Cette page a été traduite par l'API Cloud Translation.
Switch to English

Access Transparency

Cette page décrit la fonctionnalité Access Transparency et explique comment activer les journaux associés.

Présentation

Les journaux Access Transparency enregistrent les actions effectuées par le personnel de Google lors de l'accès à votre contenu.

Les journaux Access Transparency fournissent des informations différentes de celles des journaux d'audit Cloud. Les journaux d'audit Cloud enregistrent les actions que les membres de votre organisation Google Cloud ont effectuées dans vos ressources Google Cloud, alors que les journaux Access Transparency enregistrent les actions effectuées par le personnel de Google.

Quand utiliser Access Transparency ?

Vous pouvez avoir besoin des données de journaux Access Transparency pour diverses raisons :

  • vérifier que le personnel de Google n'accède à votre contenu que pour des raisons commerciales valables, telles que la résolution d'une panne ou le traitement de vos demandes par l'équipe d'assistance Google ;
  • vérifier que le personnel de Google n'a commis aucune erreur lors de l'exécution de vos instructions ;
  • vérifier la conformité avec les obligations légales et les réglementations ;
  • Collecter et analyser les événements d'accès suivis au moyen d'un outil automatisé de gestion des informations et des événements de sécurité (SIEM)

Access Transparency est activé au niveau de l'organisation Google Cloud. Pour activer Access Transparency au niveau du projet, veuillez contactez l'assistance Google Cloud.

Activer Access Transparency

Afin d'activer Access Transparency pour votre organisation Google Cloud, celle-ci doit disposer de l'un des niveaux de service client suivants :

Vous pouvez activer Access Transparency à l'aide de Google Cloud Console. Pour plus d'informations, consultez la section Configurer Access Transparency à l'aide de Cloud Console.

Si vous ne savez pas si votre organisation Google Cloud dispose du niveau d'assistance approprié, consultez la console d'assistance Google Cloud :

Accéder à la console d'assistance

Dans le panneau Assistance, vous verrez l'état de votre assistance ou l'option permettant de mettre à jour votre formule.

Configurer Access Transparency à l'aide de Cloud Console

Si votre organisation Google Cloud dispose de la formule d'assistance Gold ou Platinum, suivez les instructions ci-dessous pour activer ou désactiver Access Transparency à l'aide de Cloud Console:

  1. Vérifiez les autorisations au niveau de votre organisation :

    1. Accédez à la page IAM de Cloud Console :

      Accéder à IAM

    2. Si vous y êtes invité, sélectionnez l'organisation Google Cloud dans le menu de sélection.

    3. Vérifiez que le rôle IAM Administrateur Access Transparency (roles/axt.admin) apparaît dans la colonne Rôle de votre membre Membre.

  2. Sélectionnez un projet Google Cloud au sein de l'organisation à l'aide du menu de sélection.

    Même si la configuration d'Access Transparency s'effectue sur une page de projet Google Cloud, la fonctionnalité est activée pour l'ensemble de l'organisation. Pour activer Access Transparency par projet, veuillez contacter l'assistance Google Cloud.

  3. Assurez-vous que le projet Google Cloud est associé à un compte de facturation. Seuls les projets associés à un compte de facturation permettent de configurer Access Transparency dans Cloud Console :

    1. Dans le menu de navigation de gauche, sélectionnez Facturation. Si le message Ce projet n'est associé à aucun compte de facturation s'affiche, sélectionnez un autre projet ou suivez les instructions relatives à la modification du compte de facturation d'un projet.
  4. Accédez à la page IAM et administration > Paramètres.

    1. Cliquez sur le bouton Activer Access Transparency.

    Si votre projet Google Cloud n'est associé ni à une formule d'assistance ni à un compte de facturation adapté, ou si vous ne disposez pas des autorisations nécessaires, ce bouton n'est pas affiché. Contactez l'assistance Google Cloud pour obtenir de l'aide.

    Activer Access Transparency

Désactiver Access Transparency

Pour désactiver Access Transparency, contactez l'assistance Google Cloud.

Consultez la page consacrée à l'assistance Google Cloud pour savoir comment la contacter.

Services Google générant des journaux Access Transparency

Pour obtenir la liste des services Google qui fournissent des journaux Access Transparency, consultez la page Services Google avec journaux Access Transparency.

Éléments exclus des journaux Access Transparency

Les journaux Access Transparency sont générés lorsque le personnel de Google accède au contenu que vous avez importé dans l'un des services compatibles avec Access Transparency, sauf dans les cas suivants :

  1. Il est légalement interdit à Google de vous informer de l'accès.

  2. Vous avez autorisé le personnel de Google à accéder à votre contenu à l'aide de votre stratégie de gestion de l'authentification et des accès ; ses activités sont enregistrées dans des journaux Cloud Audit (lorsque cette option est activée), et non dans les journaux Access Transparency.

  3. L'accès ne cible pas le contenu d'un utilisateur particulier (par exemple, un ingénieur Google exécutant une requête pour connaître la taille moyenne des enregistrements dans une base de données incluant le contenu de plusieurs clients Google Cloud).

  4. Le contenu en question est un identifiant de ressource publique. Exemple :

    • ID de projets Google Cloud
    • Noms de buckets Cloud Storage
    • Noms de VM Compute Engine
    • Noms de clusters Google Kubernetes Engine
    • Noms de ressources BigQuery (y compris les ensembles de données, les tables et les réservations)
  5. L'accès provient d'un workflow standard, par exemple une tâche de compression qui s'exécute sur le contenu ou la destruction du disque au cours d'un processus de suppression de contenu. Les informations sont définies ainsi :

    • Google utilise une version interne de l'autorisation binaire pour vérifier que le code système s'exécutant sur les services Access Transparency a été examiné par plusieurs membres du personnel de Google avant d'accéder au contenu client. L'examinateur doit être désigné comme le propriétaire du code source, ce qui empêche toute modification par le personnel de Google non autorisé.

    • Google vérifie que la tâche système accédant au contenu du client est autorisée à le faire, par exemple :

      • pour vous accorder l'accès à votre propre contenu ;
      • pour indexer, compresser ou effectuer d'autres opérations d'optimisation ;
      • pour exécuter des tâches ou des charges de travail planifiées.

Google détecte si l'accès au contenu client est ciblé ou non avant de générer des journaux Access Transparency. S'il n'existe aucun moyen d'identifier un client à partir du contenu ayant fait l'objet d'un accès, aucun journal Access Transparency n'est généré.

Google limite de manière stricte le nombre d'accès et les autorisations du personnel susceptible d'accéder au contenu du client lors de l'exécution de tâches sur l'infrastructure de bas niveau. Google utilise le chiffrement afin d'empêcher le personnel de lire le contenu des clients dans ces circonstances et surveille étroitement le comportement du personnel à l'aide de la journalisation et d'audits internes. Ces accès de bas niveau ne génèrent pas de journaux Access Transparency.

Tarifs

Les journaux Access Transparency sont gratuits. Cependant, l'activation d'Access Transparency nécessite certains niveaux d'assistance Google Cloud. Pour plus d'informations, consultez la section Activer Access Transparency.

Étape suivante

Pour comprendre le contenu des entrées de journal Access Transparency, consultez la section Comprendre et utiliser les journaux Access Transparency.

Faites l'essai

Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

Profiter d'un essai gratuit