Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Access Transparency

Diese Seite beschreibt Access Transparency und das Aktivieren von Access Transparency-Logs.

Übersicht

In Access Transparency-Logs werden die Aktionen erfasst, die Google-Mitarbeiter beim Zugriff auf Ihre Inhalte ausführen.

Access Transparency-Logs bieten andere Informationen als Cloud-Audit-Logs. In Cloud-Audit-Logs werden die Aktionen erfasst, die Mitglieder in Ihrer Google Cloud-Organisation in Ihre Google Cloud-Ressourcen gestellt haben. Access Transparency-Logs zeichnen aber die Aktionen auf, die von Google-Mitarbeitern ausgeführt wurden.

Typische Fälle für die Nutzung der Zugriffstransparenz

Access Transparency-Logdaten können aus folgenden Gründen erforderlich sein:

  • Zum Bestätigen, dass Google nur aus legitimen geschäftlichen Gründen auf Ihre Daten zugreift, z. B. um einen Fehler zu beheben oder wenn der Google Support Ihre Anfragen bearbeiten will.
  • Zum Bestätigen, dass die Mitarbeiter von Google bei der Ausführung Ihrer Anweisungen keinen Fehler gemacht haben.
  • Zum Bestätigen und Überwachen der Einhaltung der gesetzlichen/aufsichtsrechtlichen Verpflichtungen.
  • Zum Erfassen und Analysieren von beobachteten Zugriffen über ein automatisiertes SIEM-Tool (Security Information and Event Management).

Access Transparency ist für die gesamte Google Cloud-Organisation aktiviert. Wenn Sie die Access Transparency auf Projektebene aktivieren möchten, wenden Sie sich an den Google Cloud-Support.

Access Transparency aktivieren

Zum Aktivieren von Access Transparency muss Ihre Google Cloud-Organisation eine der folgenden Kundensupportstufen haben:

Sie können Access Transparency in der Google Cloud Console aktivieren. Weitere Informationen finden Sie im Abschnitt Access Transparency mit der Cloud Console konfigurieren.

Wenn Sie nicht sicher sind, ob Ihre Google Cloud-Organisation die entsprechende Supportstufe hat, gehen Sie zur Supportseite der Google Cloud Console:

Zur Supportseite der Cloud Console

Im Steuerfeld Support sehen Sie entweder Ihren Supportstatus oder die Option für ein Upgrade Ihrer Stufe.

Access Transparency mit der Cloud Console konfigurieren

Wenn Ihre Google Cloud-Organisation das Gold- oder Platin-Supportpaket hat, können Sie die Zugriffstransparenz in der Cloud Console folgendermaßen aktivieren oder deaktivieren:

  1. Prüfen Sie Ihre Berechtigungen auf Organisationsebene:

    1. Rufen Sie in der Cloud Console die Seite "IAM" auf:

      Seite „IAM“

    2. Wenn Sie dazu aufgefordert werden, wählen Sie die Google Cloud-Organisation im Auswahlmenü aus.

    3. Prüfen Sie, ob Sie die IAM-Rolle Administrator für Access Transparency (roles/axt.admin) haben. Diese Rolle wird in der Spalte Rolle Ihres Mitglieds.

  2. Wählen Sie über das Auswahlmenü ein beliebiges Google Cloud-Projekt innerhalb der Organisation aus.

    Access Transparency wird auf einer Google Cloud-Projektseite konfiguriert, aber für die gesamte Organisation aktiviert. Wenn Sie Access Transparency auf Projektebene aktivieren möchten, wenden Sie sich an den Google Cloud-Support.

  3. Prüfen Sie, ob das Google Cloud-Projekt mit einem Rechnungskonto verknüpft ist. Sie können Access Transparency in der Cloud Console nur über ein Projekt konfigurieren, das mit einem Rechnungskonto verknüpft ist:

    1. Wählen Sie im linken Navigationsmenü die Option Abrechnung aus. Wird die Meldung Dieses Projekt ist nicht mit einem Rechnungskonto verknüpft angezeigt, wählen Sie entweder ein anderes Projekt aus oder lesen Sie die Anleitung unter Rechnungskonto für ein Projekt ändern.
  4. Gehen Sie zur Seite IAM & Verwaltung > Einstellungen.

    1. Klicken Sie auf die Schaltfläche Access Transparency aktivieren.

    Wenn Ihr Google Cloud-Projekt nicht mit einem geeigneten Supportpaket oder Rechnungskonto verknüpft ist oder Ihnen die entsprechenden Berechtigungen fehlen, wird diese Schaltfläche nicht angezeigt. Wenden Sie sich an den Google Cloud-Support, um weitere Unterstützung zu erhalten.

    Access Transparency aktivieren

Access Transparency deaktivieren

Wenden Sie sich an den Google Cloud-Support, um Access Transparency deaktivieren zu lassen.

Informationen zur Kontaktaufnahme mit dem Google Cloud-Support finden Sie unter Google Cloud-Support.

Google-Dienste, die Access Transparency-Logs erzeugen

Eine Liste der Google-Dienste, die Access Transparency-Logs bereitstellen, finden Sie unter Google-Dienste mit Access Transparency-Logs.

Was ist nicht in den Access Transparency-Logs enthalten?

Access Transparency-Logs werden generiert, wenn Google-Mitarbeiter in den folgenden Szenarien auf Inhalte zugreifen, die Sie in einen von Access Transparency unterstützten Dienst hochgeladen haben; mit Ausnahme der folgenden Szenarien:

  1. Google ist es gesetzlich untersagt, Sie über den Zugriff zu informieren.

  2. Sie haben den Google-Mitarbeitern mit Ihren Identitäts- und Zugriffsverwaltungsrichtlinien Zugriff auf Ihre Inhalte gewährt; die Aktivitäten werden in Cloud-Audit-Logs erfasst, sofern diese aktiviert sind, nicht jedoch mit Zugriffstransparenzlogs.

  3. Der Zugriff zielt nicht auf den Inhalt eines bestimmten Nutzers ab; beispielsweise fragt ein Google-Entwickler nach der durchschnittlichen Größe der Datensätze in einer Datenbank, die Inhalte von mehreren Google Cloud-Kunden enthält.

  4. Die fraglichen Inhalte sind IDs öffentlicher Ressourcen. Beispiel:

    • Google Cloud-Projekt-IDs
    • Cloud Storage-Bucket-Namen
    • Compute Engine-VM-Namen
    • Google Kubernetes Engine-Clusternamen
    • BigQuery-Ressourcennamen (einschließlich Datasets, Tabellen und Reservierungen)
  5. Der Zugriff stammt aus einem Standardworkflow. Dies kann beispielsweise ein Komprimierungsjob sein, der während des Löschvorgangs für einen Inhalt oder während einer Zerstörung von Festplatten ausgeführt wird. Details:

    • Google verwendet eine interne Version der Binärautorisierung, die feststellt, ob der auf den Access Transparency-Diensten ausgeführte Systemcode von mehreren Google-Mitarbeitern überprüft wurde, bevor ein Zugriff auf Kundeninhalte erfolgt. Der Prüfer muss als Inhaber des Quellcodes festgelegt sein, um Änderungen durch nicht autorisierte Google-Mitarbeiter zu verhindern.

    • Google überprüft, ob der Systemjob, der auf Kundeninhalte zugreift, dazu berechtigt ist. Beispiel:

      • Zur Gewährung Ihres Zugriffs auf Ihre eigenen Inhalte
      • Zur Indizierung, Komprimierung oder für andere Optimierungsvorgänge
      • Zur Ausführung geplanter Jobs oder Arbeitslasten:

Google erkennt, ob der Zugriff auf Kundeninhalte gezielt erfolgt oder nicht, bevor Access Transparency-Logs generiert werden. Wenn es nicht möglich ist, einen Kunden anhand der aufgerufenen Inhalte zu identifizieren, wird kein Access Transparency-Log generiert.

Google beschränkt die Anzahl und Berechtigungen von Mitarbeitern, die auf Kundeninhalte zugreifen können, wenn Aufgaben in einer Low-Level-Infrastruktur ausgeführt werden. Mithilfe von Verschlüsselung bietet Google Mitarbeitern in diesen Situationen die Möglichkeit, Kundeninhalte zu lesen, und überwacht das Verhalten der Mitarbeiter durch internes Logging und Audits. Diese Zugriffe auf niedriger Ebene generieren keine Access Transparency-Logs.

Preise

Zugriffstransparenzlogs sind kostenlos. Die Aktivierung von Access Transparency setzt jedoch bestimmte Google Cloud-Supportstufen voraus. Weitere Informationen finden Sie unter Access Transparency aktivieren.

Nächste Schritte

Informationen zum Inhalt von Access Transparency-Logeinträgen finden Sie unter Access Transparency-Logs verstehen und verwenden.

Jetzt testen

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Jetzt kostenlos starten