Cette page a été traduite par l'API Cloud Translation.

Comprendre et utiliser les journaux Access Transparency

Cette page décrit le contenu des entrées de journal Access Transparency, et explique comment les afficher et les utiliser.

Les journaux Access Transparency en détail

Les journaux Access Transparency peuvent être intégrés à vos outils de gestion des informations et des événements de sécurité (SIEM) existants afin d'automatiser les contrôles que vous souhaitez effectuer sur le personnel de Google lorsqu'il accède à votre contenu. Les journaux Access Transparency sont disponibles dans la console Google Cloud en plus de vos journaux Cloud Audit.

Les entrées de journal Access Transparency incluent les types d'informations suivants :

La ressource et l'action affectées
Le moment où l'action a été effectuée
Le motif de l'action (par exemple, le numéro de dossier associé à une demande d'assistance)
Des données concernant les personnes agissant sur le contenu (par exemple, la position géographique du personnel de Google)

Activer Access Transparency

Pour savoir comment activer Access Transparency pour votre Google Cloud organisation, consultez Activer Access Transparency.

Afficher les journaux Access Transparency

Une fois que vous avez configuré Access Transparency pour votre Google Cloud organisation, vous pouvez définir des contrôles d'accès aux journaux Access Transparency en attribuant le rôle Lecteur des journaux privés à un utilisateur ou à un groupe. Pour en savoir plus, consultez le guide de contrôle des accès de Cloud Logging.

Pour afficher les journaux Access Transparency, utilisez le filtre de journalisation Google Cloud Observability suivant.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Pour découvrir comment afficher vos journaux Access Transparency dans l'explorateur de journaux, consultez la page Utiliser l'explorateur de journaux.

Vous pouvez également surveiller les journaux à l'aide de l'API Cloud Monitoring ou de fonctions Cloud Run. Pour commencer, consultez la documentation de Cloud Monitoring.

Facultatif : créez une métrique basée sur les journaux, puis configurez une règle d'alerte pour être rapidement informé en cas de problèmes révélés par ces journaux.

Exemple d'entrée de journal Access Transparency

Voici un exemple d'entrée de journal Access Transparency :

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Description des champs de journal

Champ	Description
`insertId`	Identifiant unique pour le journal.
`@type`	Identifiant de journal Access Transparency.
`principalOfficeCountry`	Code de pays ISO 3166-1 alpha-2 du pays dans lequel l'accesseur dispose d'un bureau permanent, `??` si l'emplacement n'est pas disponible ou que l'identifiant de continent à trois caractères du personnel de Google correspond à un pays à faible population.
`principalEmployingEntity`	Entité qui emploie le personnel de Google effectuant l'accès (par exemple, `Google LLC`).
`principalPhysicalLocationCountry`	Code de pays ISO 3166-1 alpha-2 du pays à partir duquel l'accès a été effectué, `??` si l'emplacement n'est pas disponible ou que l'identifiant de continent à trois caractères du personnel de Google correspond à un pays à faible population.
`principalJobTitle`	Famille de poste du personnel Google effectuant l'accès.
`product`	Produit Google Cloud du client consulté.
`reason:detail`	Détail du motif (par exemple, un ID de demande d'assistance).
`reason:type`	Accédez au type de motif, par exemple, `CUSTOMER_INITIATED_SUPPORT)`.
`accesses:methodName`	Type d'accès Par exemple, `GoogleInternal.Read`. Pour en savoir plus sur les méthodes pouvant apparaître dans le champ `methodName`, consultez la section Valeurs pour le champ `accesses: methodName`.
`accesses:resourceName`	Nom de la ressource qui a fait l'objet de l'accès.
`accessApprovals`	Inclut les noms de ressources des demandes d'approbation d'accès ayant approuvé l'accès. Ces requêtes sont soumises à des exclusions et à des services compatibles. Ce champ n'est renseigné que si l'approbation des accès est activée pour les ressources consultées. Ce champ ne sera pas renseigné pour les journaux Access Transparency publiés avant le 24 mars 2021.
`logName`	Nom de l'emplacement du journal.
`operation:id`	ID du cluster du journal.
`receiveTimestamp`	Heure à laquelle l'accès a été enregistré par le pipeline de journalisation.
`project_id`	Projet associé à la ressource ayant fait l'objet d'un accès.
`type`	Type de ressource ayant fait l'objet d'un accès (par exemple, `project`).
`eventId`	Identifiant d'événement unique associé à une seule justification d'événement d'accès (par exemple, un seul dossier d'assistance). Tous les accès enregistrés pour la même justification ont la même valeur `event_id`.
`severity`	Niveau de gravité du journal.
`timestamp`	Date et heure de création du journal.

Valeurs du champ `accesses:methodNames`

Les méthodes suivantes peuvent apparaître dans le champ accesses:methodNames des journaux Access Transparency:

Méthodes standards: ces méthodes sont List, Get, Create, Update et Delete. Pour en savoir plus, consultez la section Méthodes standards.
Méthodes personnalisées: les méthodes personnalisées font référence aux méthodes API en plus des cinq méthodes standards. Les méthodes personnalisées courantes incluent Cancel, BatchGet, Move, Search et Undelete. Pour en savoir plus, consultez la section Méthodes personnalisées.
Méthodes GoogleInternal: voici des exemples de méthodes GoogleInternal qui apparaissent dans le champ accesses:methodNames:

Nom de la méthode	Description	Examples
`GoogleInternal.Read`	Indique une action de lecture effectuée sur le contenu client avec une justification métier valide. L'action de lecture se produit à l'aide d'une API interne spécialement conçue pour l'administration des services Google Cloud . Cette méthode ne modifie pas le contenu client.	Lire les autorisations IAM
`GoogleInternal.Write`	Indique une action d'écriture effectuée sur le contenu client avec une justification commerciale valide. L'action d'écriture se produit à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud . Cette méthode peut mettre à jour le contenu et/ou les configurations des clients.	Définir des autorisations IAM pour une ressource Suspendre une instance Compute Engine
`GoogleInternal.Create`	Indique une action de création effectuée sur le contenu client avec une justification commerciale valide. L'action de création se produit à l'aide d'une API interne spécialement conçue pour l'administration des services Google Cloud . Cette méthode crée du contenu client.	Créer un bucket Cloud Storage Créer un sujet Pub/Sub
`GoogleInternal.Delete`	Indique une action de suppression effectuée sur le contenu client à l'aide d'une API interne conçue spécifiquement pour l'administration des services Google Cloud . Cette méthode modifie le contenu et/ou les configurations des clients.	Supprimer un objet Cloud Storage Supprimer une table BigQuery
`GoogleInternal.List`	Indique une action de liste effectuée sur le contenu client avec une justification métier valide. L'action de liste est effectuée à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud . Cette méthode ne modifie pas le contenu ni les configurations des clients.	Liste des instances Compute Engine d'un client. Liste des tâches Dataflow d'un client.
`GoogleInternal.Update`	Indique une modification apportée au contenu client pour laquelle une justification commerciale valide a été fournie. L'action de mise à jour se produit à l'aide d'une API interne spécialement conçue pour l'administration des services Google Cloud . Cette méthode modifie le contenu et/ou les configurations des clients.	Mettre à jour des clés HMAC dans Cloud Storage
`GoogleInternal.Get`	Indique une action de récupération effectuée sur le contenu client avec une justification commerciale valide. L'action "get" se produit à l'aide d'une API interne spécialement conçue pour l'administration des services Google Cloud . Cette méthode ne modifie pas le contenu ni les configurations des clients.	Récupération de la stratégie IAM associée à une ressource. Récupération de la tâche Dataflow d'un client.
`GoogleInternal.Query`	Indique une action de requête effectuée sur le contenu client avec une justification métier valide. L'action de requête est effectuée à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud . Cette méthode ne modifie pas le contenu ni les configurations des clients.	Exécution d'une requête BigQuery. Recherche dans la console de débogage d'AI Platform sur le contenu client.

Les accès GoogleInternal sont strictement limités au personnel autorisé pour un accès justifié et auditable. La présence d'une méthode n'indique pas qu'elle est disponible pour tous les rôles. Les organisations qui souhaitent renforcer le contrôle de l'accès administratif à un projet ou à une organisation peuvent activer l'approbation des accès pour approuver ou refuser les accès en fonction des informations d'accès. Par exemple, les utilisateurs d'Access Approval peuvent choisir de n'autoriser que les requêtes avec la justification CUSTOMER_INITIATED_SUPPORT pour les requêtes effectuées par un employé de Google. Pour en savoir plus, consultez la page Présentation de l'approbation des accès.

Si un événement répond à des critères d'accès d'urgence stricts, Access Approval peut consigner cet accès d'urgence avec l'état auto approved. Access Transparency et Access Approval sont spécifiquement conçus pour inclure une journalisation ininterrompue pour les scénarios d'accès d'urgence.

Si vous souhaitez mieux contrôler la sécurité des données de vos charges de travail, nous vous recommandons d'utiliser Assured Workloads. Les projets Assured Workloads offrent des fonctionnalités améliorées telles que la résidence des données, les contrôles souverains et l'accès à des fonctionnalités telles que le calcul confidentiel dans Compute Engine. Il utilise les justifications d'accès aux clés pour les clés de chiffrement gérées en externe.

Codes de motifs de justification

Motif	Description
`CUSTOMER_INITIATED_SUPPORT`	Le client a initié une demande d'assistance (par exemple, "Numéro de la demande : ####").
`GOOGLE_INITIATED_SERVICE`	Fait référence à l'accès initié par Google pour la gestion et le dépannage du système. Le personnel Google peut effectuer ce type d'accès pour les raisons suivantes: Effectuer le débogage technique nécessaire à une demande d'assistance ou à une enquête complexe Pour résoudre les problèmes techniques, tels qu'un échec de stockage ou une corruption de données.
`THIRD_PARTY_DATA_REQUEST`	Google a initié un accès en réponse à une demande légale ou à un acte de procédure. Cela inclut les actes de procédure à l'initiative d'un client demandant à Google d'accéder à ses données.
`GOOGLE_INITIATED_REVIEW`	Accès initié par Google pour une opération concernant la sécurité, la fraude, les abus ou la mise conformité, telle que : Assurer la protection et la sécurité des comptes et données client Vérifier si les données sont affectées par un événement pouvant compromettre la sécurité du compte, par exemple les infections dues à des logiciels malveillants vérifier si le client exploite les services Google conformément aux Conditions d'utilisation de Google ; enquêter sur les plaintes d'autres utilisateurs et clients, ou sur d'autres signes d'activité abusive ; vérifier que les services Google sont utilisés de manière cohérente avec les régimes de conformité pertinents (par exemple, les réglementations contre le blanchiment d'argent).
`GOOGLE_RESPONSE_TO_PRODUCTION_ALERT`	Fait référence à l'accès initié par Google pour maintenir la fiabilité du système. Le personnel Google peut effectuer ce type d'accès pour les raisons suivantes: Pour examiner et confirmer qu'une interruption de service suspectée n'affecte pas le client. Assurer la sauvegarde et la récupération en cas d'indisponibilités et de pannes du système

Surveiller les journaux Access Transparency

Vous pouvez surveiller les journaux Access Transparency à l'aide de l'API Cloud Monitoring. Pour commencer, consultez la documentation de Cloud Monitoring.

Vous pouvez configurer une métrique basée sur les journaux, puis une règle d'alerte pour être rapidement informé des problèmes révélés par ces journaux. Par exemple, vous pouvez créer une métrique basée sur les journaux qui capture les accès du personnel Google à votre contenu, puis créer une règle d'alerte dans Monitoring qui vous indique si le nombre d'accès sur une période donnée dépasse un seuil spécifié.

Étape suivante

Découvrez comment afficher et comprendre les journaux Access Transparency pour les services Google Workspace.