Transparência no acesso

Nesta página, descrevemos a transparência no acesso e como ativar os respectivos registros.

Visão geral

Como parte do compromisso de longo prazo do Google com segurança e transparência, agora é possível usar a transparência no acesso, que fornece registros de ações tomadas pela equipe do Google ao acessar os dados.

Você já deve conhecer os registros do Cloud Audit Logging, que podem ajudar a responder perguntas como "quem fez o quê, onde e quando?" nos projetos do Google Cloud Platform. O Cloud Audit Logging fornece esses registros sobre ações realizadas pelos membros em sua organização, mas a transparência no acesso fornece os registros das ações realizadas pela equipe do Google.

Como parte dos outros registros no Stackdriver Logging, os registros da transparência no acesso incluem dados sobre ações da equipe de suporte que você possa ter solicitado por telefone, investigações de engenharia de nível inferior nas solicitações de suporte ou outras ações realizadas para fins comerciais válidos, como a recuperação de uma interrupção.

Se a capacidade de aprovar o acesso antes que isso aconteça for necessária, acesse a documentação de aprovação de acesso.

Quando usar a transparência no acesso

Existem vários casos em que a transparência no acesso pode ser necessária. Veja alguns exemplos:

  • Verificar se o Google está acessando os dados apenas por motivos comerciais válidos, como corrigir uma falha ou atender às solicitações.
  • Verificar se a equipe do Google não cometeu um erro ao seguir as instruções.
  • Verificar e rastrear o cumprimento de obrigações legais/regulatórias.
  • Coletar e analisar eventos de acesso rastreados por meio de uma ferramenta automatizada de informações de segurança e gerenciamento de eventos (SIEM, na sigla em inglês).

A transparência no acesso está ativada para toda a organização do GCP. Para ativar a transparência no acesso por projeto, entre em contato com o suporte do GCP.

Requisitos para usar a transparência no acesso

Será possível ativar a transparência no acesso de sua organização do GCP se ela atender a um dos seguintes requisitos:

  • Sua organização do GCP tem um dos seguintes pacotes de suporte baseado em função:

    • Suporte empresarial
    • Quatro ou mais papéis de desenvolvimento
    • Quatro ou mais papéis de produção
    • Uma combinação de quatro ou mais papéis de desenvolvimento ou produção

    Entre em contato com o departamento de vendas ou o suporte do GCP para ativar a transparência no acesso. Não são necessários papéis ou permissões especiais do Cloud Identity and Access Management. Para informações sobre como entrar em contato com os departamentos de vendas ou suporte do GCP, consulte Suporte do GCP.

  • Sua organização do GCP tem um pacote de suporte Platinum ou Gold. A transparência no acesso pode ser ativada usando o Console do Google Cloud Platform ou entrando em contato com o suporte do GCP Também são necessárias determinadas permissões do Cloud IAM e um projeto com uma conta de faturamento associada. Essas duas exigências são discutidas nas instruções de configuração abaixo.

Se você não tiver certeza de que sua organização do GCP tem um pacote de suporte técnico apropriado, verifique o console de suporte do Cloud.

Acessar o console de suporte do Cloud

No painel Suporte, você verá o status do seu suporte ou a opção de atualizar seu pacote.

Como configurar a transparência no acesso usando o Console do GCP

Se você determinou que sua organização do GCP tem o pacote e suporte Gold ou Platinum, conforme descrito acima, as instruções a seguir permitirão ativar ou desativar a transparência no acesso usando o Console do GCP.

  1. Verifique suas permissões no nível da organização:

    1. Acesse a página IAM do Console do GCP:

      Acessar o IAM

    2. Caso seja solicitado, selecione a organização do GCP no menu seletor na parte superior da página.

    3. Verifique se você tem o papel do Cloud IAM Administrador de transparência no acesso (roles/axt.admin) listado na coluna Papel da listagem Membro.

  2. Selecione qualquer projeto do GCP na organização usando o menu seletor na parte superior da página.

    A transparência no acesso é configurada em uma página do projeto do GCP, mas é ativada para toda a organização. Para ativar a transparência no acesso por projeto, entre em contato com o suporte do GCP.

  3. Verifique se o projeto do GCP está associado a uma conta de faturamento. Somente um projeto associado a uma conta de faturamento permite a configuração da transparência no acesso no Console do GCP.

    1. No menu de navegação à esquerda, selecione Faturamento. Se for exibida a mensagem Este projeto não está associado a uma conta de faturamento, selecione um projeto diferente ou consulte as instruções sobre Como alterar a conta de faturamento de um projeto.
  4. Acesse a página IAM e Administrador > Configurações.

  5. Clique no botão Ativar transparência no acesso.

    Se o projeto do GCP não estiver associado ao pacote e suporte ou à conta de faturamento adequados, ou se você não tiver as permissões corretas, esse botão não será exibido. Entre em contato com o suporte do GCP para mais assistência.

Como desativar a transparência no acesso

Para desativar a transparência no acesso, entre em contato com o suporte do GCP Não é possível desativar a transparência no acesso usando o Console do GCP.

Para informações sobre como entrar em contato com o suporte do GCP, consulte Suporte do GCP.

Disponibilidade do serviço

Na tabela a seguir, são listados os serviços do GCP que gravam os registros de transparência no acesso. GA indica que um tipo de registro tem disponibilidade geral para um serviço. Beta indica que um tipo de registro está disponível, mas pode ser alterado de maneira incompatível com versões anteriores e não está sujeito a qualquer SLA ou política de suspensão de uso.

Observe que é possível ativar os registros do GA no Console do GCP. Consulte as instruções de configuração acima. Se quiser ativar os registros na versão Beta, entre em contato com o suporte do GCP.

Os registros de transparência no acesso são produzidos pelos seguintes serviços:

Serviços do GCP com suporte para transparência no acesso Disponibilidade
App Engine1 GA
BigQuery2 GA
Cloud Bigtable GA
Cloud Dataflow GA
Cloud Dataproc Beta
Cloud Identity and Access Management GA
Cloud Key Management Service (KMS) GA
Cloud Pub/Sub GA
Cloud Spanner Beta
Cloud Storage GA
Compute Engine GA
Google Kubernetes Engine Beta

1 O Cloud Storage é o único back-end de armazenamento compatível do App Engine aceito atualmente pela transparência no acesso.

2 Algumas informações sobre suas consultas, tabelas e conjuntos de dados podem não gerar um registro de transparência no acesso quando visualizadas pelo Suporte do GCP. A visualização de nomes de tabela e de conjunto de dados, de texto de consulta e de listas de controle de acesso a conjuntos de dados pode não gerar registros de transparência no acesso. Esse caminho de acesso fornece acesso somente leitura. A visualização dos resultados da consulta e dos dados da tabela ou do conjunto de dados ainda gerará os registros de transparência no acesso.

O que está incluído nos registros?

Os registros de transparência no acesso são gerados quando as pessoas que trabalham no Google acessam dados enviados por você a um serviço compatível com a transparência no acesso. Por exemplo, visualizar um dos rótulos na instância do Compute Engine, exceto nestes casos:

  1. Você concede à pessoa que acessa a permissão de dados por meio da política do Cloud Identity and Access Management.
    • Os registros de auditoria do Cloud, se ativados, são gerados sempre que você tem um funcionário do Google trabalhando com você e a quem você concedeu acesso por meio do Cloud IAM.
  2. O Google é legalmente proibido de notificá-lo sobre o acesso.
  3. Os dados em questão são um identificador de recurso público. Por exemplo, códigos de projetos do GCP ou nomes de intervalos do Cloud Storage.
  4. O acesso é um job do sistema. Por exemplo, um job de compactação executado nos dados.
    • O Google usa uma versão interna da autorização binária para verificar se o código do sistema em execução nos serviços de transparência no acesso foi revisado por uma segunda parte.

Preços

Os registros de transparência no acesso não são faturáveis. No entanto, ativar a transparência no acesso requer determinados níveis de suporte do GCP. Consulte Requisitos para usar a transparência no acesso para saber detalhes.

A seguir

Para entender o conteúdo das entradas de registro da transparência no acesso, consulte Como ler os registros de transparência no acesso.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Stackdriver Logging
Precisa de ajuda? Acesse nossa página de suporte.