Zugriffe
- Zeitlich begrenzte Zugriffsrechte
- Regionale Kontrolle über Datenresidenz
- Erfordert Enterprise Support Tier
- Potenzielle Verzögerung bei Support-Cases
Typische Anwendungsfälle
Technische Spezifikationen
Häufig gestellte Fragen
Was ist Access Approval?
Access Approval ist eine Google Cloud Funktion, die explizite Genehmigungen erfordert, bevor Google Support-Mitarbeiter auf Ihre Daten zugreifen können. Bei einem Support-Case erhalten Sie eine Benachrichtigung und müssen den Zugriff manuell genehmigen. Dies bietet zusätzliche Kontrolle und Transparenz, besonders wichtig für regulierte Branchen und DSGVO-Compliance.
Welche Zugriffe erfordern eine Genehmigung?
Access Approval gilt für Google Support-Zugriffe auf Ihre Cloud-Ressourcen wie Compute Engine VMs, Cloud Storage Buckets, Databases oder Logs. Normale API-Aufrufe Ihrer eigenen Anwendungen sind nicht betroffen. Sie kontrollieren ausschließlich Support-seitige Zugriffe von Google-Mitarbeitern.
Wie funktioniert der Genehmigungsprozess?
Bei einem Support-Case mit Datenzugriff erhalten Sie eine Benachrichtigung per E-Mail und in der Cloud Console. Die Anfrage enthält Grund, angefragte Ressourcen, Dauer und den Google-Mitarbeiter. Sie können die Anfrage genehmigen, ablehnen oder eine begrenzte Zeitdauer festlegen. Ohne Genehmigung kann Google nicht auf Ihre Daten zugreifen.
Verzögert Access Approval die Support-Bearbeitung?
Potenziell ja, da der Support auf Ihre Genehmigung warten muss. In kritischen Produktions-Ausfällen kann dies die Problemlösung verzögern. Best Practice ist, Approval-Anfragen zeitnah zu prüfen und ggf. automatische Genehmigungen für bestimmte Ressourcen oder Zeitfenster zu konfigurieren.
Welche Support-Tiers bieten Access Approval?
Access Approval ist exklusiv in Enterprise und Enterprise Plus Support-Tiers verfügbar. Standard und Basic Support haben keinen Zugriff auf diese Funktion. Dies ist Teil der erweiterten Enterprise-Features für regulierte Branchen und hohe Compliance-Anforderungen.
Kann ich Access Approval granular konfigurieren?
Ja, Sie können Access Approval auf Projekt-, Ordner- oder Organisationsebene aktivieren. Zusätzlich lassen sich spezifische Services oder Ressourcen von der Anforderung ausnehmen. Beispiel: Produktions-Datenbanken erfordern Genehmigung, Entwicklungsumgebungen nicht.
Wie hilft Access Approval bei DSGVO-Compliance?
Access Approval bietet dokumentierte Kontrolle über Datenzugriffe durch Dritte (Google Support). Alle Genehmigungen werden in Cloud Audit Logs protokolliert als Nachweis für DSGVO-Audits. In Kombination mit EU-Regionen erfüllt dies Anforderungen an Datensouveränität und Transparenz.
Werden alle Zugriffsanfragen protokolliert?
Ja, alle Access Approval Anfragen werden in Cloud Audit Logs gespeichert, unabhängig ob genehmigt oder abgelehnt. Dies umfasst Zeitstempel, angefragte Ressourcen, Genehmiger und Dauer. Diese Logs sind unveränderbar und dienen als Compliance-Nachweis.
Was kostet Access Approval?
Access Approval ist ohne zusätzliche Kosten in Enterprise und Enterprise Plus Support-Tiers enthalten. Die Support-Tiers selbst sind kostenpflichtig basierend auf Ihrem monatlichen GCP-Spend. Details finden Sie in der Google Cloud Support-Preisliste.
