PhotoRobot 访问控制政策

本文档定义了PhotoRobot的访问控制政策。它描述了 PhotoRobot 如何管理认证、授权和用户账户。访问控制 政策支持遵守PhotoRobot在DPA和SLA下的合同义务。 

‍

‍

认证

• 通过谷歌身份认证（OIDC）进行单点登录
• PhotoRobot Cloud 内没有本地密码
• 谷歌强制执行的密码复杂性和多重身份验证政策

‍

‍

授权（RBAC）

角色包括：

• 生产
• 后台
• 修饰者

访问权限的授予基于以下条件：

• 工作职责 
• 最小特权 原则
• 审批工作流程

‍

‍

配置

• 仅通过单点登录创建的账户
• 访问权限由授权管理员手动授予
• 所有任务记录均有记录

‍

‍

去配置

• 一旦被解雇或角色变更，访问权限将立即被移除
• 执行离职检查表
• 用于审计的日志

‍

‍

会话控制

• 自动会话过期
• 强制执行空闲暂停
• 到期后需重新认证

‍

‍

系统访问审查

• 定期访问审计
• 非活跃账户审查
• 最低权限合规验证

‍

‍

API 访问

• 与服务账户绑定的API密钥
• 按键会定期轮换
• 权限范围涵盖所需资源