Transparência no acesso

Nesta página, descrevemos a transparência no acesso e como ativar os respectivos registros.

Visão geral

A transparência no acesso fornece registros que capturam as ações executadas pela equipe do Google ao acessar seu conteúdo.

Talvez você já conheça os registros de auditoria do Cloud, que podem ajudar a responder "quem fez o quê, onde e quando?" nos seus projetos do Google Cloud. Os registros de auditoria do Cloud fornecem esses registros sobre as ações realizadas pelos membros da sua organização. Já o recurso de transparência no acesso fornece registros das ações executadas pela equipe do Google.

Quando usar a transparência no acesso

Talvez você precise dos dados dos registros da transparência no acesso pelos seguintes motivos:

  • Verificar se a equipe do Google está acessando seu conteúdo somente por motivos comerciais válidos, como para corrigir interrupções ou atender às suas solicitações.
  • Verificar se o equipe do Google não cometeu um erro ao seguir as instruções.
  • Verificar e rastrear a conformidade com obrigações legais ou regulamentares.
  • Coletar e analisar eventos de acesso rastreados por meio de uma ferramenta automatizada de informações de segurança e gerenciamento de eventos (SIEM, na sigla em inglês).

A transparência no acesso é ativada no nível da organização do Google Cloud. Para ativar a transparência no acesso no nível do projeto, entre em contato com o suporte do Google Cloud.

Como ativar a transparência no acesso

Para ativar a transparência no acesso para sua organização do Google Cloud, é necessário que ela tenha um dos seguintes níveis de suporte ao cliente:

Para ativar a transparência no acesso, entre em contato com os departamentos de vendas ou suporte do Google Cloud. Você não precisa de permissões ou papéis especiais do Cloud Identity and Access Management. Para informações sobre como entrar em contato com o departamento de suporte ou vendas do Google Cloud, consulte Suporte do Google Cloud.

Caso você não tenha certeza se sua organização do Google Cloud tem o nível de suporte apropriado, verifique o console de suporte do Google Cloud:

Acessar o console de suporte

No painel Suporte, você verá seu status de suporte ou a opção para fazer upgrade do nível.

Como desativar a transparência no acesso

Para desativar a transparência no acesso, entre em contato com o Suporte do Google Cloud.

Para informações sobre como entrar em contato com o Suporte do Google Cloud, consulte Suporte do Google Cloud.

Serviços do Google que produzem registros de transparência no acesso

Para conferir uma lista de Serviços do Google que fornecem registros de transparência no acesso, consulte Serviços do Google com registros de transparência no acesso.

O que é excluído dos registros de transparência no acesso?

Os registros de transparência no acesso são gerados quando a equipe do Google acessa o conteúdo que você carregou em um serviço compatível com a transparência no acesso, exceto nos seguintes cenários:

  1. O Google é legalmente proibido de notificá-lo sobre o acesso.

  2. Você concedeu à equipe do Google acesso ao conteúdo usando a política do Cloud Identity and Access Management. As atividades são registradas nos registros de auditoria do Cloud (quando ativados), não nos registros de transparência no acesso.

  3. O acesso não tem como objetivo o conteúdo de um usuário específico. Por exemplo, um engenheiro do Google que consulta o tamanho médio dos registros em um banco de dados que contém conteúdos de vários clientes do Google Cloud.

  4. O conteúdo em questão é um identificador de recurso público. Exemplo:

    • IDs de projetos do Google Cloud
    • Nomes de buckets do Cloud Storage
    • Nomes de VMs do Compute Engine
    • Nomes de clusters do Google Kubernetes Engine
    • Nomes de recursos do BigQuery (incluindo conjuntos de dados, tabelas e reservas)
  5. O acesso se origina de um fluxo de trabalho padrão. Por exemplo, um job de compactação executado no conteúdo ou destruição de disco durante o processo de exclusão de conteúdo. Os detalhes são os seguintes:

    • O Google usa uma versão interna da autorização binária para verificar se o código do sistema em execução nos serviços de transparência no acesso foi revisado por vários funcionários do Google antes de acessar o conteúdo do cliente. O revisor precisa ser designado como proprietário do código-fonte, impedindo a modificação por parte de funcionários não autorizados do Google.

    • O Google valida que o job do sistema que acessa o conteúdo do cliente está autorizado a fazer isso. Por exemplo:

      • Conceder acesso ao seu próprio conteúdo
      • Indexar, compactar ou realizar outras operações de otimização
      • Executar cargas de trabalho ou jobs programados

O Google detecta se o acesso ao conteúdo do cliente está segmentado ou não antes de gerar registros de transparência no acesso. Se não houver uma maneira de identificar um cliente a partir do conteúdo que foi acessado, um registro de transparência no acesso não será gerado.

O Google limita estritamente o número e as permissões da equipe que pode acessar o conteúdo do cliente enquanto realiza tarefas em uma infraestrutura de nível inferior. Nessas situações, o Google usa criptografia para limitar a capacidade da equipe de ler o conteúdo do cliente e monitora atentamente o comportamento dos funcionários por meio da geração de registros internos e auditorias. Esses acessos de nível inferior não geram registros de transparência no acesso.

Preços

Os registros de transparência no acesso não são faturáveis. No entanto, ativar a transparência no acesso requer determinados níveis de suporte do Google Cloud. Para mais detalhes, consulte Como ativar a transparência no acesso.

A seguir

Para entender o conteúdo das entradas de registro da transparência no acesso, consulte Como ler os registros de transparência no acesso.