Descripción general de la Transparencia de acceso

En esta página, se describe la Transparencia de acceso y cómo habilitar sus registros.

Descripción general

Como parte del compromiso a largo plazo de Google con la seguridad y la transparencia, ahora puedes usar la Transparencia de acceso, que proporciona registros de las acciones tomadas por el personal de Google cuando accede a tus datos.

Puede que conozcas los registros de Cloud Audit Logging, que te ayuda a responder “quién hizo qué, dónde y cuándo” en tus proyectos de Google Cloud Platform. Mientras que Cloud Audit Logging proporciona registros sobre acciones tomadas por miembros dentro de tu organización, la Transparencia de acceso proporciona registros de acciones tomadas por personal de Google.

Junto con tus otros registros en Stackdriver Logging, los registros de Transparencia de acceso incluyen datos sobre: acciones del equipo de asistencia que hayas solicitado por teléfono, investigaciones de ingeniería de nivel bajo de tus solicitudes de asistencia o algunas otras investigaciones hechas por motivos comerciales válidos, como recuperarse de un corte de luz.

Cuándo usar la Transparencia de acceso

Hay muchas razones por las que puedes necesitar la Transparencia de acceso. A continuación, se muestran algunos ejemplos:

  • Verificar que Google accede a tus datos solo por motivos comerciales válidos, como solucionar un error o responder a tus solicitudes
  • Verificar que el personal de Google no cometió errores cuando llevó a cabo tus instrucciones
  • Verificar y hacer seguimiento del cumplimiento de las obligaciones legales y reglamentarias
  • Recopilar y analizar eventos de acceso seguidos a través de una herramienta automatizada de información de seguridad y de administración de eventos (SIEM)

Requisitos de uso de la Transparencia de acceso

Si tienes un paquete de asistencia de nivel oro o platino en tu organización de GCP, puedes habilitar la Transparencia de acceso con Google Cloud Platform Console. También necesitas ciertos permisos y funciones de Cloud Identity and Access Management.

Si tienes un paquete de asistencia por función equivalente, también puedes habilitar la Transparencia de acceso si te comunicas con el equipo de ventas o de asistencia de GCP. No necesitarás funciones o permisos especiales de Cloud IAM.

Para obtener más información sobre cómo comunicarse con el equipo de ventas o de asistencia de GCP, consulta Asistencia de GCP.

Si no estás seguro de tener un paquete de asistencia técnica, revisa tu consola de asistencia de Cloud:

Visita tu consola de asistencia de Cloud

Funciones y permisos

Para habilitar la Transparencia de acceso con Google Cloud Platform Console, necesitas dos funciones de Cloud IAM: Organization Admin y Access Transparency Admin. Para obtener más información sobre cómo otorgar funciones de Cloud IAM, consulta la documentación de Cloud IAM.

También puedes crear una función personalizada que contenga los permisos axt.labels.get y axt.labels.set. Para aprender más sobre las funciones personalizadas, consulta la documentación de Cloud IAM sobre funciones personalizadas.

Configura la Transparencia de acceso

La siguiente información te proporciona instrucciones sobre cómo habilitar o inhabilitar la Transparencia de acceso.

Habilita la Transparencia de acceso

Puedes habilitar los registros de Transparencia de acceso con Google Cloud Platform Console, una vez hayas verificado que tu organización de GCP cumple con los requisitos y que tienes los permisos necesarios. Para habilitar la Transparencia de acceso, sigue estos pasos:

  1. Dirígete a la página Configuración de IAM y administración en Google Cloud Platform Console:

    Ir a Configuración de IAM y administrador

  2. En tu organización de GCP, selecciona el proyecto de GCP en el que quieres habilitar la Transparencia de acceso. Ten en cuenta que la Transparencia de acceso se configura en el nivel de proyecto de GCP.

  3. Haz clic en el botón Habilitar Transparencia de acceso.

    Este botón no aparece si tu proyecto de GCP no está asociado con una cuenta de facturación o si no tienes los permisos necesarios. Consulta Requisitos de uso de la Transparencia de acceso para obtener más detalles.

Inhabilita la Transparencia de acceso

Para inhabilitar la Transparencia de acceso, comunícate con la asistencia de GCP. No puedes inhabilitar la Transparencia de acceso con Google Cloud Platform Console.

Para obtener más información sobre cómo comunicarse con el equipo de asistencia de GCP, consulta Asistencia de GCP.

Disponibilidad del servicio

En la siguiente tabla se enumeran los servicios de GCP que escriben registros de Transparencia de acceso. GA indica que un tipo de registro suele estar disponible para un servicio; Beta indica que un tipo de registro está disponible, pero puede cambiarse de maneras incompatibles con versiones anteriores y no está sujeto a ningún ANS ni a una política de baja.

Ten en cuenta que solo puedes habilitar registros GA en Google Cloud Platform Console. Para habilitar los registros Beta, comunícate con la Asistencia de GCP.

Los siguientes servicios producen registros de Transparencia de acceso:

Servicios de GCP con asistencia de Transparencia de acceso Disponibilidad
App Engine1 GA
BigQuery Beta
Cloud Bigtable Beta
Cloud Dataflow Beta
Cloud Identity and Access Management GA
Cloud Key Management Service (KMS) GA
Cloud Pub/Sub Beta
Cloud Storage GA
Compute Engine GA
Persistent Disk GA

1 Cloud Storage es el único backend de almacenamiento compatible con App Engine que ahora es compatible con la Transparencia de acceso.

¿Qué se incluye en los registros?

Los registros de Transparencia de acceso se generan cuando el personal de Google accede a los datos que subiste a un servicio compatible con la Transparencia de acceso (por ejemplo, ver una de las etiquetas en tu instancia de Compute Engine), excepto cuando:

  1. Le otorgas permiso a la persona que accede a los datos con tu política de Cloud Identity and Access Management.
    • Los registros de Cloud Audit (cuando están habilitados) se generan cuando tienes un empleado de Google que trabaja contigo al que le diste acceso con Cloud Identity and Access Management.
  2. Google tiene prohibido por ley enviarte notificaciones del acceso.
  3. Los datos en sí son un identificador públicos de recursos; por ejemplo, los ID de proyecto de GCP o los nombres de depósito de Cloud Storage.
  4. El acceso es un trabajo del sistema; por ejemplo, un trabajo de compresión que se ejecuta en los datos.
    • Google usa una versión interna de la autorización binaria para comprobar que alguien más haya revisado el código del sistema que se ejecuta en los servicios de Transparencia de acceso.

Precios

Los registros de Transparencia de acceso no se cobran. Sin embargo, habilitar la Transparencia de acceso requiere ciertos niveles de asistencia de GCP. Consulta Requisitos de uso de la Transparencia de acceso para obtener más detalles.

Pasos siguientes

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Stackdriver Logging
Si necesitas ayuda, visita nuestra página de asistencia.