Interpretar y usar los registros de Transparencia de acceso

En esta página se describe el contenido de las entradas de registro de Transparencia de acceso y cómo consultarlas y usarlas.

Registros de Transparencia de acceso en detalle

Los registros de Transparencia de acceso se pueden integrar con las herramientas de gestión de eventos y de información de seguridad (SIEM) que ya utilices para automatizar las auditorías del personal de Google cuando acceda a tu contenido. Los registros de Transparencia de acceso están disponibles en la Google Cloud consola, junto con tus registros de auditoría de Cloud.

En las entradas de los registros de Transparencia de acceso se incluyen los siguientes tipos de detalles:

  • Recurso afectado y acción realizada.
  • Hora en que se ha llevado a cabo la acción.
  • Los motivos de la acción (por ejemplo, el número de caso asociado a una solicitud al servicio de asistencia).
  • Datos sobre quién ha realizado la acción en el contenido (por ejemplo, la ubicación de un miembro del personal de Google).

Habilitar Transparencia de acceso

Para obtener información sobre cómo habilitar Transparencia de acceso en tu Google Cloud organización, consulta el artículo Habilitar Transparencia de acceso.

Ver registros de Transparencia de acceso

Una vez que hayas configurado Transparencia de acceso en tu organización, puedes definir controles para determinar quién puede acceder a los registros de Transparencia de acceso asignando el rol Visualizador de registros privados a un usuario o grupo. Google CloudConsulta los detalles en la guía de control de acceso de Cloud Logging.

Para ver los registros de Transparencia de acceso, usa el siguiente filtro de registro de Google Cloud Observability.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Para saber cómo ver tus registros de Transparencia de acceso en el Explorador de registros, consulta el artículo Usar el Explorador de registros.

También puedes monitorizar los registros mediante la API Cloud Monitoring o las funciones de Cloud Run. Para empezar, consulta la documentación de Cloud Monitoring.

Opcional: Crea una métrica basada en registros y, a continuación, configura una política de alertas para recibir avisos oportunos sobre los problemas que se detecten en estos registros.

Entrada de registro de Transparencia de acceso de ejemplo

A continuación, se muestra un ejemplo de entrada de registro de Transparencia de acceso:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Descripción de los campos del registro

Campo Descripción
insertId Identificador único del registro.
@type Identificador del registro de Transparencia de acceso.
principalOfficeCountry Código de país (según la norma ISO 3166-1 alfa-2) en el que el usuario que ha accedido a los datos trabaja de manera permanente. ?? si no se conoce la ubicación. Identificador de continente de 3 caracteres si el miembro del personal de Google se encuentra en un país con poca población.
principalEmployingEntity La entidad que emplea al personal de Google que realiza el acceso (por ejemplo, Google LLC).
principalPhysicalLocationCountry Código de país ISO 3166-1 alfa-2 del país desde el que se ha realizado el acceso. ?? si la ubicación no está disponible o identificador de continente de 3 caracteres si el personal de Google se encuentra en un país con poca población.
principalJobTitle La familia de puestos del personal de Google que realiza el acceso.
product Producto de Google Cloud del cliente al que se ha accedido.
reason:detail Detalles del motivo, como un ID de incidencia.
reason:type Acceso tipo de motivo (por ejemplo, CUSTOMER_INITIATED_SUPPORT).
accesses:methodName Qué tipo de acceso se ha realizado. Por ejemplo, GoogleInternal.Read. Para obtener más información sobre los métodos que pueden aparecer en el campo methodName, consulta Valores del campo accesses: methodName.
accesses:resourceName Nombre del recurso al que se ha accedido.
accessApprovals Incluye los nombres de los recursos de las solicitudes de aprobación de acceso que han aprobado el acceso. Estas solicitudes están sujetas a exclusiones y servicios admitidos.

Este campo solo se rellena si la aprobación de acceso está habilitada para los recursos a los que se ha accedido. Los registros de Transparencia de acceso publicados antes del 24 de marzo del 2021 no tendrán este campo rellenado.
logName Nombre de la ubicación del registro.
operation:id ID de clúster de registro.
receiveTimestamp Hora en la que la canalización de registro recibió el acceso.
project_id Proyecto asociado al recurso al que se ha accedido.
type Tipo de recurso al que se ha accedido (por ejemplo, project).
eventId ID de evento único asociado a una justificación de evento de acceso único (por ejemplo, un caso de asistencia único). Todos los accesos registrados en la misma justificación tienen el mismo valor event_id.
severity Gravedad del registro.
timestamp Fecha y hora en que se ha anotado el registro.

Valores del campo accesses:methodNames

Los siguientes métodos pueden aparecer en el campo accesses:methodNames de los registros de Transparencia de acceso:

  • Métodos estándar: List, Get, Create, Update y Delete. Para obtener más información, consulta Métodos estándar.
  • Métodos personalizados: se refiere a los métodos de la API que no son los cinco estándar. Algunos métodos personalizados habituales son Cancel, BatchGet, Move, Search y Undelete. Para obtener más información, consulte Métodos personalizados.
  • Métodos GoogleInternal: a continuación se muestran ejemplos de métodos GoogleInternal que aparecen en el campo accesses:methodNames:
Nombre del método Descripción Ejemplos
GoogleInternal.Read Significa que se ha realizado una acción de lectura en el contenido del cliente con una justificación empresarial válida. La acción de lectura se realiza mediante una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método no modifica el contenido del cliente. Lectura de permisos de gestión de identidades y accesos.
GoogleInternal.Write Significa que se ha realizado una acción de escritura en el contenido del cliente con una justificación empresarial válida. La acción de escritura se realiza mediante una API interna diseñada específicamente para administrar servicios Google Cloud . Este método puede actualizar el contenido o las configuraciones de los clientes.
  • Definir permisos de gestión de identidades y accesos para un recurso.
  • Suspender una instancia de Compute Engine.
GoogleInternal.Create Significa que se ha realizado una acción de creación en contenido de clientes con una justificación empresarial válida. La acción de creación se realiza mediante una API interna diseñada específicamente para administrar servicios Google Cloud . Este método crea contenido de cliente.
  • Crear un segmento de Cloud Storage.
  • Crear un tema de Pub/Sub.
GoogleInternal.Delete Significa que se ha realizado una acción de eliminación en el contenido de un cliente mediante una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método modifica el contenido o las configuraciones del cliente.
  • Eliminar un objeto de Cloud Storage.
  • Eliminar una tabla de BigQuery.
GoogleInternal.List Indica una acción de lista realizada en contenido de clientes con una justificación empresarial válida. La acción de lista se produce mediante una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método no modifica el contenido ni las configuraciones de los clientes.
  • Listar las instancias de Compute Engine de un cliente.
  • Listar las tareas de Dataflow de un cliente.
GoogleInternal.Update Significa que se ha realizado una modificación en el contenido del cliente con una justificación empresarial válida. La acción de actualización se realiza mediante una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método modifica el contenido o las configuraciones del cliente. Actualizar claves HMAC en Cloud Storage.
GoogleInternal.Get Significa que se ha realizado una acción de obtención en el contenido del cliente con una justificación empresarial válida. La acción get se realiza mediante una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método no modifica el contenido ni las configuraciones de los clientes.
  • Recuperando la política de gestión de identidades y accesos de un recurso.
  • Obtener el trabajo de Dataflow de un cliente.
GoogleInternal.Query Significa que se ha realizado una acción de consulta en el contenido de un cliente con una justificación empresarial válida. La acción de consulta se realiza mediante una API interna diseñada específicamente para administrar servicios Google Cloud . Este método no modifica el contenido ni las configuraciones de los clientes.
  • Ejecutar una consulta de BigQuery.
  • Búsqueda en la consola de depuración de AI Platform en el contenido del cliente.

Los accesos GoogleInternal están estrictamente restringidos al personal autorizado para un acceso justificado y auditable. La presencia de un método no indica que esté disponible para todos los roles. Las organizaciones que quieran tener más control sobre el acceso de administrador a un proyecto o una organización pueden activar Aprobación de acceso para habilitar la aprobación o el rechazo de accesos en función de los detalles de acceso. Por ejemplo, los usuarios de Aprobación de acceso pueden permitir solo las solicitudes con la justificación CUSTOMER_INITIATED_SUPPORT para las solicitudes realizadas por un empleado de Google. Para obtener más información, consulta la descripción general de Access Approval.

Si un evento cumple los criterios estrictos de acceso de emergencia, Aprobación de acceso puede registrar ese acceso de emergencia con el estado auto approved. Transparencia de acceso y Aprobación de acceso se han diseñado específicamente para incluir el registro ininterrumpido en situaciones de acceso de emergencia.

Si quieres tener más control sobre la seguridad de los datos de tus cargas de trabajo, te recomendamos que uses Assured Workloads. Los proyectos de Assured Workloads ofrecen funciones mejoradas, como la residencia de datos, los controles soberanos y el acceso a funciones como la computación confidencial en Compute Engine. Aprovecha Justificaciones de acceso a claves para las claves de cifrado gestionadas externamente.

Códigos de motivos de justificación

Motivo Descripción
CUSTOMER_INITIATED_SUPPORT Se ha accedido porque el cliente ha solicitado asistencia. Por ejemplo, "Número de caso: ####".
GOOGLE_INITIATED_SERVICE

Se refiere al acceso iniciado por Google para la gestión del sistema y la solución de problemas. El personal de Google puede conceder este tipo de acceso por los siguientes motivos:

  • Para hacer tareas de depuración técnicas para responder a una solicitud o investigación de asistencia compleja.
  • Para solucionar problemas técnicos, como errores de almacenamiento o datos dañados.
THIRD_PARTY_DATA_REQUEST Acceso iniciado por Google en respuesta a una solicitud o un proceso legales, incluidos los que haya iniciado el propio cliente propietario de los datos.
GOOGLE_INITIATED_REVIEW Google ha accedido a los datos por motivos de seguridad o de cumplimiento de políticas, o para investigar casos de fraude o abuso. Por ejemplo, puede acceder con los siguientes propósitos:
  • Asegurarse de que las cuentas y los datos de los clientes estén protegidos.
  • Comprobar si los datos se han visto afectados por eventos que pueden poner en riesgo la seguridad de las cuentas, como infecciones de malware.
  • Confirmar que los clientes utilizan los servicios de acuerdo con los Términos del Servicio de Google.
  • Investigar las reclamaciones de otros usuarios y clientes u otros indicios de uso inadecuado.
  • Comprobar que los servicios de Google se utilizan de conformidad con las regulaciones oportunas (por ejemplo, las normativas contra el blanqueo de dinero).
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Se refiere al acceso iniciado por Google para mantener la fiabilidad del sistema. El personal de Google puede conceder este tipo de acceso por los siguientes motivos:

  • Investigar y confirmar que una posible interrupción del servicio no afecta al cliente.
  • Para crear copias de seguridad o recuperar datos tras interrupciones y fallos del sistema.

Monitorizar registros de Transparencia de acceso

Puedes monitorizar los registros de Transparencia de acceso mediante la API Cloud Monitoring. Para empezar, consulta la documentación de Cloud Monitoring.

Puedes configurar una métrica basada en registros y, a continuación, una política de alertas para recibir avisos oportunos sobre los problemas que se detecten en estos registros. Por ejemplo, puedes crear una métrica basada en registros que registre los accesos del personal de Google a tu contenido y, a continuación, crear una política de alertas en Monitoring que te avise si el número de accesos en un periodo determinado supera un umbral específico.

Siguientes pasos