Access Transparency-Logs verstehen und verwenden

Auf dieser Seite werden die Inhalte von Access Transparency-Logeinträgen sowie deren Anzeige und Verwendung beschrieben.

Zugriffstransparenzlogs im Detail

Access Transparency-Logs können in Ihre vorhandenen Tools für Sicherheitsinformationen und Ereignisverwaltung (SIEM, Security Information and Event Management) eingebunden werden, um die Prüfungen der Google-Mitarbeiter beim Zugriff auf Ihre Inhalte zu automatisieren. Die Access Transparency-Logs sind in der Google Cloud Console zusammen mit Ihren Cloud-Audit-Logs verfügbar.

Access Transparency-Logeinträge umfassen folgende Informationen:

  • Die betroffene Ressource und Aktion
  • Die Zeit der Aktion
  • Die Gründe für die Aktion (z. B. die Fallnummer, die mit einer Kundensupportanfrage verknüpft ist)
  • Daten darüber, wer im Content handelt, z. B. der Standort des Google-Personals.

Zugriffstransparenz konfigurieren

Informationen zum Konfigurieren von Zugriffstransparenzlogs finden Sie in der Übersicht über die Zugriffstransparenz.

Zugriffstransparenzlogs ansehen

Nachdem Sie Access Transparency für Ihre Google Cloud-Organisation konfiguriert haben, können Sie festlegen, wer auf die Logs zugreifen kann. Weisen Sie dazu einem Nutzer oder einer Gruppe die Rolle Betrachter privater Logs zu. Weitere Informationen finden Sie in der Anleitung für die Zugriffssteuerung in Cloud Logging.

Verwenden Sie den folgenden Logging-Filter der Operations-Suite von Google Cloud, um Access Transparency-Logs aufzurufen.

logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Informationen zum Abrufen Ihrer Access Transparency-Logs im Log-Explorer finden Sie unter Log-Explorer verwenden.

Sie können die Logs auch mithilfe der Cloud Monitoring API oder mithilfe von Cloud Functions überwachen. Informationen zum Einstieg finden Sie in der Dokumentation zu Cloud Monitoring.

Optional: Erstellen Sie einen logbasierten Messwert und richten Sie dann eine Benachrichtigungsrichtlinie ein, um rechtzeitig auf Probleme aufmerksam zu machen, die von diesen Logs aufgedeckt werden.

Beispiel für einen Access Transparency-Logeintrag

Es folgt ein Beispiel für einen Eintrag im Zugriffstransparenzlog:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Logfeldbeschreibungen

Feld Beschreibung
insertId Eindeutige Kennzeichnung für das Log
@type Zugriffstransparenzlog-ID
principalOfficeCountry ISO 3166-1: Alpha-2-Code des Landes, in dem die zugreifende Person einen dauerhaften Sitz hat, ?? wenn kein Standort verfügbar ist, oder 3-stellige Kontinent-ID für Google-Mitarbeiter in einem Land mit geringem Bevölkerungsanteil.
principalEmployingEntity Die Entität, die den zugreifenden Google-Mitarbeiter beschäftigt (z. B. Google LLC).
principalPhysicalLocationCountry ISO 3166-1 Alpha-2-Code des Landes, aus dem der Zugriff erfolgte, ?? falls kein Standort verfügbar ist oder 3-stellige Kontinent-ID für Google-Mitarbeiter in einem Land mit geringem Bevölkerungsanteil
product GCP-Produkt des Kunden, auf das zugegriffen wurde.
reason:detail Details zum Grund, z. B. eine Support-Ticket-ID
reason:type Typ des Grundes für den Zugriff, z. B. CUSTOMER_INITIATED_SUPPORT)
accesses:methodName Welche Art von Zugriff vorgenommen wurde Beispiel: GoogleInternal.Read. Weitere Informationen zu den Methoden, die im Feld methodName angezeigt werden können, finden Sie unter Werte für das Feld accesses: methodName.
accesses:resourceName Name der Ressource, auf die zugegriffen wurde
accessApprovals Enthält die Ressourcennamen von Access Approval-Anfragen, die den Zugriff genehmigt haben. Diese Anfragen unterliegen Ausschlüssen und unterstützten Diensten.

Dieses Feld wird nur ausgefüllt, wenn Access Approval für die aufgerufenen Ressourcen aktiviert ist. In Access Transparency-Logs, die vor dem 24. März 2021 veröffentlicht wurden, ist dieses Feld nicht ausgefüllt.
logName Name des Logspeicherorts
operation:id Logcluster-ID
receiveTimestamp Zeitpunkt, zu dem der Zugriff von der Logpipeline empfangen wurde.
project_id Der Ressource zugeordnetes Projekt, auf das zugegriffen wurde.
type Typ der Ressource, auf die zugegriffen wurde (z. B. project)
severity Logschweregrad
timestamp Zeit, zu der das Log geschrieben wurde

Werte für das Feld accesses:methodNames

Die folgenden Methoden können im Feld accesses:methodNames in Access Transparency-Logs enthalten sein:

  • Standardmethoden: Diese Methoden sind List, Get, Create, Update und Delete. Weitere Informationen finden Sie unter Standardmethoden.
  • Benutzerdefinierte Methoden: Neben den fünf Standardmethoden beziehen sich benutzerdefinierte Methoden auf API-Methoden. Zu den gängigen benutzerdefinierten Methoden gehören Cancel, BatchGet, Move, Search und Undelete. Weitere Informationen finden Sie unter Benutzerdefinierte Methoden.
  • Interne Methoden von Google: Die folgenden GoogleInternal-Methoden können im Feld accesses:methodNames verwendet werden:
Methodenname Beschreibung Beispiele
GoogleInternal.Read Gibt eine Leseaktion für Kundeninhalte an, die eine gerechtfertigte Begründung enthält. Die Leseaktion erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Bei dieser Methode werden die Kundeninhalte nicht mutiert. IAM-Berechtigungen lesen
GoogleInternal.Write Gibt eine Schreibaktion für Kundeninhalte an, die eine gültige Begründung enthält. Die Schreibaktion erfolgt mit einer internen API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode können Sie Kundeninhalte und/oder Konfigurationen aktualisieren.
  • IAM-Berechtigungen für eine Ressource festlegen
  • Compute Engine-Instanz anhalten
GoogleInternal.Create Kennzeichnet eine Erstellungsaktion, die für Kundeninhalte durchgeführt wurde, mit einer gültigen Begründung für das Unternehmen. Die Erstellungsaktion erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode werden neue Kundeninhalte erstellt.
  • Cloud Storage-Bucket erstellen
  • Pub/Sub-Thema erstellen
GoogleInternal.Delete Kennzeichnet eine Löschaktion für Kundeninhalte mit einer internen API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Bei dieser Methode werden Kundeninhalte und/oder Konfigurationen mutiert.
  • Cloud Storage-Objekt löschen
  • BigQuery-Tabelle löschen
GoogleInternal.List Gibt an, dass eine Listenaktion für Kundeninhalte mit einer gültigen Begründung durchgeführt wurde. Die Listenaktion erfolgt mit einer internen API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Bei dieser Methode werden Inhalte oder Konfigurationen von Kunden nicht mutiert.
  • Compute Engine-Instanzen eines Kunden auflisten
  • Dataflow-Jobs eines Kunden auflisten
GoogleInternal.SSH Gibt eine mit der virtuellen Maschine eines Kunden ausgeführte SSH-Aktion mit gültiger geschäftlicher Begründung an. Der SSH-Zugriff erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode können Inhalte und Konfigurationen von Kunden geändert werden.
  • SSH-Zugriff auf die Compute Engine-Instanz eines Kunden.
  • SSH-Zugriff auf die Cloud SQL-Instanz eines Kunden.
GoogleInternal.Update Gibt an, dass eine Änderung für Kundeninhalte mit einer gültigen Begründung durchgeführt wurde. Die Aktualisierung erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Bei dieser Methode werden Kundeninhalte und/oder Konfigurationen mutiert. HMAC-Schlüssel in Cloud Storage aktualisieren
GoogleInternal.Get Gibt an, dass eine get-Aktion für Kundeninhalte mit einer gültigen geschäftlichen Begründung ausgeführt wird. Die get-Aktion erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Bei dieser Methode werden Inhalte oder Konfigurationen von Kunden nicht mutiert.
  • IAM-Richtlinie für eine Ressource abrufen
  • Dataflow-Job eines Kunden abrufen
GoogleInternal.Query Gibt eine Abfrageaktion für Kundeninhalte an, die eine gerechtfertigte Begründung enthält. Die Abfrageaktion erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Bei dieser Methode werden Inhalte oder Konfigurationen von Kunden nicht mutiert.
  • BigQuery-Abfrage ausführen
  • AI Platform Debugging Console für Kundeninhalte suchen

Begründungscodes

Grund Beschreibung
CUSTOMER_INITIATED_SUPPORT Vom Kunden eingeleitete Supportanfrage, z. B. "Fallnummer: ####"
GOOGLE_INITIATED_SERVICE

Bezieht sich auf von Google initiierten Zugriff zur Systemverwaltung und Fehlerbehebung. Google-Mitarbeiter können aus den folgenden Gründen Zugriff erhalten:

  • So führen Sie technisches Debugging für eine komplexe Supportanfrage oder -untersuchung durch.
  • Zur Behebung technischer Probleme wie Speicherfehlern oder Datenschäden
THIRD_PARTY_DATA_REQUEST Von Google initiierter Zugriff als Reaktion auf ein rechtliches Ersuchen oder ein gerichtliches Verfahren, einschließlich einer Antwort auf ein gerichtliches Verfahren des Kunden, bei dem Google auf die eigenen Daten des Kunden zugreifen muss
GOOGLE_INITIATED_REVIEW Von Google eingeleitete Zugriffe im Zusammenhang mit Sicherheitsaspekten, Betrugs- und Missbrauchsfällen oder zu Compliance-Zwecken, einschließlich:
  • Gewährleistung der Sicherheit von Kundenkonten und -daten
  • Prüfen, ob Daten von einem Ereignis betroffen sind, das sich auf die Kontosicherheit auswirken könnte, z. B. Malwarebefall.
  • Bestätigung, dass der Kunde Google-Dienste gemäß den Nutzungsbedingungen von Google verwendet
  • Prüfung von Beschwerden anderer Nutzer und Kunden oder anderer Hinweise auf missbräuchliche Aktivitäten
  • Überprüfung, ob Google-Dienste in Übereinstimmung mit relevanten Compliance-Regelungen, z. B. Anti-Geldwäsche-Bestimmungen, verwendet werden.
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Bezieht sich auf von Google initiierten Zugriff zur Aufrechterhaltung der Systemzuverlässigkeit. Google-Mitarbeiter können aus den folgenden Gründen Zugriff erhalten:

  • Um einen mutmaßlichen Dienstausfall zu untersuchen und zu bestätigen, hat dies keine Auswirkungen auf den Kunden.
  • Sicherung und Wiederherstellung nach Ausfällen und Systemfehlern gewährleisten

Access Transparency-Logs überwachen

Sie können Access Transparency-Logs mithilfe der Cloud Monitoring API überwachen. Informationen zum Einstieg finden Sie in der Cloud Monitoring-Dokumentation.

Sie können einen logbasierten Messwert und dann eine Benachrichtigungsrichtlinie einrichten, um rechtzeitig über Probleme in diesen Logs informiert zu werden. Sie können beispielsweise einen logbasierten Messwert erstellen, der den Zugriff von Google-Mitarbeitern auf Ihre Inhalte erfasst. Anschließend erstellen Sie in Monitoring eine Benachrichtigungsrichtlinie, die Sie informiert, wenn die Anzahl der Zugriffe in einem bestimmten Zeitraum einen bestimmten Grenzwert überschreitet.

Weitere Informationen