Comprender y usar los registros de Transparencia de acceso

En esta página, se describe el contenido de las entradas de registro de Transparencia de acceso y cómo para verlos y usarlos.

Registros de Transparencia de acceso detallados

Los registros de Transparencia de acceso pueden integrarse en tu Herramientas de administración de información y eventos de seguridad (SIEM) para automatizar las auditorías del personal de Google cuando accede a tu contenido. Los registros de Transparencia de acceso disponibles en la consola de Google Cloud junto con tus Registros de auditoría de Cloud.

En las entradas de registro de Transparencia de acceso, se incluyen los siguientes tipos de detalles:

  • Acción y recurso afectados
  • Hora de la acción
  • Motivos de la acción (por ejemplo, el número de caso asociado a una solicitud de atención al cliente)
  • Datos acerca de quién trabaja con el contenido (por ejemplo, la ubicación del personal de Google)

Habilita la Transparencia de acceso

Si quieres saber cómo habilitar la Transparencia de acceso en tu organización de Google Cloud, consulta Cómo habilitar la Transparencia de acceso.

Visualiza los registros de Transparencia de acceso

Después de configurar la Transparencia de acceso en tu Google Cloud organización, puedes establecer controles sobre quién accede a los registros de Transparencia de acceso asignar a un usuario o grupo el rol de visualizador de registros privados Consulta la guía de control de acceso de Cloud Logging para obtener más detalles.

Para ver los registros de Transparencia de acceso, usa el siguiente filtro de registro de observabilidad de Google Cloud.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Para aprender a ver tus registros de Transparencia de acceso en el Explorador de registros, consulta Usa el Explorador de registros.

También puedes supervisar los registros con la API de Cloud Monitoring o Cloud Run. Para comenzar, consulta la documentación de Cloud Monitoring.

Crea una métrica basada en registros y, luego, configura una política de alertas para enterarte a tiempo de los problemas que presentan estos registros (opcional).

Ejemplo de entrada de registro de Transparencia de acceso

El siguiente es un ejemplo de una entrada de registro de Transparencia de acceso:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Descripciones de los campos de registros

Campo Descripción
insertId Identificador único del registro
@type Identificador de registro de Transparencia de acceso
principalOfficeCountry Código de país ISO 3166-1 alfa-2 correspondiente al país en el que quien accedió tiene un escritorio permanente, ?? si la ubicación no está disponible o un identificador de continente de 3 caracteres si el personal de Google se encuentra en un país con baja población.
principalEmployingEntity La entidad que emplea al personal de Google que realiza el acceso (por ejemplo, Google LLC).
principalPhysicalLocationCountry Código de país ISO 3166-1 alfa-2 correspondiente al país desde el que se logró el acceso, ?? si la ubicación no está disponible o un identificador de continente de 3 caracteres si el personal de Google se encuentra en un país con baja población.
principalJobTitle La familia de puestos del personal de Google que realiza el acceso
product Producto de Google Cloud del cliente al que se accedió.
reason:detail Detalles del motivo, por ejemplo, el ID de un ticket de asistencia
reason:type Acceso al tipo de motivo (por ejemplo, CUSTOMER_INITIATED_SUPPORT))
accesses:methodName Tipo de acceso que se realizó Por ejemplo, GoogleInternal.Read. Para obtener más información sobre los métodos que pueden aparecer en el campo methodName, consulta Valores del campo accesses: methodName.
accesses:resourceName Nombre del recurso al que se accedió
accessApprovals Incluye los nombres de los recursos de Aprobación de acceso las solicitudes que aprobaron el acceso. Estas solicitudes están sujetas a exclusiones y servicios compatibles.

Este campo se completa solo si la Aprobación de acceso está habilitada para la a los recursos a los que se accedió. Registros de Transparencia de acceso publicados antes de la fecha A partir del 24 de marzo de 2021, este campo no se completará.
logName Nombre de la ubicación del registro
operation:id ID de clúster del registro
receiveTimestamp Hora en la que la canalización del registro recibió el acceso
project_id Proyecto asociado al recurso al que se accedió
type Tipo de recurso al que se accedió (por ejemplo, project)
eventId ID de evento único asociado con una justificación del evento de acceso único (por ejemplo, un solo caso de asistencia). Todos los accesos registrados en el mismo justificación tienen el mismo valor de event_id.
severity Gravedad del registro
timestamp Hora en la que se escribió el registro

Valores del campo accesses:methodNames

Los siguientes métodos pueden aparecer en el campo accesses:methodNames de los registros de Transparencia de acceso:

  • Métodos estándar: Estos métodos son List, Get, Create, Update y Delete. Para obtener más información, consulta Métodos estándar.
  • Métodos personalizados: Los métodos personalizados son los métodos de API distintos de los 5 métodos estándar. Los métodos personalizados comunes incluyen Cancel, BatchGet, Move, Search y Undelete. Para obtener más información, consulta Métodos personalizados.
  • Métodos GoogleInternal: Los siguientes métodos GoogleInternal pueden aparecer en el campo accesses:methodNames:
Nombre del método Descripción Ejemplos
GoogleInternal.Read Indica una acción de lectura realizada en el contenido del cliente con una justificación comercial válida. La acción de lectura se produce con una API interna diseñada específicamente para administrar los servicios de Google Cloud. Este método no cambia el contenido del cliente. Leer permisos de IAM
GoogleInternal.Write Indica una acción de escritura realizada en el contenido de un cliente con una justificación comercial válida. La acción de escritura se realiza con una API interna diseñada específicamente para administrar los servicios de Google Cloud. Este método puede actualizar el contenido o la configuración de los clientes.
  • Configurar permisos de IAM para un recurso.
  • Suspender una instancia de Compute Engine.
GoogleInternal.Create Indica una acción de creación realizada en el contenido de un cliente con una justificación comercial válida. La acción de creación se realiza con una API interna diseñada específicamente para administrar los servicios de Google Cloud. Con este método, se crea contenido de clientes nuevos.
  • Crear un bucket de Cloud Storage.
  • Crear un tema de Pub/Sub
GoogleInternal.Delete Hace referencia a una acción de eliminación realizada en el contenido de un cliente con una API interna diseñada específicamente para administrar los servicios de Google Cloud. Este método cambia el contenido o la configuración del cliente.
  • Borrar un objeto de Cloud Storage
  • Borrar una tabla de BigQuery
GoogleInternal.List Indica una acción de lista realizada en el contenido de un cliente con una justificación comercial válida. La acción de lista se realiza con una API interna diseñada específicamente para administrar los servicios de Google Cloud. Este método no muta el contenido ni la configuración del cliente.
  • Crear una lista de las instancias de Compute Engine de un cliente
  • Crear una lista de los trabajos de Dataflow de un cliente
GoogleInternal.SSH Indica una acción SSH realizada en la máquina virtual de un cliente con una justificación empresarial válida. El acceso SSH se realiza mediante una API interna diseñada específicamente para administrar los servicios de Google Cloud. Este método puede mutar el contenido y las configuraciones del cliente. Acceso de emergencia para recuperarse de una interrupción en Compute Engine o Google Distributed Cloud.
GoogleInternal.Update Hace referencia a una modificación realizada en el contenido del cliente con una justificación comercial válida. La acción de actualización se realiza con una API interna diseñada específicamente para administrar los servicios de Google Cloud. Este método cambia el contenido o la configuración del cliente. Actualizar claves HMAC en Cloud Storage
GoogleInternal.Get Significa que se realizó una acción get en el contenido de un cliente con una justificación comercial válida. La acción get se produce con una API interna diseñada específicamente para administrar los servicios de Google Cloud. Este método no muta el contenido ni la configuración del cliente.
  • Recupera la política de IAM para un recurso.
  • Recuperar el trabajo de Dataflow de un cliente
GoogleInternal.Query Indica una acción de consulta realizada sobre el contenido de un cliente con una justificación comercial válida. La acción de consulta se realiza con una API interna diseñada específicamente para administrar los servicios de Google Cloud. Este método no cambia el contenido ni las configuraciones del cliente.
  • Ejecutar una consulta de BigQuery
  • Búsqueda de la consola de depuración de AI Platform en el contenido del cliente.

Los accesos a GoogleInternal están estrictamente restringidos al personal autorizado para un acceso justificado y auditable. La presencia de un método no indica disponibilidad para todos los roles. Las organizaciones que buscan controles mejorados sobre el acceso administrativo a un proyecto o una organización pueden activar la Aprobación de acceso para habilitar la aprobación o el rechazo de accesos según los detalles de acceso. Por ejemplo, los usuarios de Aprobación de acceso pueden optar por permitir solo las solicitudes que tengan la justificación CUSTOMER_INITIATED_SUPPORT para aquellas que realice un empleado de Google con el rol de Customer Support. Para obtener más información, consulta Descripción general de la Aprobación de acceso.

Si un evento cumple con criterios estrictos de acceso de emergencia, la Aprobación de acceso puede registrar ese acceso de emergencia con el estado auto approved. La Transparencia de acceso y la Aprobación de acceso están diseñadas específicamente para incluir registros sin interrupciones en situaciones de acceso de emergencia.

Si buscas más control de seguridad de los datos sobre tus cargas de trabajo, te recomendamos que uses Assured Workloads. Los proyectos de Assured Workloads ofrecen funcionalidades mejoradas, como residencia de datos, controles de soberanía y acceso a funciones como Confidential Computing en Compute Engine. Aprovecha Key Access Justifications para las claves de encriptación administradas de forma externa.

Códigos de los motivos de justificación

Motivo Descripción
CUSTOMER_INITIATED_SUPPORT Asistencia que inició el cliente, por ejemplo, “Número de caso: ####”.
GOOGLE_INITIATED_SERVICE

Se refiere al acceso iniciado por Google para la administración del sistema y y la solución de problemas. El personal de Google puede realizar este tipo de acceso para el siguientes motivos:

  • Para realizar la depuración técnica necesaria para una solicitud de asistencia compleja o investigación.
  • Para solucionar problemas técnicos, como fallas de almacenamiento o datos la corrupción.
THIRD_PARTY_DATA_REQUEST Acceso iniciado por Google en respuesta a una solicitud o un proceso legal, incluso cuando se responde a un proceso legal del cliente que requiere que Google acceda a sus propios datos.
GOOGLE_INITIATED_REVIEW Google inició el acceso por motivos de seguridad, fraude, abuso o cumplimiento, incluidos los siguientes:
  • Asegurar la seguridad y protección de las cuentas y los datos de los clientes
  • Confirmar si los datos se ven afectados por un evento que podría afectar la seguridad de la cuenta (por ejemplo, infecciones por software malicioso).
  • Confirmar si el cliente usa los servicios de Google en conformidad con las Condiciones del Servicio de Google
  • Investigar reclamos de otros usuarios y clientes o alguna otra señal de actividad inadecuada
  • Verificar que los servicios de Google se usen de acuerdo con los regímenes de cumplimiento relevantes (por ejemplo, las normativas contra el lavado de dinero)
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Se refiere al acceso iniciado por Google para mantener la confiabilidad del sistema. Google personal puede realizar este tipo de acceso por los siguientes motivos:

  • Para investigar y confirmar que una presunta interrupción del servicio no afectar al cliente.
  • Garantizar la copia de seguridad y la recuperación ante interrupciones y fallas del sistema.

Supervisa los registros de Transparencia de acceso

Puedes supervisar los registros de Transparencia de acceso con la API de Cloud Monitoring. Para comenzar, consulta la documentación de Cloud Monitoring.

Puedes configurar un métrica basada en registros y, luego, establece un política de alertas para detectar a tiempo los problemas que surgen de estos registros. Por ejemplo, puedes crear una métrica basada en registros que capture el personal de Google accede a tu contenido y, luego, crea una política de alertas en Supervisión que te permite saber si la cantidad de accesos en una período determinado excede un umbral especificado.

¿Qué sigue?