本页面介绍了 Access Transparency 日志条目的内容,以及如何查看和使用它们。
Access Transparency 日志详情
Access Transparency 日志可以与现有的安全信息和事件管理 (SIEM) 工具集成,以便在 Google 员工访问您的内容时自动执行审核。Google Cloud Console 和 Cloud Audit Logs 均提供了 Access Transparency 日志。
Access Transparency 日志条目包含以下类型的详细信息:
- 受影响的资源和操作。
- 操作的执行时间。
- 执行该操作的原因(例如,与客户支持请求有关的案例号)。
- 有关对内容采取操作的人员的数据(例如,Google 员工所在的位置)。
配置 Access Transparency
要配置 Access Transparency 日志,请参阅 Access Transparency 概览。
查看 Access Transparency 日志
为 Google Cloud 组织配置 Access Transparency 后,您可以通过为用户或组分配 Private Logs Viewer 角色来控制哪些人可以访问 Access Transparency 日志。如需了解详情,请参阅 Cloud Logging 访问控制指南。
如需查看 Access Transparency 日志,请使用以下 Google Cloud 运维套件日志记录过滤器。
logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Faccess_transparency"
如需了解如何在日志浏览器中查看 Access Transparency 日志,请参阅使用日志浏览器。
您还可以使用 Cloud Monitoring API 或使用 Cloud Functions 来监控日志。要开始使用,请参阅 Cloud Monitoring 文档。
可选:创建一个基于日志的指标,然后设置一个提醒政策,以便及时了解这些日志中出现的问题。
Access Transparency 日志条目示例
以下是一个 Access Transparency 日志条目的示例。
{ insertId: "abcdefg12345" jsonPayload: { @type: "type.googleapis.com/google.cloud.audit.TransparencyLog" location: { principalOfficeCountry: "US" principalEmployingEntity: "Google LLC" principalPhysicalLocationCountry: "CA" } product: [ 0: "Cloud Storage" ] reason: [ detail: "Case number: bar123" type: "CUSTOMER_INITIATED_SUPPORT" ] accesses: [ 0: { methodName: "GoogleInternal.Read" resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123" } ] accessApprovals: [ 0: "projects/123/approvalRequests/abcdef12345" ] } logName: "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency" operation: { id: "12345xyz" } receiveTimestamp: "2017-12-18T16:06:37.400577736Z" resource: { labels: { project_id: "1234567890" } type: "project" } severity: "NOTICE" timestamp: "2017-12-18T16:06:24.660001Z" }
日志字段说明
字段 | 说明 |
---|---|
insertId |
日志的唯一标识符。 |
@type |
Access Transparency 日志标识符。 |
principalOfficeCountry |
访问者在其中具有永久服务台的国家/地区的 ISO 3166-1 二位字母国家/地区代码。如果位置未知,则为 ?? ;如果 Google 员工身处低人口国家/地区,则为 3 字符大洲标识符。 |
principalEmployingEntity |
雇用了 Google 员工进行访问的实体(例如 Google LLC )。 |
principalPhysicalLocationCountry |
进行访问所在国家/地区的 ISO 3166-1 二位字母国家/地区代码。如果位置未知,则为 ?? ;如果 Google 员工身处低人口国家/地区,则为 3 字符大洲标识符。 |
product |
所访问的客户 GCP 产品。 |
reason:detail |
原因的详细信息,例如支持服务工单 ID。 |
reason:type |
访问原因类型(例如 CUSTOMER_INITIATED_SUPPORT) 。 |
accesses:methodName |
进行了哪种访问。例如 GoogleInternal.Read 。如需详细了解可能出现在 methodName 字段中的方法,请参阅 accesses: methodName 字段的值。
|
accesses:resourceName |
被访问资源的名称。 |
accessApprovals |
包括批准访问权限的 Access Approval 请求的资源名称。这些请求需要遵循排除项和支持的服务要求。 仅当访问的资源启用了 Access Approval 时,系统才会填充此字段。2021 年 3 月 24 日之前发布的 Access Transparency 日志不会填充此字段。 |
logName |
日志位置的名称。 |
operation:id |
日志集群 ID。 |
receiveTimestamp |
日志记录流水线接收访问的时间。 |
project_id |
与被访问资源相关联的项目。 |
type |
被访问资源的类型(例如 project )。 |
severity |
日志严重性。 |
timestamp |
写入日志的时间。 |
accesses:methodNames
字段的值
以下方法会显示在 Access Transparency 日志的 accesses:methodNames
字段中:
- 标准方法:这些方法包括
List
、Get
、Create
、Update
和Delete
。如需了解详情,请参阅标准方法。 - 自定义方法:自定义方法是指 5 种标准方法之外的 API 方法。常见的自定义方法包括
Cancel
、BatchGet
、Move
、Search
和Undelete
。如需了解详情,请参阅自定义方法。 - GoogleInternal methods:以下
GoogleInternal
方法可以出现在accesses:methodNames
字段中:
方法名称 | 说明 | 示例 |
---|---|---|
GoogleInternal.Read |
表示具有有效的业务理由的读取客户内容的操作。读取操作通过专用于管理 Google Cloud 服务的内部 API 执行。此方法不会改变客户内容。 | 读取 IAM 权限。 |
GoogleInternal.Write |
表示具有有效的业务理由,对客户内容执行的写入操作。写入操作是使用专为管理 Google Cloud 服务而设计的内部 API。此方法可以更新客户内容和/或配置。 |
|
GoogleInternal.Create |
表示通过有效的业务理由对客户内容执行创建操作。创建操作使用专用于管理 Google Cloud 服务的内部 API。此方法会创建新的客户内容。 |
|
GoogleInternal.Delete |
表示使用专为管理 Google Cloud 服务而设计的内部 API,对客户内容执行的删除操作。此方法会转变客户内容和/或配置。 |
|
GoogleInternal.List |
表示出于正当的业务理由而对客户内容执行的列表操作。列出操作时会使用专门用于管理 Google Cloud 服务的内部 API。此方法不会更改客户内容或配置。 |
|
GoogleInternal.SSH |
表示在客户的虚拟机上执行的 SSH 操作,具有有效的业务理由。这种 SSH 访问是使用专为管理 Google Cloud 服务而设计的内部 API。此方法可以更改客户内容和配置。 |
|
GoogleInternal.Update |
表示根据有效的业务理由修改客户内容。更新操作使用专门用于管理 Google Cloud 服务的内部 API。此方法会转变客户内容和/或配置。 | 更新 Cloud Storage 中的 HMAC 密钥。 |
GoogleInternal.Get |
表示出于正当考虑业务目的对客户内容执行的 get 操作。获取操作需要使用专门用于管理 Google Cloud 服务的内部 API。此方法不会更改客户内容或配置。 |
|
GoogleInternal.Query |
表示出于正当业务理由而对客户内容执行的查询操作。查询操作使用专用于管理 Google Cloud 服务的内部 API 执行。此方法不会更改客户内容或配置。 |
|
理由原因代码
请参阅 Google 发起的系统管理和问题排查访问。Google 员工有可能会出于以下原因授予此类访问权限:
指的是由 Google 发起的访问,以维护系统可靠性。Google 员工可能会因以下原因进行此类访问:
原因
说明
CUSTOMER_INITIATED_SUPPORT
客户发起的支持,例如“Case Number:####”。
GOOGLE_INITIATED_SERVICE
THIRD_PARTY_DATA_REQUEST
Google 按照法律要求或司法程序发起的访问,包括 Google 在客户要求的情况下按照司法程序访问客户自己的数据。
GOOGLE_INITIATED_REVIEW
Google 发起的针对安全性、欺诈、滥用或合规性目的访问,包括:
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT
Monitoring Access Transparency 日志
您可以使用 Cloud Monitoring API 监控 Access Transparency 日志。要开始使用,请参阅 Cloud Monitoring 文档。
您可以设置基于日志的指标,然后设置一项提醒政策,以便及时了解这些日志中呈现的问题。例如,您可以创建一个基于日志的指标来捕获 Google 员工对您的内容的访问情况,然后在 Monitoring 中创建提醒政策,让您了解给定时间段内的访问次数是否超过指定的阈值。