Access Transparency

本页面介绍了 Access Transparency 以及如何启用 Access Transparency 日志。

概览

Access Transparency 通过提供 Google 人员访问您的内容时所记录的操作日志,代表了 Google 对安全性和透明性的长期承诺。

您可能熟悉的 Cloud Audit Logs,会帮助您了解哪个用户在 Google Cloud 项目中执行过哪些操作、执行操作的路径和时间等信息。Cloud Audit Logs 的日志记录了贵组织内的成员执行的操作,而 Access Transparency 的日志则记录了 Google 人员执行的操作。

何时使用 Access Transparency

由于以下原因,您可能需要获取 Access Transparency 日志数据:

  • 确认 Google 人员是否仅因正当业务原因(如修复故障或 Google 支持团队处理您的请求)而访问您的数据。
  • 确认 Google 人员在执行您的指示时没有出错。
  • 验证和跟踪对法律/法规义务的遵守情况。
  • 借助自动化的安全信息和事件管理 (SIEM) 工具收集和分析跟踪到的访问事件。

在 Google Cloud 组织层级启用 Access Transparency 功能。如需按项目启用 Access Transparency,请与 Google Cloud 支持联系。

使用 Access Transparency 的要求

如要为 Google Cloud 组织启用 Access Transparency,其必须满足以下要求之一:

  • 您的 Google Cloud 组织使用以下基于角色的支持套餐之一

    • 企业支持
    • 四个或更多开发角色
    • 四个或更多生产角色
    • 四个或更多开发或生产角色的组合

    您可以通过联系 Google Cloud 销售或支持团队来启用 Access Transparency。您无需特殊的 Cloud Identity and Access Management 角色或权限。如需了解如何联系 Google Cloud 销售或支持团队,请访问 Google Cloud 支持

  • 您的 Google Cloud 组织拥有以下支持套餐之一

    • 白金级支持
    • 黄金级支持

    如需启用 Access Transparency,请与 Google Cloud 支持联系。您还可以直接在 Google Cloud Console 中启用 Access Transparency,请参阅下面的配置说明

如果您不确定 Google Cloud 组织是否有适当的支持套餐,可在您的 Cloud 支持控制台查看:

转到支持控制台

支持面板中,您可看到支持状态或套餐升级选项。

使用 Cloud Console 配置 Access Transparency

如果您的 Google Cloud 组织拥有黄金或白银支持套餐,请按照以下说明使用 Cloud Console 启用或停用 Access Transparency:

  1. 检查您的组织级权限:

    1. 转到 Cloud Console 的 IAM 页面:

      转到 IAM

    2. 如果系统提示,请在选择器菜单中选择 Google Cloud 组织。

    3. 验证成员列表的角色列中是否列有 Access Transparency Admin (roles/axt.admin) Cloud IAM 角色。

  2. 使用选择器菜单选择组织内的任何 Google Cloud 项目。

    Access Transparency 将在 Google Cloud 项目页面上配置,但此功能将针对整个 Google Cloud 组织启用。如需按项目启用 Access Transparency,请与 Google Cloud 支持联系。

  3. 验证 Google Cloud 项目是否与结算帐号相关联;在 Cloud Console 中,您只能使用与结算帐号关联的项目配置 Access Transparency:

    1. 在左侧导航菜单中,选择结算。如果您看到此项目未与结算帐号关联 (This project is not associated with a billing account) 这一消息,请选择其他项目或查看有关如何更改项目结算帐号的说明。
  4. 转到 IAM 和管理 > 设置页面。

  5. 点击启用 Access Transparency (Enable Access Transparency) 按钮。

    如果您的 Google Cloud 项目未与合适的支持套餐或结算帐号相关联,或者您没有适当的权限,则此按钮不会显示。请与 Google Cloud 支持联系,获取进一步帮助。

停用 Access Transparency

如需停用 Access Transparency,请与 Google Cloud 支持团队联系。您无法使用 Cloud Console 停用 Access Transparency。

如需了解如何联系 Google Cloud 支持,请访问 Google Cloud 支持

生成 Access Transparency 日志的 Google 服务

如需提供 Access Transparency 日志的 Google 服务列表,请参阅具有 Access Transparency 日志的Google 服务

Access Transparency 日志中排除什么?

当 Google 人员访问您已上传到 Access Transparency 支持服务中的内容时,就会生成 Access Transparency 日志,但以下情况 除外

  1. 法律禁止 Google 将相应访问告知于您。

  2. 您已授权 Google 人员通过 Cloud Identity and Access Management 政策访问您的内容。相反,当您向 Google 人员授予适当的 Cloud IAM 权限时,就会生成 Cloud Audit Logs(启用时)。

  3. 访问权限不会定位特定用户的内容,例如,Google 工程师查询包含来自多个 Google Cloud 客户内容的数据库中记录的平均大小。

  4. 相关内容是公共资源标识符。例如:

    • Google Cloud 项目 ID
    • Cloud Storage 存储分区名称
    • Compute Engine 虚拟机名称
    • Google Kubernetes Engine 集群名称
    • BigQuery 资源名称(包括数据集,表和预订)
  5. 访问权限是系统任务或标准工作流程的一部分,例如,在内容删除过程中对内容或磁盘销毁运行的压缩作业。详情如下:

    • Google 使用二进制授权内部版本来检查运行在 Access Transparency 服务上的系统代码在访问客户内容前是否已经过多位 Google 人员审核。必须将审核者指定为源代码的所有者,以防止未经授权的 Google 人员进行修改。

    • Google 会验证访问客户内容的系统作业是否获得授权。例如:

      • 授权您访问自己的内容
      • 进行索引,压缩或执行其他优化操作
      • 运行预定作业或工作负载

Google 会在生成 Access Transparency 日志之前检测对客户内容的访问是定向的还是非定向的。如果无法从所访问的内容中识别客户,则系统不会生成 Access Transparency 日志。

Google 严格限制在低等级基础架构上执行任务时可访问客户内容的人员的数量和权限。Google 使用加密来限制这些情况下工作人员读取客户内容的能力,并使用内部日志记录和审核密切监视工作人员行为。这些低等级访问不会生成 Access Transparency 日志。

价格

Access Transparency 日志是免费的。但是,启用 Access Transparency 需要具备某些 Google Cloud 支持级别。如需了解详情,请参阅 Access Transparency 的使用要求

后续步骤

请参阅读取 Access Transparency 日志,了解 Access Transparency 日志条目的内容。