访问透明度

本页面介绍了 Access Transparency 以及如何启用 Access Transparency 日志。

概览

在 Google 长期致力于确保安全性和透明度的过程中,我们推出了 Access Transparency,其中的日志记录了 Google 员工在访问您的数据时执行的操作。

您可能已经熟悉 Cloud Audit Logs 日志,它们有助于您了解在 Google Cloud Platform 项目中哪些用户何时在何处执行过哪些操作。Cloud 审核日志记录了贵组织内的成员执行的操作,而 Access Transparency 日志则记录了 Google 员工执行的操作。

除了 Stackdriver Logging 中的其他日志外,Access Transparency 日志还包含以下数据:支持团队应您在电话中的请求而执行的操作、为推进您的支持请求而开展的较低级别工程调查,以及出于正当业务目的(如故障恢复)而执行的操作。

如果您希望提前对访问权限进行审批,请转到访问权限审批文档

何时使用 Access Transparency

您可能因多种原因而需要使用 Access Transparency。以下是一些示例:

  • 确认 Google 是否仅因正当业务原因(如修复故障或处理您的请求)而访问您的数据。
  • 确认 Google 员工在执行您的指示时没有出错。
  • 验证和跟踪对法律/法规义务的遵守情况。
  • 借助自动化的安全信息和事件管理 (SIEM) 工具收集和分析跟踪到的访问事件。

Access Transparency 将针对整个 GCP 组织启用。要按项目启用 Access Transparency,请与 GCP 支持团队联系。

使用 Access Transparency 的要求

如果 GCP 组织满足以下要求之一,则可以为其启用 Access Transparency:

  • 您的 GCP 组织使用以下基于角色的支持套餐之一

    • 企业支持
    • 四个或更多开发角色
    • 四个或更多生产角色
    • 四个或更多开发或生产角色的组合

    您可以通过联系 GCP 销售或支持团队来启用 Access Transparency。您不需要特殊的 Cloud Identity and Access Management 角色或权限。如需了解如何联系 GCP 销售或支持团队,请访问 GCP 支持

  • 您的 GCP 组织使用白金级或黄金级支持套餐。 您可以使用 Google Cloud Platform Console 或通过联系 GCP 支持团队来启用 Access Transparency。您还需要某些 Cloud IAM 权限以及具有关联结算帐号的项目;这两项要求将在下文的配置说明中进行讨论。

如果不确定您的 GCP 组织是否在使用适当的技术支持套餐,请查看您的 Cloud Support 控制台:

访问您的 Cloud Support 控制台

支持面板中,您将看到“支持”状态或套餐升级选项。

使用 GCP Console 配置 Access Transparency

如果您确定 GCP 组织正在使用上文所述的必需的黄金级或白金级支持套餐,那么您可以按照如下说明,使用 GCP Console 启用或停用 Access Transparency:

  1. 检查您的组织级权限:

    1. 转到 GCP Console 的 IAM 页面。

      转到 IAM

    2. 如果出现提示,请在页面顶部的选择器菜单中选择相应 GCP 组织。

    3. 验证成员列表的角色列中是否列有 Access Transparency Admin (roles/axt.admin) Cloud IAM 角色。

  2. 使用页面顶部的选择器菜单选择组织内的任意 GCP 项目。

    Access Transparency 将在 GCP 项目页面上配置,但此功能将针对整个 GCP 组织启用。要按项目启用 Access Transparency,请与 GCP 支持团队联系。

  3. 验证 GCP 项目是否与结算帐号相关联;在 GCP Console 中,您只能使用与结算帐号关联的项目配置 Access Transparency:

    1. 在左侧导航菜单中,选择结算。如果您看到此项目未与结算帐号关联 (This project is not associated with a billing account) 这一消息,请选择其他项目或查看有关如何更改项目结算帐号的说明。
  4. 转到 IAM 和管理 > 设置页面。

  5. 点击启用 Access Transparency (Enable Access Transparency) 按钮。

    如果您的 GCP 项目未与正确的支持套餐或结算帐号关联,或者您缺少适当的权限,则此按钮不会显示。请与 GCP 支持团队联系,获取进一步帮助。

停用 Access Transparency

要停用 Access Transparency,请与 GCP 支持团队联系。您无法使用 GCP Console 停用 Access Transparency。

如需了解如何联 GCP 支持团队,请访问 GCP 支持

服务可用性

下表列出了会可写入 Access Transparency 日志的 GCP 服务。GA 表示日志类型已正式发布,可供服务使用;测试版表示日志类型可供使用,但可能会以不向后兼容的方式更改,并且不在任何服务等级协议 (SLA) 或弃用政策的涵盖范围内。

请注意,您只能在 GCP Console 中启用 GA 日志;请参阅上面的配置说明。如果要启用测试版日志,请与 GCP 支持团队联系。

Access Transparency 日志由以下服务生成:

具有 Access Transparency 支持的 GCP 服务 可用情况
App Engine1 正式版
BigQuery2 正式版
Cloud Bigtable 正式版
Cloud Dataflow 正式版
Cloud Dataproc 测试版
Cloud Identity and Access Management 正式版
Cloud Key Management Service (KMS) GA
Cloud Pub/Sub 正式版
Cloud Spanner 测试版
Cloud Storage GA
Compute Engine 正式版
Google Kubernetes Engine 测试版

1 Cloud Storage 是 Access Transparency 目前唯一支持的 App Engine 兼容存储后端

2 如果 GCP 支持人员查看某些有关您的查询、表和数据集的信息,系统可能不会生成 Access Transparency 日志。查看查询文本、表名称、数据集名称和数据集访问控制列表可能不会生成 Access Transparency 日志。此访问路径提供只读访问权限。查看查询结果以及表或数据集数据仍将生成 Access Transparency 日志。

日志中包含的内容

Access Transparency 日志是在 Google 员工访问由您上传到 Access Transparency 支持服务的数据时生成的(例如,查看 Compute Engine 实例上的某个标签),但以下情况除外

  1. 您通过 Cloud Identity and Access Management 政策授权相应人员访问此类数据。
    • 只要您通过 Cloud IAM 向 Google 员工授予权限,然后请其为您执行操作,就会生成 Cloud Audit 日志(如已启用)。
  2. 法律禁止 Google 将相应访问告知于您。
  3. 相关数据是公共资源标识符,如 GCP 项目 ID 或 Cloud Storage 存储桶名称。
  4. 访问属于系统作业,如针对数据运行的压缩作业。
    • Google 使用二进制授权的内部版本来检查在 Access Transparency 服务上运行的系统代码是否已经过第二方审核。

价格

Access Transparency 日志是免费的。但是,启用 Access Transparency 需要具备某些 GCP 支持级别。如需了解详情,请参阅使用 Access Transparency 的要求

后续步骤

请参阅读取 Access Transparency 日志,了解 Access Transparency 日志条目的内容。

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Stackdriver Logging
需要帮助?请访问我们的支持页面