Se usó la API de Cloud Translation para traducir esta página.

Comprender y usar los registros de Transparencia de acceso

En esta página, se describe el contenido de las entradas de registro de Transparencia de acceso y cómo verlas y usarlas.

Registros de Transparencia de acceso detallados

Los registros de Transparencia de acceso se pueden integrar a tus herramientas existentes de información de seguridad y administración de eventos (SIEM) para automatizar las auditorías del personal de Google cuando acceden a tu contenido. Los registros de Transparencia de acceso están disponibles en la consola de Google Cloud junto con tus registros de auditoría de Cloud.

En las entradas de registro de Transparencia de acceso, se incluyen los siguientes tipos de detalles:

Acción y recurso afectados
Hora de la acción
Motivos de la acción (por ejemplo, el número de caso asociado a una solicitud de atención al cliente)
Datos acerca de quién trabaja con el contenido (por ejemplo, la ubicación del personal de Google)

Habilita la Transparencia de acceso

Si deseas obtener información para habilitar la Transparencia de acceso en tu Google Cloud organización, consulta Habilita la Transparencia de acceso.

Visualiza los registros de Transparencia de acceso

Una vez que configures la Transparencia de acceso para tu organización de Google Cloud, puedes establecer controles para determinar quién puede acceder a los registros de Transparencia de acceso. Para ello, asigna a un usuario o grupo el rol de Visor de registros privados. Consulta la guía de control de acceso de Cloud Logging para obtener más detalles.

Para ver los registros de Transparencia de acceso, usa el siguiente filtro de registro de Google Cloud Observability.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Para obtener información sobre cómo ver los registros de Transparencia de acceso en el explorador de registros, consulta Cómo usar el explorador de registros.

También puedes supervisar los registros mediante la API de Cloud Monitoring o con funciones de Cloud Run. Para comenzar, consulta la documentación de Cloud Monitoring.

Crea una métrica basada en registros y, luego, configura una política de alertas para enterarte a tiempo de los problemas que presentan estos registros (opcional).

Ejemplo de entrada de registro de Transparencia de acceso

El siguiente es un ejemplo de una entrada de registro de Transparencia de acceso:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Descripciones de los campos de registros

Campo	Descripción
`insertId`	Identificador único del registro
`@type`	Identificador de registro de Transparencia de acceso
`principalOfficeCountry`	Código de país ISO 3166-1 alfa-2 correspondiente al país en el que quien accedió tiene un escritorio permanente, `??` si la ubicación no está disponible o un identificador de continente de 3 caracteres si el personal de Google se encuentra en un país con baja población.
`principalEmployingEntity`	La entidad que emplea al personal de Google que realiza el acceso (por ejemplo, `Google LLC`).
`principalPhysicalLocationCountry`	Código de país ISO 3166-1 alfa-2 correspondiente al país desde el que se logró el acceso, `??` si la ubicación no está disponible o un identificador de continente de 3 caracteres si el personal de Google se encuentra en un país con baja población.
`principalJobTitle`	La familia de puestos del personal de Google que realiza el acceso
`product`	Producto Google Cloud del cliente al que se accedió
`reason:detail`	Detalles del motivo, por ejemplo, el ID de un ticket de asistencia
`reason:type`	Acceso al tipo de motivo (por ejemplo, `CUSTOMER_INITIATED_SUPPORT)`)
`accesses:methodName`	Tipo de acceso que se realizó Por ejemplo, `GoogleInternal.Read`. Para obtener más información sobre los métodos que pueden aparecer en el campo `methodName`, consulta Valores para el campo `accesses: methodName`.
`accesses:resourceName`	Nombre del recurso al que se accedió
`accessApprovals`	Incluye los nombres de los recursos de las solicitudes de aprobación de acceso que aprobaron el acceso. Estas solicitudes están sujetas a exclusiones y servicios compatibles. Este campo solo se propaga si la aprobación de acceso está habilitada para los recursos a los que se accede. Los registros de Transparencia de acceso publicados antes del 24 de marzo de 2021 no tendrán este campo propagado.
`logName`	Nombre de la ubicación del registro
`operation:id`	ID de clúster del registro
`receiveTimestamp`	Hora en la que la canalización del registro recibió el acceso
`project_id`	Proyecto asociado al recurso al que se accedió
`type`	Tipo de recurso al que se accedió (por ejemplo, `project`)
`eventId`	Es el ID de evento único asociado con una sola justificación de evento de acceso (por ejemplo, un solo caso de asistencia). Todos los accesos registrados en la misma justificación tienen el mismo valor de `event_id`.
`severity`	Gravedad del registro
`timestamp`	Hora en la que se escribió el registro

Valores para el campo `accesses:methodNames`

Los siguientes métodos pueden aparecer en el campo accesses:methodNames de los registros de Transparencia de acceso:

Métodos estándares: Estos métodos son List, Get, Create, Update y Delete. Para obtener más información, consulta Métodos estándar.
Métodos personalizados: Los métodos personalizados son los métodos de API distintos de los 5 métodos estándar. Entre los métodos personalizados comunes, se incluyen Cancel, BatchGet, Move, Search y Undelete. Para obtener más información, consulta Métodos personalizados.
Métodos GoogleInternal: Los siguientes son ejemplos de métodos GoogleInternal que aparecen en el campo accesses:methodNames:

Nombre del método	Descripción	Ejemplos
`GoogleInternal.Read`	Indica una acción de lectura realizada en el contenido del cliente con una justificación comercial válida. La acción de lectura se realiza con una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método no muta el contenido del cliente.	Leer los permisos de IAM
`GoogleInternal.Write`	Indica una acción de escritura realizada en el contenido del cliente con una justificación comercial válida. La acción de escritura se realiza con una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método puede actualizar el contenido o la configuración de los clientes.	Configuración de permisos de IAM para un recurso Suspender una instancia de Compute Engine
`GoogleInternal.Create`	Indica una acción de creación realizada en el contenido del cliente con una justificación comercial válida. La acción de creación se realiza con una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método crea contenido nuevo para los clientes.	Crear un bucket de Cloud Storage. Crea un tema de Pub/Sub.
`GoogleInternal.Delete`	Indica una acción de eliminación que se realiza en el contenido del cliente con una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método muta el contenido o la configuración del cliente.	Borrar un objeto de Cloud Storage Borrar una tabla de BigQuery
`GoogleInternal.List`	Indica una acción de lista que se realiza en el contenido del cliente con una justificación comercial válida. La acción de lista se realiza con una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método no muta el contenido ni la configuración del cliente.	Mostrar las instancias de Compute Engine de un cliente Enumera los trabajos de Dataflow de un cliente.
`GoogleInternal.Update`	Indica que se realizó una modificación en el contenido del cliente con una justificación comercial válida. La acción de actualización se realiza con una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método muta el contenido o la configuración del cliente.	Actualizar las claves HMAC en Cloud Storage
`GoogleInternal.Get`	Indica una acción de obtención que se realiza en el contenido del cliente con una justificación comercial válida. La acción de obtener se realiza con una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método no muta el contenido ni la configuración del cliente.	Cómo recuperar la política de IAM de un recurso Recuperar el trabajo de Dataflow de un cliente
`GoogleInternal.Query`	Indica una acción de consulta realizada en el contenido del cliente con una justificación comercial válida. La acción de consulta se realiza con una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método no muta el contenido ni la configuración del cliente.	Ejecutar una consulta de BigQuery Búsqueda en la consola de depuración de AI Platform en el contenido del cliente

Los accesos a GoogleInternal están estrictamente restringidos al personal autorizado para un acceso justificado y auditable. La presencia de un método no indica la disponibilidad para todos los roles. Las organizaciones que buscan controles mejorados sobre el acceso administrativo a un proyecto o una organización pueden activar la Aprobación de acceso para habilitar la aprobación o el rechazo de accesos según los detalles de acceso. Por ejemplo, los usuarios de Aprobación de acceso pueden permitir solo las solicitudes con la justificación CUSTOMER_INITIATED_SUPPORT para las solicitudes que realiza un empleado de Google. Para obtener más información, consulta Descripción general de la aprobación de acceso.

Si un evento cumple con criterios estrictos de acceso de emergencia, la Aprobación de acceso puede registrar ese acceso de emergencia con el estado auto approved. La Transparencia de acceso y la Aprobación de acceso están diseñadas específicamente para incluir un registro sin interrupciones en situaciones de acceso de emergencia.

Si buscas más control de seguridad de los datos sobre tus cargas de trabajo, te recomendamos que uses Assured Workloads. Los proyectos de Assured Workloads ofrecen funciones mejoradas, como la residencia de datos, los controles de soberanía y el acceso a funciones como la computación confidencial en Compute Engine. Aprovecha las justificaciones de acceso a claves para las claves de encriptación administradas de forma externa.

Códigos de los motivos de justificación

Motivo	Descripción
`CUSTOMER_INITIATED_SUPPORT`	Asistencia que inició el cliente, por ejemplo, "Número de caso: ####".
`GOOGLE_INITIATED_SERVICE`	Se refiere al acceso que inició Google para la administración del sistema y la solución de problemas. El personal de Google puede realizar este tipo de acceso por los siguientes motivos: Para realizar la depuración técnica necesaria para una solicitud de asistencia o investigación compleja. Para solucionar problemas técnicos, como fallas de almacenamiento o corrupción de datos
`THIRD_PARTY_DATA_REQUEST`	Acceso iniciado por Google en respuesta a una solicitud o un proceso legal, incluso cuando se responde a un proceso legal del cliente que requiere que Google acceda a sus propios datos.
`GOOGLE_INITIATED_REVIEW`	Google inició el acceso por motivos de seguridad, fraude, abuso o cumplimiento, incluidos los siguientes: Garantizar la seguridad y protección de las cuentas y los datos de los clientes Confirmar si los datos se están afectados por un evento que podría causar un impacto en la seguridad de la cuenta (por ejemplo, infecciones con software malicioso) Confirmar si el cliente usa los servicios de Google en conformidad con las Condiciones del Servicio de Google Investigar reclamos de otros usuarios y clientes o alguna otra señal de actividad inadecuada Verificar que los servicios de Google se usen de acuerdo con los regímenes de cumplimiento relevantes (por ejemplo, las normativas contra el lavado de dinero)
`GOOGLE_RESPONSE_TO_PRODUCTION_ALERT`	Se refiere al acceso que inicia Google para mantener la confiabilidad del sistema. El personal de Google puede realizar este tipo de acceso por los siguientes motivos: Para investigar y confirmar que una interrupción del servicio presunta no afecta al cliente. Para garantizar la copia de seguridad y la recuperación ante interrupciones y fallas del sistema.

Supervisa los registros de Transparencia de acceso

Puedes supervisar los registros de la Transparencia de acceso con la API de Cloud Monitoring. Para comenzar, consulta la documentación de Cloud Monitoring.

Puedes configurar una métrica basada en registros y, luego, una política de alertas para enterarte a tiempo de los problemas que presentan estos registros. Por ejemplo, puedes crear una métrica basada en registros que capture los accesos del personal de Google a tu contenido y, luego, crear una política de alertas en la supervisión que te permita saber si la cantidad de accesos en un período determinado supera un umbral especificado.

¿Qué sigue?

Obtén información para ver y comprender los registros de Transparencia de acceso de los servicios de Google Workspace.