資料存取透明化控管機制

本頁面說明資料存取透明化控管機制及如何啟用資料存取透明化控管機制記錄。

總覽

Google 長期致力於確保安全性與資訊的透明化,因此我們提供了資料存取透明化控管機制,將 Google 員工存取您的資料時採取的動作記錄下來。目前,您可以透過這項機制來取得這些記錄。

您可能對 Cloud 稽核記錄的記錄有所瞭解,這些記錄可協助您回答 Google Cloud Platform 專案中「從事活動的人員、內容、地點及時間為何?」的問題。Cloud 稽核記錄記載的是您自己的機構內成員採取了哪些動作,而資料存取透明化控管機制提供的則是 Google 員工採取哪些動作的記錄。

除了 Stackdriver Logging 中的其他記錄,資料存取透明化控管機制記錄也包括下列項目的相關資料:您可能在電話中要求支援團隊執行的動作、支援要求的較低層級工程調查,或基於正當業務目的而採取的其他調查,例如從中斷狀態復原。

若您想要系統在存取這些記錄前先獲得您的核准,請參閱存取權核准說明文件

使用資料存取透明化控管機制的時機

您可能會基於各種原因而需要使用資料存取透明化控管機制。以下是幾個例子:

  • 確認 Google 僅基於正當業務理由 (例如修正錯誤或執行您的要求) 存取您的資料。
  • 確認 Google 員工在執行您的指示時沒有出錯。
  • 確認並追蹤法律/法規義務的遵循情況。
  • 透過自動化安全性資訊與事件管理 (SIEM) 工具,收集並分析追蹤的存取事件。

系統會針對整個 GCP 機構啟用資料存取透明化控管機制。如要為每個專案啟用資料存取透明化控管機制,請聯絡 GCP 支援人員

使用資料存取透明化控管機制的需求

如果您的 GCP 機構符合下列其中一項需求,可為其啟用資料存取透明化控管機制:

  • 您的 GCP 機構擁有下列其中一個依角色提供支援方案

    • 企業支援
    • 四個以上的開發環境角色
    • 四個以上的實際工作環境角色
    • 四個以上的開發環境角色或實際工作環境角色的組合。

    您可以聯絡 GCP 銷售人員或支援人員,來啟用資料存取透明化控管機制。您將不需要特殊的 Cloud Identity and Access Management 角色或權限。如要瞭解如何與 GCP 銷售或支援人員聯絡,請參閱 GCP 支援說明。

  • 您的 GCP 機構擁有白金級或爍金級支援方案。 您可以使用 Google Cloud Platform 主控台或透過聯絡 GCP 支援人員,啟用資料存取透明化控管機制。您還需要特定的 Cloud IAM 權限與具有關聯帳單帳戶的專案;這兩項需求在下文的設定操作說明中討論。

如果您不確定 GCP 機構是否擁有適當的技術支援方案,請前往 Cloud Support 主控台查看相關資訊:

前往 Cloud Support 主控台

在「Support」(支援) 面板中,您會看到您的支援狀態,或升級方案的選項。

使用 GCP 主控台設定資料存取透明化控管機制

如果您確定 GCP 機構擁有如上所述的必要爍金級或白金級支援方案,則可依照下列操作說明,使用 GCP 主控台啟用或停用資料存取透明化控管機制:

  1. 檢查您的機構層級權限:

    1. 前往 GCP 主控台的「IAM」頁面:

      前往「IAM」

    2. 如果收到提示,請在頁面上的選取器選單中選取 GCP 機構。

    3. 確認 Cloud IAM 角色「Access Transparency Admin」(資料存取透明化控管機制管理員) (roles/axt.admin) 列在「Member」(成員) 清單的「Role」(角色) 欄中。

  2. 使用頁面上的選取器選單,選取機構內的任何 GCP 專案。

    系統會在 GCP 專案頁面上設定資料存取透明化控管機制,但會針對整個機構啟用資料存取透明化控管機制。如要為每個專案啟用資料存取透明化控管機制,請聯絡 GCP 支援人員

  3. 驗證 GCP 專案已與帳單帳戶關聯;您只能在 GCP 主控台中,從與帳單帳戶相關聯的專案設定資料存取透明化控管機制:

    1. 在左側的導覽選單中,選取 [Billing] (帳單)。如果您看到「This project is not associated with a billing account」(這個專案未與帳單帳戶相關聯) 訊息,請選取其他專案,或查看變更專案帳單帳戶的操作說明。
  4. 前往「IAM & Admin」(IAM 與管理員) >「Settings」(設定) 頁面。

  5. 點選 [Enable Access Transparency] (啟用資料存取透明化控管機制) 按鈕。

    如果 GCP 專案未與正確的支援方案或帳單帳戶關聯,或是您缺少適當權限,這個按鈕就不會顯示出來。請聯絡 GCP 支援人員尋求進一步協助。

停用資料存取透明化控管機制

如要停用資料存取透明化控管機制,請與 GCP 支援人員聯絡。您無法使用 GCP 主控台來停用資料存取透明化控管機制。

想瞭解如何與 GCP 支援人員聯絡,請參閱 GCP 支援說明。

服務可用性

下表列出寫入資料存取透明化控管機制記錄的 GCP 服務。「GA」表示記錄類型已全面開放給服務使用;「Beta 版」表示記錄類型可用,但可能會有回溯不相容的變更,且不適用於任何服務水準協議或廢止政策。

請注意,您只能在 GCP 主控台中啟用 GA 記錄;請參閱前文的設定操作說明。如果您想啟用 Beta 版記錄,請聯絡 GCP 支援人員

資料存取透明化控管機制記錄由下列服務產生:

提供資料存取透明化控管機制支援服務的 GCP 服務 可用性
App Engine1 GA
BigQuery2 GA
Cloud BigTable GA
Cloud Dataflow GA
Cloud Dataproc Beta 版
Cloud Identity and Access Management GA
Cloud Key Management Service (KMS) GA
Cloud Pub/Sub GA
Cloud Spanner Beta 版
Cloud Storage GA
Compute Engine GA
Google Kubernetes Engine Beta 版

1 Cloud Storage 是資料存取透明化控管機制目前唯一支援的 App Engine 相容儲存空間後端

2 有一些關於查詢、表格和資料集的資訊若使用 GCP 支援服務檢視,可能不會產生資料存取透明化控管機制記錄。檢視查詢文字、表格名稱、資料集名稱和資料組合存取控制清單 (ACL) 可能不會產生資料存取透明化控管機制記錄。此存取途徑只提供唯讀存取權。查看查詢結果和表格或資料集資料仍會產生資料存取透明化控管機制記錄。

記錄中包含哪些內容?

Google 工作人員存取您上傳至資料存取透明化控管機制支援服務的資料時 (例如,查看 Compute Engine 執行個體上的其中一個標籤),會產生資料存取透明化控管機制記錄,但下列情況除外

  1. 您透過 Cloud Identity and Access Management 政策,為存取資料的人員授予權限。
    • 每當您與您透過 Cloud IAM 提供存取權的 Google 員工一起工作時,就會產生 Cloud 稽核記錄 (啟用時)。
  2. 法律禁止 Google 針對存取向您傳送通知。
  3. 相關資料是公開資源識別碼;例如 GCP 專案 ID 或 Cloud Storage 值區名稱。
  4. 存取是一項系統工作,例如對資料執行的壓縮工作。
    • Google 使用內部版本的二進位授權,查看另一方是否已審查對資料存取透明化控管機制服務執行的系統程式碼。

定價

資料存取透明化控管機制記錄為不收費項目。然而,啟用資料存取透明化控管機制需要特定的 GCP 支援等級。詳情請參閱使用資料存取透明化控管機制的需求一節。

後續步驟

如要瞭解資料存取透明化控管機制記錄項目的內容,請參閱讀取資料存取透明化控管機制記錄一文。

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Stackdriver Logging
需要協助嗎?請前往我們的支援網頁