Transparência no acesso

Nesta página, descrevemos a transparência no acesso e como ativar os respectivos registros.

Visão geral

A transparência no acesso representa o compromisso de longo prazo do Google com a segurança e a transparência ao fornecer registros que capturam as ações do pessoal do Google ao acessar seu conteúdo.

É possível conhecer melhor os registros de auditoria do Cloud, que podem ajudar a responder "quem fez o quê, onde e quando?" nos seus projetos do Google Cloud. Os registros de auditoria do Cloud fornecem esses registros sobre as ações realizadas pelos membros na sua organização, mas o recurso de transparência no acesso fornece registros das ações executadas pela equipe do Google.

Quando usar a transparência no acesso

Talvez você precise dos dados dos registros da transparência no acesso pelos seguintes motivos:

  • Verificar se o pessoal do Google está acessando seu conteúdo somente por motivos comerciais válidos, como a correção de interrupções ou quando a equipe do Suporte do Google atende às suas solicitações.
  • Verificar se o pessoal do Google não cometeu um erro ao seguir as instruções.
  • Verificar e rastrear a conformidade com obrigações legais ou regulatórias.
  • Coletar e analisar eventos de acesso rastreados por meio de uma ferramenta automatizada de informações de segurança e gerenciamento de eventos (SIEM, na sigla em inglês).

A transparência no acesso é ativada no nível da organização do Google Cloud. Para ativar a transparência no acesso por projeto, entre em contato com o Suporte do Google Cloud.

Requisitos para usar a transparência no acesso

Para ativar a transparência no acesso para sua organização do Google Cloud, ela precisa atender a um dos seguintes requisitos:

  • Sua organização do Google Cloud tem um dos seguintes pacotes de suporte com base no papel atribuído:

    • Suporte empresarial
    • Quatro ou mais papéis de desenvolvimento
    • Quatro ou mais papéis de produção
    • Uma combinação de quatro ou mais papéis de desenvolvimento ou produção

    Para ativar a transparência no acesso, entre em contato com os departamentos de vendas ou suporte do Google Cloud. Você não precisa de permissões ou funções especiais do Cloud Identity and Access Management. Para informações sobre como entrar em contato com o departamento de suporte ou vendas do Google Cloud, consulte Suporte do Google Cloud.

  • Sua organização do Google Cloud tem um dos seguintes pacotes de suporte:

    • Suporte Platinum
    • Suporte Gold

    Ative a transparência no acesso entrando em contato com o Suporte do Google Cloud. Também é possível ativar a transparência no acesso diretamente no Console do Google Cloud. Veja as instruções de configuração abaixo.

Se você não tiver certeza de que sua organização do Google Cloud tem um pacote de suporte adequado, verifique o Console de Suporte do Google:

Acesse o console de suporte

No painel Suporte, você vê o status do suporte ou a opção de fazer upgrade do pacote.

Como configurar a transparência no acesso usando o Console do Cloud

Se sua organização do Google Cloud tiver o pacote de suporte Gold ou Platinum, siga estas instruções para ativar ou desativar a Transparência no acesso usando o Console do Cloud:

  1. Verifique suas permissões no nível da organização:

    1. Acesse a página IAM do Console do Cloud:

      Acessar IAM

    2. Se você receber um pedido, selecione a organização do Google Cloud no menu seletor.

    3. Verifique se você tem o papel do Cloud IAM Administrador de transparência no acesso (roles/axt.admin) listado na coluna Papel da listagem Membro.

  2. Selecione qualquer projeto do Google Cloud na organização usando o menu seletor.

    A transparência no acesso é configurada em uma página de projeto do Google Cloud, mas a transparência está ativada para toda a organização. Para ativar a transparência no acesso por projeto, entre em contato com o suporte do Google Cloud.

  3. Verifique se o projeto do Google Cloud está associado a uma conta de faturamento. Somente é possível configurar a transparência no acesso no Console do Cloud a partir de um projeto associado a uma conta de faturamento:

    1. No menu de navegação à esquerda, selecione Faturamento. Se for exibida a mensagem Este projeto não está associado a uma conta de faturamento, selecione um projeto diferente ou consulte as instruções sobre Como alterar a conta de faturamento de um projeto.
  4. Acesse a página IAM e Administrador > Configurações.

  5. Clique no botão Ativar transparência no acesso.

    Se o projeto do Google Cloud não estiver associado ao pacote de suporte ou conta de faturamento apropriado ou se você não tiver as permissões adequadas, esse botão não será exibido. Entre em contato com o Suporte do Google Cloud para mais assistência.

Como desativar a transparência no acesso

Para desativar a transparência no acesso, entre em contato com o Suporte do Google Cloud. Não é possível desativar a transparência no acesso usando o Console do Cloud.

Para informações sobre como entrar em contato com o Suporte do Google Cloud, consulte Suporte do Google Cloud.

Serviços do Google que produzem registros de transparência no acesso

Para uma lista dos serviços do Google que fornecem registros de transparência no acesso, acesse serviços do Google com os registros de transparência do acesso.

O que é excluído dos registros de transparência no acesso?

Os registros de transparência no acesso são gerados quando o pessoal do Google acessa o conteúdo que você carregou em um serviço compatível com transparência no acesso, , exceto nos seguintes cenários:

  1. O Google é legalmente proibido de notificá-lo sobre o acesso.

  2. Você concedeu permissão à equipe do Google para acessar seu conteúdo por meio da política do Cloud Identity and Access Management. Em vez disso, os registros de auditoria do Cloud, quando ativados, são gerados sempre que você concede ao pessoal do Google as permissões apropriadas do Cloud IAM.

  3. O acesso não segmenta o conteúdo de um usuário específico; por exemplo, um engenheiro do Google que consulta o tamanho médio dos registros em um banco de dados que contém conteúdo de vários clientes do Google Cloud.

  4. O conteúdo em questão é um identificador de recurso público. Exemplo:

    • IDs do projeto do Google Cloud
    • Nomes de intervalo do Cloud Storage
    • Nomes de VMs do Compute Engine
    • Nomes de cluster do Google Kubernetes Engine
    • Nomes de recursos do BigQuery (incluindo conjuntos de dados, tabelas e reservas)
  5. O acesso é um job do sistema ou parte de um fluxo de trabalho padrão; por exemplo, um job de compactação executado no conteúdo ou destruição do disco durante o processo de exclusão de conteúdo. Os detalhes são os seguintes:

    • O Google usa uma versão interna da Autorização binária para verificar se o código do sistema em execução nos serviços de transparência no acesso foi analisado por vários funcionários do Google antes de acessar o conteúdo do cliente. O revisor precisa ser designado como proprietário do código-fonte, impedindo a modificação por parte de funcionários não autorizados do Google.

    • O Google valida que o job do sistema que acessa o conteúdo do cliente está autorizado a fazer isso. Por exemplo:

      • Conceder acesso ao seu próprio conteúdo
      • Indexar, compactar ou realizar outras operações de otimização
      • Executar jobs ou cargas de trabalho programadas

O Google detecta se o acesso ao conteúdo do cliente está segmentado ou não antes de gerar registros de transparência no acesso. Se não houver uma maneira de identificar um cliente a partir do conteúdo que foi acessado, um registro de transparência no acesso não será gerado.

O Google limita estritamente o número e as permissões da equipe que pode acessar o conteúdo do cliente enquanto realiza tarefas em uma infraestrutura de nível inferior. O Google usa criptografia Nessas situações para limitar a capacidade do pessoal de ler o conteúdo do cliente e monitora atentamente o comportamento da equipe com registros internos e auditoria. Esses acessos de nível inferior não geram registros de transparência no acesso.

Preço

Os registros de transparência no acesso não são faturáveis. No entanto, ativar a transparência no acesso requer determinados níveis de suporte do Google Cloud. Consulte Requisitos para usar a transparência no acesso para detalhes.

A seguir

Para entender o conteúdo das entradas de registro da transparência no acesso, consulte Como ler os registros de transparência no acesso.