En esta página, se describe el contenido de las entradas de registro de Transparencia de acceso y cómo verlas y usarlas.
Registros de Transparencia de acceso detallados
Los registros de Transparencia de acceso se pueden integrar a las herramientas existentes de información de seguridad y administración de eventos (SIEM) para automatizar las auditorías del personal de Google cuando acceden a tu contenido. Los registros de Transparencia de acceso están disponibles en Google Cloud Console junto con los registros de auditoría de Cloud.
En las entradas de registro de Transparencia de acceso, se incluyen los siguientes tipos de detalles:
- Acción y recurso afectados
- Hora de la acción
- Motivos de la acción (por ejemplo, el número de caso asociado a una solicitud de atención al cliente)
- Datos acerca de quién trabaja con el contenido (por ejemplo, la ubicación del personal de Google)
Configura la Transparencia de acceso
Para configurar los registros de Transparencia de acceso, consulta la Descripción general de Transparencia de acceso.
Visualiza los registros de Transparencia de acceso
Después de configurar la Transparencia de acceso en tu organización de Google Cloud, puedes establecer controles para quién puede acceder a los registros de Transparencia de acceso si asignas la función de Visualizador de registros privados a un usuario o grupo. Consulta la guía de control de acceso de Cloud Logging para obtener más detalles.
Para ver los registros de Transparencia de acceso, usa el siguiente filtro de registro de Google Cloud's operations suite.
logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Para obtener información sobre cómo ver tus registros de Transparencia de acceso en el Explorador de registros, consulta Usa el Explorador de registros.
También puedes supervisar los registros mediante la API de Cloud Monitoring o Cloud Functions. Para comenzar, consulta la documentación de Cloud Monitoring.
Crea una métrica basada en registros y, luego, configura una política de alertas para enterarte a tiempo de los problemas que presentan estos registros (opcional).
Ejemplo de entrada de registro de Transparencia de acceso
El siguiente es un ejemplo de una entrada de registro de Transparencia de acceso:
{ insertId: "abcdefg12345" jsonPayload: { @type: "type.googleapis.com/google.cloud.audit.TransparencyLog" location: { principalOfficeCountry: "US" principalEmployingEntity: "Google LLC" principalPhysicalLocationCountry: "CA" } product: [ 0: "Cloud Storage" ] reason: [ detail: "Case number: bar123" type: "CUSTOMER_INITIATED_SUPPORT" ] accesses: [ 0: { methodName: "GoogleInternal.Read" resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123" } ] accessApprovals: [ 0: "projects/123/approvalRequests/abcdef12345" ] } logName: "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency" operation: { id: "12345xyz" } receiveTimestamp: "2017-12-18T16:06:37.400577736Z" resource: { labels: { project_id: "1234567890" } type: "project" } severity: "NOTICE" timestamp: "2017-12-18T16:06:24.660001Z" }
Descripciones de los campos de registros
Campo | Descripción |
---|---|
insertId |
Identificador único del registro |
@type |
Identificador de registro de Transparencia de acceso |
principalOfficeCountry |
Código de país ISO 3166-1 alfa-2 correspondiente al país en el que quien accedió tiene un escritorio permanente, ?? si la ubicación no está disponible o un identificador de continente de 3 caracteres si el personal de Google se encuentra en un país con baja población. |
principalEmployingEntity |
La entidad que emplea al personal de Google que realiza el acceso (por ejemplo, Google LLC ). |
principalPhysicalLocationCountry |
Código de país ISO 3166-1 alfa-2 correspondiente al país desde el que se logró el acceso, ?? si la ubicación no está disponible o un identificador de continente de 3 caracteres si el personal de Google se encuentra en un país con baja población. |
product |
Producto de GCP del cliente al que se accedió. |
reason:detail |
Detalles del motivo, por ejemplo, el ID de un ticket de asistencia |
reason:type |
Acceso al tipo de motivo (por ejemplo, CUSTOMER_INITIATED_SUPPORT) ) |
accesses:methodName |
El tipo de acceso que se realizó Por ejemplo, GoogleInternal.Read . Para obtener más información sobre los métodos que pueden aparecer en el campo methodName , consulta Valores del campo accesses: methodName .
|
accesses:resourceName |
Nombre del recurso al que se accedió |
accessApprovals |
Incluye los nombres de recursos de las solicitudes de Aprobación de acceso que aprobaron el acceso. Estas solicitudes están sujetas a exclusiones y a los servicios compatibles. Este campo solo se propaga si la Aprobación de acceso está habilitada para los recursos a los que se accede. Este registro se propagará antes de la fecha 24 de marzo de 2021 y no se propagará. |
logName |
Nombre de la ubicación del registro |
operation:id |
ID de clúster del registro |
receiveTimestamp |
Hora en la que la canalización del registro recibió el acceso |
project_id |
Proyecto asociado al recurso al que se accedió |
type |
Tipo de recurso al que se accedió (por ejemplo, project ) |
severity |
Gravedad del registro |
timestamp |
Hora en la que se escribió el registro |
Valores para el campo accesses:methodNames
Los siguientes métodos pueden aparecer en el campo accesses:methodNames
de los registros de Transparencia de acceso:
- Métodos estándar: Estos métodos son
List
,Get
,Create
,Update
yDelete
. Para obtener más información, consulta Métodos estándar. - Métodos personalizados: Estos son los métodos de la API, además de los 5 métodos estándar. Los métodos personalizados comunes incluyen
Cancel
,BatchGet
,Move
,Search
yUndelete
. Para obtener más información, consulta Métodos personalizados. - Métodos internos de Google: Los siguientes métodos
GoogleInternal
pueden aparecer en el campoaccesses:methodNames
:
Nombre del método | Descripción | Examples |
---|---|---|
GoogleInternal.Read |
Indica una acción de lectura realizada en el contenido del cliente con una justificación empresarial válida. La acción de lectura ocurre con una API interna que está diseñada específicamente para administrar los servicios de Google Cloud. Este método no muta el contenido de los clientes. | Leer permisos de IAM |
GoogleInternal.Write |
Indica una acción de escritura realizada en el contenido del cliente con una justificación empresarial válida. La acción de escritura se produce mediante una API interna diseñada específicamente para administrar los servicios de Google Cloud. Este método puede actualizar el contenido o la configuración del cliente. |
|
GoogleInternal.Create |
Indica una acción de creación realizada en el contenido de clientes con una justificación empresarial válida. La acción de creación se produce mediante una API interna diseñada específicamente para administrar los servicios de Google Cloud. Este método crea contenido nuevo para los clientes. |
|
GoogleInternal.Delete |
Indica una acción de eliminación realizada en el contenido de los clientes mediante una API interna diseñada específicamente para administrar servicios de Google Cloud. Este método modifica el contenido o la configuración del cliente. |
|
GoogleInternal.List |
Indica una acción de lista realizada en el contenido del cliente con una justificación empresarial válida. La acción de lista se produce mediante una API interna diseñada específicamente para administrar los servicios de Google Cloud. Este método no muta el contenido ni la configuración del cliente. |
|
GoogleInternal.SSH |
Indica una acción de SSH realizada en la máquina virtual de un cliente con una justificación empresarial válida. El acceso SSH se produce mediante una API interna diseñada específicamente para administrar servicios de Google Cloud. Este método puede mutar el contenido y la configuración de los clientes. |
|
GoogleInternal.Update |
Indica una modificación realizada en el contenido de clientes con una justificación empresarial válida. La acción de actualización se produce mediante una API interna que está diseñada específicamente para administrar servicios de Google Cloud. Este método modifica el contenido o la configuración del cliente. | Actualiza las claves HMAC en Cloud Storage. |
GoogleInternal.Get |
Indica que se realizó una acción en el contenido de los clientes con una justificación empresarial válida. La acción get se produce con una API interna que está diseñada específicamente para administrar los servicios de Google Cloud. Este método no muta el contenido ni la configuración del cliente. |
|
GoogleInternal.Query |
Indica una acción de consulta realizada en el contenido del cliente con una justificación empresarial válida. La acción de consulta se realiza mediante una API interna que está diseñada específicamente para administrar los servicios de Google Cloud. Este método no muta el contenido ni la configuración del cliente. |
|
Códigos de los motivos de justificación
Se refiere al acceso iniciado por Google para la administración del sistema y la solución de problemas. El personal de Google puede hacer este tipo de acceso por los siguientes motivos:
Se refiere al acceso iniciado por Google para mantener la confiabilidad del sistema. El personal de Google puede hacer este tipo de acceso por los siguientes motivos:
Motivo
Descripción
CUSTOMER_INITIATED_SUPPORT
Asistencia que inició el cliente, por ejemplo, un número de caso: ####"
GOOGLE_INITIATED_SERVICE
THIRD_PARTY_DATA_REQUEST
Acceso iniciado por Google en respuesta a una solicitud legal o un proceso legal, incluso cuando se responde al proceso legal del cliente que requiere que Google acceda a sus propios datos.
GOOGLE_INITIATED_REVIEW
Acceso iniciado por Google con fines de seguridad, fraude, abuso o cumplimiento, incluidos los siguientes:
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT
Supervisa los registros de Transparencia de acceso
Puedes supervisar los registros de Transparencia de acceso mediante la API de Cloud Monitoring. Para comenzar, consulta la documentación de Cloud Monitoring.
Puedes configurar una métrica basada en registros y, luego, configurar una política de alertas para que conozcas a tiempo los problemas que muestran estos registros. Por ejemplo, puedes crear una métrica basada en registros que capture el acceso del personal de Google a tu contenido y, luego, crear una política de alertas en Monitoring que te informe si la cantidad de accesos en un período determinado supera un límite especificado.
¿Qué sigue?
- Obtén información sobre cómo ver y comprender los registros de Transparencia de acceso de los servicios de Google Workspace.