Comprendere e utilizzare i log di Access Transparency

Questa pagina descrive i contenuti delle voci di log di Access Transparency e come visualizzarle e utilizzarle.

Log di Access Transparency in dettaglio

I log di Access Transparency possono essere integrati con gli strumenti di gestione degli eventi e delle informazioni di sicurezza (SIEM) esistenti per automatizzare i controlli del personale Google quando accede ai contenuti. I log di Access Transparency sono disponibili nella console Google Cloud insieme ai log di Cloud Audit Logs.

Le voci dei log di Access Transparency includono i seguenti tipi di dettagli:

La risorsa e l'azione interessate.
L'ora dell'azione.
I motivi dell'azione (ad esempio, il numero associato a una richiesta di assistenza clienti).
Dati su chi agisce sui contenuti (ad esempio, la posizione del personale di Google).

Attivazione di Access Transparency

Per informazioni sull'attivazione di Access Transparency per la tua organizzazione Google Cloud, consulta Attivazione di Access Transparency.

Visualizzazione dei log di Access Transparency

Dopo aver configurato Access Transparency per la tua organizzazione Google Cloud, puoi impostare i controlli relativi agli utenti che possono accedere ai log di Access Transparency assegnando a un utente o a un gruppo il ruolo Visualizzatore log privati. Per i dettagli, consulta la guida al controllo dell'accesso di Cloud Logging.

Per visualizzare i log di Access Transparency, utilizza il seguente filtro di logging di Google Cloud Observability.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Per scoprire come visualizzare i log di Access Transparency in Esplora log, consulta Utilizzo di Esplora log.

Puoi anche monitorare i log utilizzando l'API Cloud Monitoring o Cloud Functions. Per iniziare, consulta la documentazione di Cloud Monitoring.

(Facoltativo) Crea una metrica basata su log, quindi configura un criterio di avviso per comunicare tempestivamente i problemi segnalati da questi log.

Esempio di voce di log di Access Transparency

Di seguito è riportato un esempio di voce del log di Access Transparency:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Descrizione dei campi del log

Campo	Descrizione
`insertId`	Identificatore univoco del log.
`@type`	Identificatore del log di Access Transparency.
`principalOfficeCountry`	Codice paese ISO 3166-1 alpha-2 del paese in cui chi ha eseguito l'accesso ha un ufficio permanente, `??` se la località non è disponibile o identificatore del continente di 3 caratteri in cui il personale Google si trova in un paese a bassa densità di popolazione.
`principalEmployingEntity`	L'entità che impiega il personale Google che esegue l'accesso (ad esempio, `Google LLC`).
`principalPhysicalLocationCountry`	Il codice paese ISO 3166-1 alpha-2 del paese da cui è stato effettuato l'accesso, `??` se la posizione non è disponibile o l'identificatore del continente di 3 caratteri in cui il personale Google si trova in un paese a bassa densità di popolazione.
`principalJobTitle`	La famiglia di lavori del personale Google che effettua l'accesso.
`product`	Il prodotto Google Cloud del cliente al quale è stato eseguito l'accesso.
`reason:detail`	Dettagli del motivo, ad esempio l'ID di un ticket di assistenza.
`reason:type`	Accedi al tipo di motivo (ad esempio, `CUSTOMER_INITIATED_SUPPORT)`.
`accesses:methodName`	Il tipo di accesso effettuato. Ad esempio, `GoogleInternal.Read`. Per ulteriori informazioni sui metodi che possono essere visualizzati nel campo `methodName`, consulta la sezione Valori per il campo `accesses: methodName`.
`accesses:resourceName`	Nome della risorsa a cui è stato eseguito l'accesso.
`accessApprovals`	Include i nomi delle risorse delle richieste Access Approval che hanno approvato l'accesso. Queste richieste sono soggette a esclusioni e servizi supportati. Questo campo viene compilato solo se Access Approval è abilitato per le risorse a cui è stato eseguito l'accesso. Questo campo non verrà compilato per i log di Access Transparency pubblicati prima del 24 marzo 2021.
`logName`	Nome della posizione del log.
`operation:id`	ID cluster di log.
`receiveTimestamp`	L'ora in cui la pipeline di logging ha ricevuto l'accesso.
`project_id`	Progetto associato alla risorsa a cui è stato eseguito l'accesso.
`type`	Tipo di risorsa a cui è stato eseguito l'accesso (ad esempio `project`).
`eventId`	ID evento univoco associato a una giustificazione dell'evento di accesso singolo (ad esempio, una singola richiesta di assistenza). Tutti gli accessi registrati con la stessa giustificazione hanno lo stesso valore `event_id`.
`severity`	Registra gravità.
`timestamp`	L'ora in cui è stato creato il log.

Valori per il campo `accesses:methodNames`

Nel campo accesses:methodNames dei log di Access Transparency possono essere visualizzati i seguenti metodi:

Metodi standard: List, Get, Create, Update e Delete. Per ulteriori informazioni, consulta la sezione Metodi standard.
Metodi personalizzati: i metodi personalizzati fanno riferimento ai metodi API oltre ai cinque metodi standard. I metodi personalizzati più comuni sono Cancel, BatchGet, Move, Search e Undelete. Per saperne di più, consulta l'articolo Metodi personalizzati.
Metodi interni di Google: nel campo accesses:methodNames possono essere visualizzati i seguenti metodi GoogleInternal:

Nome metodo	Descrizione	Esempi
`GoogleInternal.Read`	Indica un'azione di lettura eseguita sui contenuti del cliente con una giustificazione aziendale valida. L'azione di lettura avviene utilizzando un'API interna progettata appositamente per amministrare i servizi Google Cloud. Questo metodo non modifica i contenuti dei clienti.	Lettura delle autorizzazioni IAM.
`GoogleInternal.Write`	Indica un'azione di scrittura eseguita sui contenuti del cliente con una giustificazione aziendale valida. L'azione di scrittura viene eseguita utilizzando un'API interna progettata appositamente per amministrare i servizi Google Cloud. Questo metodo consente di aggiornare i contenuti e/o le configurazioni dei clienti.	Impostazione delle autorizzazioni IAM per una risorsa. Sospensione di un'istanza Compute Engine.
`GoogleInternal.Create`	Indica un'azione di creazione eseguita sui contenuti del cliente con una giustificazione aziendale valida. L'azione di creazione viene eseguita utilizzando un'API interna progettata appositamente per amministrare i servizi Google Cloud. Questo metodo consente di creare nuovi contenuti dei clienti.	Creazione di un bucket Cloud Storage. Creazione di un argomento Pub/Sub in corso...
`GoogleInternal.Delete`	Indica un'azione di eliminazione eseguita sui contenuti dei clienti utilizzando un'API interna progettata appositamente per amministrare i servizi Google Cloud. Questo metodo modifica i contenuti e/o le configurazioni dei clienti.	Eliminazione di un oggetto Cloud Storage. Eliminazione di una tabella BigQuery.
`GoogleInternal.List`	Indica un'azione dell'elenco eseguita sui contenuti del cliente con una giustificazione aziendale valida. L'azione dell'elenco viene eseguita utilizzando un'API interna progettata appositamente per amministrare i servizi Google Cloud. Questo metodo non modifica i contenuti o le configurazioni dei clienti.	Elenco delle istanze Compute Engine di un cliente. Elenco dei job Dataflow di un cliente.
`GoogleInternal.SSH`	Indica un'azione SSH eseguita sulla macchina virtuale di un cliente con una giustificazione aziendale valida. L'accesso SSH avviene tramite un'API interna progettata appositamente per amministrare i servizi Google Cloud. Questo metodo può modificare i contenuti e le configurazioni dei clienti.	Accesso di emergenza per il ripristino in seguito a un'interruzione su Compute Engine o GKE su VMware.
`GoogleInternal.Update`	Indica una modifica eseguita ai contenuti del cliente con una giustificazione aziendale valida. L'azione di aggiornamento avviene utilizzando un'API interna progettata appositamente per amministrare i servizi Google Cloud. Questo metodo modifica i contenuti e/o le configurazioni dei clienti.	Aggiornamento delle chiavi HMAC in Cloud Storage.
`GoogleInternal.Get`	Indica un'azione di recupero eseguita sui contenuti del cliente con una giustificazione aziendale valida. L'azione get avviene utilizzando un'API interna progettata appositamente per amministrare i servizi Google Cloud. Questo metodo non modifica i contenuti o le configurazioni dei clienti.	Recupero del criterio IAM per una risorsa in corso... Recupero del job Dataflow di un cliente in corso...
`GoogleInternal.Query`	Indica un'azione di query eseguita sui contenuti del cliente con una giustificazione aziendale valida. L'azione di query avviene utilizzando un'API interna progettata specificatamente per amministrare i servizi Google Cloud. Questo metodo non modifica i contenuti o le configurazioni dei clienti.	Esecuzione di una query BigQuery. Ricerca della console di debug di AI Platform sui contenuti dei clienti.

Gli accessi a GoogleInternal sono severamente limitati al personale autorizzato per un accesso giustificato e controllabile. La presenza di un metodo non indica la disponibilità per tutti i ruoli. Le organizzazioni che cercano controlli avanzati sull'accesso amministrativo a un progetto o a un'organizzazione possono attivare Access Approval per consentire l'approvazione o il rifiuto degli accessi in base ai dettagli dell'accesso. Ad esempio, gli utenti di Access Approval possono scegliere di consentire solo le richieste con giustificazione CUSTOMER_INITIATED_SUPPORT per le richieste effettuate da un dipendente Google con il ruolo Customer Support. Per saperne di più, consulta la panoramica di Access Approval.

Se un evento soddisfa rigorosi criteri di accesso di emergenza, Access Approval può registrare l'accesso di emergenza con lo stato auto approved. Access Transparency e Access Approval sono progettate specificamente per includere la registrazione ininterrotta per scenari di accesso di emergenza.

Se stai cercando un maggiore controllo sulla sicurezza dei dati sui carichi di lavoro, ti consigliamo di utilizzare Assured Workloads. I progetti di Assured Workloads offrono funzionalità avanzate come residenza dei dati, controlli di sovranità e accesso a funzionalità come il Confidential Computing in Compute Engine. Sfrutta Key Access Justifications per le chiavi di crittografia gestite esternamente.

Codici dei motivi di giustificazione

Motivo	Description
`CUSTOMER_INITIATED_SUPPORT`	Assistenza richiesta dal cliente, ad esempio "Numero richiesta: ####".
`GOOGLE_INITIATED_SERVICE`	Fa riferimento all'accesso avviato da Google per la gestione del sistema e la risoluzione dei problemi. Il personale di Google può rendere questo tipo di accesso per i seguenti motivi: Per eseguire il debug tecnico necessario per una richiesta di assistenza o un'indagine complessa. Per risolvere problemi tecnici, ad esempio guasti dello spazio di archiviazione o danneggiamento dei dati.
`THIRD_PARTY_DATA_REQUEST`	Accesso avviato da Google in risposta a una richiesta di tipo legale o a un procedimento giudiziario, ad esempio in risposta a un procedimento giudiziario da parte del cliente che richiede a Google di accedere ai dati del cliente.
`GOOGLE_INITIATED_REVIEW`	Accesso avviato da Google per motivi legati a sicurezza, attività fraudolenta, abuso o conformità, come ad esempio: Garantire la sicurezza degli account e dei dati dei clienti. Per verificare se i dati sono stati interessati da un evento che potrebbe influire sulla sicurezza dell'account (ad esempio, infezioni da malware). Per verificare se il cliente utilizza i servizi Google in conformità ai Termini di servizio di Google. Per esaminare reclami di altri utenti e clienti o altri segnali di attività illecite. Per verificare che i servizi Google vengano utilizzati in modo coerente con i relativi regimi di conformità (ad esempio, normative antiriciclaggio).
`GOOGLE_RESPONSE_TO_PRODUCTION_ALERT`	Si riferisce all'accesso avviato da Google per mantenere l'affidabilità del sistema. Il personale di Google può concedere questo tipo di accesso per i seguenti motivi: Per indagare e confermare che una sospetta interruzione del servizio non influisca sul cliente. Per garantire backup e ripristino da interruzioni del servizio e guasti di sistema.

Monitoraggio dei log di Access Transparency

Puoi monitorare i log di Access Transparency utilizzando l'API Cloud Monitoring. Per iniziare, consulta la documentazione di Cloud Monitoring.

Puoi configurare una metrica basata su log e poi configurare un criterio di avviso per comunicare tempestivamente i problemi segnalati da questi log. Ad esempio, puoi creare una metrica basata su log che acquisisca gli accessi dei tuoi contenuti da parte del personale Google e poi creare un criterio di avviso in Monitoring che ti consenta di sapere se il numero di accessi in un determinato periodo supera una determinata soglia.

Passaggi successivi

Scopri come visualizzare e comprendere i log di Access Transparency per i servizi Google Workspace.