Access Transparency-Logs verstehen und verwenden

Auf dieser Seite werden der Inhalt von Access Transparency-Logeinträgen und deren Aufruf und Verwendung beschrieben.

Zugriffstransparenzlogs im Detail

Access Transparency-Logs können in Ihre vorhandenen SIEM-Tools (Security Information and Event Management) eingebunden werden, um Audits von Google-Mitarbeitern beim Zugriff auf Ihre Inhalte zu automatisieren. Access Transparency-Logs sind in der Google Cloud Console zusammen mit Ihren Cloud-Audit-Logs verfügbar.

Access Transparency-Logeinträge umfassen folgende Informationen:

  • Die betroffene Ressource und Aktion
  • Die Zeit der Aktion
  • Die Gründe für die Aktion (z. B. die Fallnummer, die mit einer Kundensupportanfrage verknüpft ist)
  • Daten darüber, wer im Content handelt, z. B. der Standort des Google-Personals.

Zugriffstransparenz aktivieren

Informationen zum Aktivieren von Access Transparency für Ihre Google Cloud-Organisation finden Sie unter Access Transparency aktivieren.

Zugriffstransparenzlogs ansehen

Nachdem Sie Access Transparency für Ihre Google Cloud-Organisation konfiguriert haben, können Sie steuern, wer auf die Access Transparency-Logs zugreifen kann. Weisen Sie dazu einem Nutzer oder einer Gruppe die Rolle Betrachter privater Logs zu. Weitere Informationen finden Sie in der Anleitung für die Cloud Logging-Zugriffssteuerung.

Verwenden Sie den folgenden Logging-Filter der Operations-Suite von Google Cloud, um Access Transparency-Logs aufzurufen.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Informationen zum Abrufen Ihrer Access Transparency-Logs im Log-Explorer finden Sie unter Log-Explorer verwenden.

Sie können die Logs auch mithilfe der Cloud Monitoring API oder mit Cloud Functions überwachen. Informationen zum Einstieg finden Sie in der Dokumentation zu Cloud Monitoring.

Optional: Erstellen Sie einen logbasierten Messwert und richten Sie dann eine Benachrichtigungsrichtlinie ein, um rechtzeitig auf Probleme aufmerksam zu machen, die von diesen Logs aufgedeckt werden.

Beispiel für einen Access Transparency-Logeintrag

Es folgt ein Beispiel für einen Eintrag im Zugriffstransparenzlog:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Logfeldbeschreibungen

Feld Beschreibung
insertId Eindeutige Kennzeichnung für das Log
@type Zugriffstransparenzlog-ID
principalOfficeCountry ISO 3166-1: Alpha-2-Code des Landes, in dem die zugreifende Person einen dauerhaften Sitz hat, ?? wenn kein Standort verfügbar ist, oder 3-stellige Kontinent-ID für Google-Mitarbeiter in einem Land mit geringem Bevölkerungsanteil.
principalEmployingEntity Die Entität, die den zugreifenden Google-Mitarbeiter beschäftigt (z. B. Google LLC).
principalPhysicalLocationCountry ISO 3166-1 Alpha-2-Code des Landes, aus dem der Zugriff erfolgte, ?? falls kein Standort verfügbar ist oder 3-stellige Kontinent-ID für Google-Mitarbeiter in einem Land mit geringem Bevölkerungsanteil
principalJobTitle Die Jobfamilie der Google-Mitarbeiter, die den Zugriff vornehmen.
product Das Google Cloud-Produkt des Kunden, auf das zugegriffen wurde.
reason:detail Details zum Grund, z. B. eine Support-Ticket-ID
reason:type Typ des Grundes für den Zugriff, z. B. CUSTOMER_INITIATED_SUPPORT)
accesses:methodName Welche Art von Zugriff erfolgte. Beispiel: GoogleInternal.Read. Weitere Informationen zu den Methoden, die im Feld methodName angezeigt werden können, finden Sie unter Werte für das Feld accesses: methodName.
accesses:resourceName Name der Ressource, auf die zugegriffen wurde
accessApprovals Enthält die Ressourcennamen von Access Approval-Anfragen, die den Zugriff genehmigt haben. Diese Anfragen unterliegen Ausschlüssen und unterstützten Diensten.

Dieses Feld wird nur gefüllt, wenn Access Approval für die Ressourcen aktiviert ist, auf die zugegriffen wird. Dieses Feld wird in Access Transparency-Logs, die vor dem 24. März 2021 veröffentlicht wurden, nicht ausgefüllt.
logName Name des Logspeicherorts
operation:id Logcluster-ID
receiveTimestamp Zeitpunkt, zu dem der Zugriff von der Logpipeline empfangen wurde.
project_id Der Ressource zugeordnetes Projekt, auf das zugegriffen wurde.
type Typ der Ressource, auf die zugegriffen wurde (z. B. project)
eventId Eindeutige Ereignis-ID, die einer einzelnen Begründung für ein Zugriffsereignis zugeordnet ist (z. B. eine einzelne Supportanfrage). Alle Zugriffe, die unter derselben Begründung protokolliert werden, haben denselben event_id-Wert.
severity Logschweregrad
timestamp Zeit, zu der das Log geschrieben wurde

Werte für das Feld „accesses:methodNames

Die folgenden Methoden können im Feld accesses:methodNames in Access Transparency-Logs angezeigt werden:

  • Standardmethoden: Diese Methoden sind List, Get, Create, Update und Delete. Weitere Informationen finden Sie unter Standardmethoden.
  • Benutzerdefinierte Methoden: Benutzerdefinierte Methoden beziehen sich auf API-Methoden neben den fünf Standardmethoden. Zu den gängigen benutzerdefinierten Methoden gehören Cancel, BatchGet, Move, Search und Undelete. Weitere Informationen finden Sie unter Benutzerdefinierte Methoden.
  • GoogleInterne Methoden: Die folgenden GoogleInternal-Methoden können im Feld accesses:methodNames angezeigt werden:
Methodenname Beschreibung Beispiele
GoogleInternal.Read Gibt eine Leseaktion an, die mit einer gültigen geschäftlichen Begründung für Kundeninhalte ausgeführt wurde. Die Leseaktion wird über eine interne API ausgeführt, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode werden Kundeninhalte nicht verändert. IAM-Berechtigungen werden gelesen.
GoogleInternal.Write Gibt eine Schreibaktion für Kundeninhalte mit einer gültigen geschäftlichen Begründung an. Die Schreibaktion wird mit einer internen API ausgeführt, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode können Kundeninhalte und/oder Konfigurationen aktualisiert werden.
  • IAM-Berechtigungen für eine Ressource festlegen
  • Compute Engine-Instanz anhalten
GoogleInternal.Create Bezeichnet eine Erstellungsaktion, die mit einer gültigen geschäftlichen Begründung für Kundeninhalte ausgeführt wurde. Die Erstellungsaktion erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode werden neue Kundeninhalte erstellt.
  • Cloud Storage-Bucket erstellen
  • Pub/Sub-Thema erstellen
GoogleInternal.Delete Bezeichnet eine Löschaktion für Kundeninhalte mit einer internen API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode werden Kundeninhalte und/oder Konfigurationen verändert.
  • Cloud Storage-Objekt löschen
  • Eine BigQuery-Tabelle löschen.
GoogleInternal.List Gibt eine Listenaktion für Kundeninhalte mit gültiger geschäftlicher Begründung an. Die Listenaktion erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode werden keine Änderungen an Kundeninhalten oder Konfigurationen vorgenommen.
  • Compute Engine-Instanzen eines Kunden auflisten.
  • Dataflow-Jobs eines Kunden auflisten.
GoogleInternal.SSH Bezeichnet eine SSH-Aktion, die mit einer gültigen geschäftlichen Begründung auf der virtuellen Maschine eines Kunden ausgeführt wurde. Der SSH-Zugriff erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode können Kundeninhalte und Konfigurationen verändert werden. Notfallzugriff zur Wiederherstellung nach einem Ausfall in Compute Engine oder GKE on VMware.
GoogleInternal.Update Bezeichnet eine Änderung, die mit einer gültigen geschäftlichen Begründung an Kundeninhalten vorgenommen wurde. Die Aktualisierung erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode werden Kundeninhalte und/oder Konfigurationen verändert. HMAC-Schlüssel in Cloud Storage aktualisieren
GoogleInternal.Get Gibt eine Get-Aktion an, die mit einer gültigen geschäftlichen Begründung für Kundeninhalte ausgeführt wurde. Die get-Aktion wird über eine interne API ausgeführt, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode werden keine Änderungen an Kundeninhalten oder Konfigurationen vorgenommen.
  • IAM-Richtlinie für eine Ressource abrufen.
  • Dataflow-Job eines Kunden abrufen.
GoogleInternal.Query Gibt eine Abfrageaktion für Kundeninhalte mit einer gültigen geschäftlichen Begründung an. Die Abfrageaktion erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode werden keine Änderungen an Kundeninhalten oder Konfigurationen vorgenommen.
  • Eine BigQuery-Abfrage ausführen
  • In der AI Platform-Debugging-Konsole nach Kundeninhalten suchen

Die GoogleInternal-Zugriffe sind streng befugten Mitarbeitern für gerechtfertigte und überprüfbare Zugriffe vorbehalten. Das Vorhandensein einer Methode bedeutet nicht, dass alle Rollen verfügbar sind. Organisationen, die erweiterte Kontrollen über den Administratorzugriff auf ein Projekt oder eine Organisation wünschen, können die Zugriffsgenehmigung aktivieren, um Zugriffe basierend auf den Zugriffsdetails genehmigen oder ablehnen zu können. Nutzer von Access Approval können beispielsweise festlegen, dass nur Anfragen mit der Begründung CUSTOMER_INITIATED_SUPPORT für Anfragen von Google-Mitarbeitern mit der Rolle Customer Support zugelassen werden sollen. Weitere Informationen finden Sie unter Übersicht über die Zugriffsgenehmigung.

Wenn ein Ereignis strenge Kriterien für den Notfallzugriff erfüllt, kann die Zugriffsgenehmigung diesen Notfallzugriff mit dem Status auto approved protokollieren. Access Transparency und Access Approval wurden speziell dafür entwickelt, eine unterbrechungsfreie Protokollierung für Notfallzugriffsszenarien zu ermöglichen.

Wenn Sie mehr Kontrolle über die Datensicherheit für Ihre Arbeitslasten benötigen, empfehlen wir die Verwendung von Assured Workloads. Assured Workloads-Projekte bieten erweiterte Funktionen wie Datenstandort, Datenhoheitskontrollen und Zugriff auf Features wie Confidential Computing in Compute Engine. Für extern verwaltete Verschlüsselungsschlüssel wird Key Access Justifications verwendet.

Begründungscodes

Grund Beschreibung
CUSTOMER_INITIATED_SUPPORT Vom Kunden initiierter Support, z. B. „Fallnummer: ####“.
GOOGLE_INITIATED_SERVICE

Bezieht sich auf den von Google initiierten Zugriff zur Systemverwaltung und Fehlerbehebung. Google-Mitarbeiter können diese Art von Zugriff aus folgenden Gründen vornehmen:

  • Zur Durchführung der technischen Fehlerbehebung, die für eine komplexe Supportanfrage oder Prüfung erforderlich ist.
  • Zur Behebung technischer Probleme wie Speicherfehler oder Datenschäden.
THIRD_PARTY_DATA_REQUEST Von Google eingeleitete Zugriffe als Reaktion auf ein rechtliches Ersuchen oder ein gerichtliches Verfahren, einschließlich in Reaktion auf ein gerichtliches Verfahren des Kunden, bei dem Google Zugriff auf die eigenen Daten des Kunden benötigt.
GOOGLE_INITIATED_REVIEW Von Google eingeleitete Zugriffe im Zusammenhang mit Sicherheitsaspekten, Betrugs- oder Missbrauchsfällen oder zu Compliance-Zwecken, einschließlich:
  • Sicherstellung der Sicherheit von Kundenkonten und -daten
  • Prüfen, ob Daten von einem Ereignis betroffen sind, das sich auf die Kontosicherheit auswirken könnte (z. B. Malware-Infektion)
  • Bestätigung, ob der Kunde Google-Dienste gemäß den Google-Nutzungsbedingungen verwendet.
  • Prüfung von Beschwerden anderer Nutzer und Kunden oder anderer Hinweise auf missbräuchliche Aktivitäten.
  • Überprüfung, ob Google-Dienste in Übereinstimmung mit relevanten Compliance-Regelungen verwendet werden (z. B. Anti-Geldwäsche-Bestimmungen).
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Bezieht sich auf den von Google initiierten Zugriff zur Aufrechterhaltung der Systemzuverlässigkeit. Google-Mitarbeiter können diese Art von Zugriff aus folgenden Gründen vornehmen:

  • Untersuchung und Bestätigung, dass ein vermuteter Dienstausfall keine Auswirkungen auf den Kunden hat.
  • Um die Sicherung und Wiederherstellung nach Ausfällen und Systemausfällen sicherzustellen.

Access Transparency-Logs überwachen

Mit der Cloud Monitoring API können Sie Access Transparency-Logs überwachen. Informationen zum Einstieg finden Sie in der Cloud Monitoring-Dokumentation.

Sie können einen logbasierten Messwert und dann eine Benachrichtigungsrichtlinie einrichten, um rechtzeitig auf Probleme aufmerksam zu machen, die von diesen Logs aufgedeckt werden. Sie können beispielsweise einen logbasierten Messwert erstellen, der die Zugriffe von Google-Mitarbeitern auf Ihre Inhalte erfasst, und dann in Monitoring eine Benachrichtigungsrichtlinie erstellen, die Sie darüber informiert, ob die Anzahl der Zugriffe in einem bestimmten Zeitraum einen bestimmten Grenzwert überschreitet.

Nächste Schritte