Comprendre et utiliser les journaux Access Transparency

Cette page décrit le contenu des entrées de journal Access Transparency, et explique comment les afficher et les utiliser.

Les journaux Access Transparency en détail

Vous pouvez intégrer les journaux Access Transparency à vos outils de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management) existants afin d'automatiser les audits des services Google lorsqu'ils accèdent à votre contenu. Les journaux Access Transparency sont disponibles dans la console Google Cloud, avec vos journaux Cloud Audit Logs.

Les entrées de journal Access Transparency incluent les types d'informations suivants :

  • La ressource et l'action affectées
  • Le moment où l'action a été effectuée
  • Le motif de l'action (par exemple, le numéro de dossier associé à une demande d'assistance)
  • Des données concernant les personnes agissant sur le contenu (par exemple, la position géographique du personnel de Google)

Activer Access Transparency

Pour en savoir plus sur l'activation d'Access Transparency pour votre organisation Google Cloud, consultez la page Activer Access Transparency.

Afficher les journaux Access Transparency

Une fois que vous avez configuré Access Transparency pour votre organisation Google Cloud, vous pouvez définir des contrôles d'accès aux journaux Access Transparency en attribuant le rôle Lecteur des journaux privés à un utilisateur ou à un groupe. Pour en savoir plus, consultez le guide du contrôle des accès à Cloud Logging.

Pour afficher les journaux Access Transparency, utilisez le filtre de journalisation de la suite Google Cloud Operations suivant.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Pour découvrir comment afficher vos journaux Access Transparency dans l'explorateur de journaux, consultez la page Utiliser l'explorateur de journaux.

Vous pouvez également surveiller les journaux à l'aide de l'API Cloud Monitoring ou de Cloud Functions. Pour commencer, consultez la documentation de Cloud Monitoring.

Facultatif : créez une métrique basée sur les journaux, puis configurez une règle d'alerte pour être rapidement informé en cas de problèmes révélés par ces journaux.

Exemple d'entrée de journal Access Transparency

Voici un exemple d'entrée de journal Access Transparency :

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Description des champs de journal

Champ Description
insertId Identifiant unique pour le journal.
@type Identifiant de journal Access Transparency.
principalOfficeCountry Code de pays ISO 3166-1 alpha-2 du pays dans lequel l'accesseur dispose d'un bureau permanent, ?? si l'emplacement n'est pas disponible ou que l'identifiant de continent à trois caractères du personnel de Google correspond à un pays à faible population.
principalEmployingEntity Entité qui emploie le personnel de Google effectuant l'accès (par exemple, Google LLC).
principalPhysicalLocationCountry Code de pays ISO 3166-1 alpha-2 du pays à partir duquel l'accès a été effectué, ?? si l'emplacement n'est pas disponible ou que l'identifiant de continent à trois caractères du personnel de Google correspond à un pays à faible population.
principalJobTitle Famille de membres du personnel de Google effectuant l'accès.
product Produit Google Cloud du client consulté.
reason:detail Détail du motif (par exemple, un ID de demande d'assistance).
reason:type Accédez au type de motif, par exemple, CUSTOMER_INITIATED_SUPPORT).
accesses:methodName Le type d'accès accordé. Par exemple, GoogleInternal.Read. Pour en savoir plus sur les méthodes pouvant apparaître dans le champ methodName, consultez la section Valeurs du champ accesses: methodName.
accesses:resourceName Nom de la ressource qui a fait l'objet de l'accès.
accessApprovals Inclut les noms de ressources des demandes Access Approval ayant approuvé l'accès. Ces demandes sont soumises à des exclusions et à des services compatibles.

Ce champ n'est renseigné que si Access Approval est activé pour les ressources consultées. Ce champ n'est pas renseigné pour les journaux Access Transparency publiés avant le 24 mars 2021.
logName Nom de l'emplacement du journal.
operation:id ID du cluster du journal.
receiveTimestamp Heure à laquelle l'accès a été enregistré par le pipeline de journalisation.
project_id Projet associé à la ressource ayant fait l'objet d'un accès.
type Type de ressource ayant fait l'objet d'un accès (par exemple, project).
eventId ID d'événement unique associé à une seule justification d'événement d'accès (par exemple, une demande d'assistance unique). Tous les accès consignés avec la même justification ont la même valeur event_id.
severity Niveau de gravité du journal.
timestamp Date et heure de création du journal.

Valeurs du champ accesses:methodNames

Les méthodes suivantes peuvent apparaître dans le champ accesses:methodNames des journaux Access Transparency:

  • Méthodes standards: List, Get, Create, Update et Delete. Pour en savoir plus, consultez la section Méthodes standards.
  • Méthodes personnalisées: les méthodes personnalisées font référence aux méthodes API en plus des cinq méthodes standards. Les méthodes personnalisées courantes incluent Cancel, BatchGet, Move, Search et Undelete. Pour en savoir plus, consultez la section Méthodes personnalisées.
  • Méthodes internes Google: les méthodes GoogleInternal suivantes peuvent apparaître dans le champ accesses:methodNames:
Nom de la méthode Description Examples
GoogleInternal.Read Indique une action de lecture effectuée sur le contenu d'un client avec une justification métier valide. L'action de lecture s'effectue à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode ne modifie pas le contenu du client. Lire les autorisations IAM
GoogleInternal.Write Indique une action d'écriture effectuée sur le contenu client avec une justification métier valide. L'action d'écriture s'effectue à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode permet de mettre à jour le contenu et/ou les configurations client.
  • Définir des autorisations IAM pour une ressource
  • Suspendre une instance Compute Engine
GoogleInternal.Create Indique une action de création effectuée sur du contenu client avec une justification métier valide. L'action de création s'effectue à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode permet de créer du contenu client.
  • Créer un bucket Cloud Storage
  • Créer un sujet Pub/Sub
GoogleInternal.Delete Indique une action de suppression effectuée sur le contenu d'un client à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode modifie le contenu et/ou les configurations du client.
  • Supprimer un objet Cloud Storage
  • Supprimer une table BigQuery
GoogleInternal.List Indique une action de liste effectuée sur le contenu d'un client avec une justification métier valide. L'action "list" s'effectue à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode ne modifie pas le contenu ni les configurations client.
  • Lister les instances Compute Engine d'un client
  • Lister les tâches Dataflow d'un client
GoogleInternal.SSH Indique une action SSH effectuée sur la machine virtuelle d'un client avec une justification métier valide. L'accès SSH s'effectue à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode peut modifier le contenu et les configurations client. Accès d'urgence pour effectuer une reprise après une panne sur Compute Engine ou GKE sur VMware.
GoogleInternal.Update Modification effectuée sur le contenu d'un client et accompagnée d'une justification métier valide. L'action de mise à jour s'effectue à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode modifie le contenu et/ou les configurations du client. Mettre à jour des clés HMAC dans Cloud Storage
GoogleInternal.Get Indique une action "get" effectuée sur du contenu client avec une justification métier valide. L'action "get" s'effectue à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode ne modifie pas le contenu ni les configurations client.
  • Récupérer une stratégie IAM pour une ressource
  • Récupérer le job Dataflow d'un client
GoogleInternal.Query Indique une action de requête effectuée sur le contenu d'un client avec une justification métier valide. L'action de requête s'effectue à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode ne modifie pas le contenu ni les configurations client.
  • Exécuter une requête BigQuery
  • Recherche de contenu client dans la console de débogage AI Platform.

Les accès à GoogleInternal sont strictement limités au personnel autorisé pour un accès justifié et vérifiable. La présence d'une méthode n'indique pas la disponibilité de tous les rôles. Les organisations qui souhaitent bénéficier de contrôles renforcés sur l'accès administrateur à un projet ou à une organisation peuvent activer Access Approval pour autoriser ou refuser les accès en fonction des informations d'accès. Par exemple, les utilisateurs Access Approval peuvent choisir d'autoriser uniquement les demandes ayant la justification CUSTOMER_INITIATED_SUPPORT pour celles effectuées par un employé de Google doté du rôle Customer Support. Pour en savoir plus, consultez la page Présentation d'Access Approval.

Si un événement répond à des critères d'accès d'urgence stricts, Access Approval peut l'enregistrer avec l'état auto approved. Access Transparency et Access Approval sont spécifiquement conçus pour permettre une journalisation ininterrompue lors des scénarios d'accès d'urgence.

Si vous souhaitez contrôler davantage la sécurité des données de vos charges de travail, nous vous recommandons d'utiliser Assured Workloads. Les projets Assured Workloads offrent des fonctionnalités améliorées telles que la résidence des données, les contrôles souverains et l'accès à des fonctionnalités telles que l'informatique confidentielle dans Compute Engine. Il s'appuie sur Key Access Justifications pour les clés de chiffrement gérées en externe.

Codes de motifs de justification

Motif Description
CUSTOMER_INITIATED_SUPPORT Assistance demandée par le client (par exemple, "Numéro de dossier: ####").
GOOGLE_INITIATED_SERVICE

Fait référence à un accès initié par Google à des fins de gestion et de dépannage du système. Le personnel de Google peut accorder ce type d'accès pour les raisons suivantes:

  • Pour effectuer le débogage technique nécessaire à une demande d'assistance ou à une enquête complexe
  • Corriger les problèmes techniques, tels qu'un échec de stockage ou une corruption de données
THIRD_PARTY_DATA_REQUEST Google a initié un accès en réponse à une demande légale ou à une réquisition judiciaire, y compris en réponse à une réquisition judiciaire du client qui exige que Google accède à ses propres données.
GOOGLE_INITIATED_REVIEW Accès initié par Google à des fins de sécurité, de conformité ou de prévention des fraudes ou des abus pour, entre autres :
  • assurer la sûreté et la sécurité des comptes et données client ;
  • vérifier si les données sont affectées par un événement susceptible d'affecter la sécurité du compte (par exemple, les infections par des logiciels malveillants).
  • vérifier si le client utilise les services Google conformément aux conditions d'utilisation de Google ;
  • enquêter sur les réclamations d'autres utilisateurs et clients, ou sur d'autres signes d'activité abusive ;
  • Vérifier que les services Google sont utilisés conformément aux régimes de conformité applicables (par exemple, les réglementations contre le blanchiment d'argent).
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Fait référence à un accès initié par Google pour maintenir la fiabilité du système. Le personnel de Google peut accorder ce type d'accès pour les raisons suivantes:

  • Enquêter et confirmer qu'une suspicion d'interruption de service n'affecte pas le client.
  • Pour assurer la sauvegarde et la récupération en cas de panne et de défaillance du système.

Journaux Monitoring Access Transparency

Vous pouvez surveiller les journaux Access Transparency à l'aide de l'API Cloud Monitoring. Pour commencer, consultez la documentation Cloud Monitoring.

Vous pouvez configurer une métrique basée sur les journaux, puis une règle d'alerte pour être informé rapidement des problèmes rencontrés par ces journaux. Par exemple, vous pouvez créer une métrique basée sur les journaux qui enregistre les accès du personnel de Google à votre contenu, puis créer une règle d'alerte dans Monitoring qui vous indique si le nombre d'accès sur une période donnée dépasse un seuil spécifié.

Étapes suivantes