Memahami dan menggunakan log Transparansi Akses

Halaman ini menjelaskan konten entri log Transparansi Akses dan cara melihat dan menggunakannya.

Log Transparansi Akses secara mendetail

Log Transparansi Akses dapat diintegrasikan dengan alat informasi keamanan dan pengelolaan peristiwa (SIEM) yang sudah ada untuk mengotomatiskan audit personel Google Anda saat mereka mengakses konten Anda. Log Transparansi Akses tersedia di Konsol Google Cloud bersama dengan Cloud Audit Logs Anda.

Entri log Transparansi Akses mencakup jenis detail berikut:

Tindakan dan resource yang terpengaruh.
Waktu tindakan.
Alasan tindakan dilakukan (misalnya, nomor kasus yang terkait dengan permintaan dukungan pelanggan).
Data tentang orang yang bertindak atas konten (misalnya, lokasi staf Google).

Mengaktifkan Transparansi Akses

Untuk mengetahui informasi tentang cara mengaktifkan Transparansi Akses untuk organisasi Google Cloud, lihat Mengaktifkan Transparansi Akses.

Melihat log Transparansi Akses

Setelah mengonfigurasi Transparansi Akses untuk organisasi Google Cloud, Anda dapat menetapkan kontrol terkait siapa yang dapat mengakses log Transparansi Akses dengan menetapkan peran Private Logs Viewer kepada pengguna atau grup. Lihat panduan kontrol akses Cloud Logging untuk mengetahui detailnya.

Untuk melihat log Transparansi Akses, gunakan filter logging Kemampuan observasi Google Cloud berikut.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Untuk mempelajari cara melihat log Transparansi Akses di Logs Explorer, lihat Menggunakan Logs Explorer.

Anda juga dapat memantau log dengan menggunakan Cloud Monitoring API atau Cloud Functions. Untuk memulai, lihat dokumentasi Cloud Monitoring.

Opsional: Buat metrik berbasis log, lalu siapkan kebijakan pemberitahuan untuk memberi Anda informasi yang tepat waktu tentang masalah yang muncul oleh log ini.

Contoh entri log Transparansi Akses

Berikut adalah contoh entri log Transparansi Akses:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Deskripsi kolom log

Kolom	Deskripsi
`insertId`	ID unik untuk log.
`@type`	ID log Transparansi Akses.
`principalOfficeCountry`	Kode negara ISO 3166-1 alpha-2 untuk negara tempat pengakses memiliki kantor permanen, `??` jika lokasi tidak tersedia, atau ID benua 3 karakter tempat personel Google berada di negara dengan populasi rendah.
`principalEmployingEntity`	Entitas yang menggunakan personel Google yang melakukan akses (misalnya, `Google LLC`).
`principalPhysicalLocationCountry`	Kode negara ISO 3166-1 alpha-2 dari negara tempat akses dibuat, `??` jika lokasi tidak tersedia, atau ID benua 3 karakter tempat personel Google berada di negara dengan populasi rendah.
`principalJobTitle`	Kelompok pekerjaan staf Google yang memberikan akses.
`product`	Produk Google Cloud pelanggan yang telah diakses.
`reason:detail`	Detail alasannya, misalnya, ID tiket dukungan.
`reason:type`	Akses jenis alasan (misalnya, `CUSTOMER_INITIATED_SUPPORT)`.
`accesses:methodName`	Jenis akses apa yang dibuat. Misalnya, `GoogleInternal.Read`. Untuk mengetahui informasi selengkapnya tentang metode yang dapat muncul di kolom `methodName`, lihat Nilai untuk kolom `accesses: methodName`.
`accesses:resourceName`	Nama resource yang diakses.
`accessApprovals`	Mencakup nama resource untuk permintaan Persetujuan Akses yang menyetujui akses. Permintaan ini tunduk pada pengecualian dan layanan yang didukung. Kolom ini hanya diisi jika Access Approval diaktifkan untuk resource yang diakses. Log Transparansi Akses yang dipublikasikan sebelum tanggal 24 Maret 2021 tidak akan membuat kolom ini terisi.
`logName`	Nama lokasi log.
`operation:id`	ID cluster log.
`receiveTimestamp`	Waktu akses diterima oleh pipeline logging.
`project_id`	Project yang terkait dengan resource yang diakses.
`type`	Jenis resource yang diakses (misalnya, `project`).
`eventId`	ID peristiwa unik yang terkait dengan justifikasi peristiwa akses tunggal (misalnya, kasus dukungan tunggal). Semua akses yang dicatat ke dalam log ke justifikasi yang sama memiliki nilai `event_id` yang sama.
`severity`	Tingkat keparahan log.
`timestamp`	Waktu penulisan log.

Nilai untuk kolom `accesses:methodNames`

Metode berikut dapat muncul di kolom accesses:methodNames dalam log Transparansi Akses:

Metode standar: Metode ini adalah List, Get, Create, Update, dan Delete. Untuk informasi selengkapnya, lihat Metode standar.
Metode kustom: Metode kustom mengacu pada metode API selain 5 metode standar. Metode kustom yang umum mencakup Cancel, BatchGet, Move, Search, dan Undelete. Untuk informasi selengkapnya, lihat Metode kustom.
Metode GoogleInternal: Metode GoogleInternal berikut dapat muncul di kolom accesses:methodNames:

Nama metode	Deskripsi	Contoh
`GoogleInternal.Read`	Menandakan tindakan baca yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan baca terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini tidak mengubah konten pelanggan.	Membaca izin IAM.
`GoogleInternal.Write`	Menandakan tindakan tulis yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan tulis terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini dapat memperbarui konten dan/atau konfigurasi pelanggan.	Menetapkan izin IAM untuk resource. Menangguhkan instance Compute Engine.
`GoogleInternal.Create`	Menandakan tindakan pembuatan yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan pembuatan terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini membuat konten pelanggan baru.	Membuat bucket Cloud Storage. Membuat topik Pub/Sub.
`GoogleInternal.Delete`	Menandakan tindakan penghapusan yang dilakukan pada konten pelanggan menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini mengubah konten dan/atau konfigurasi pelanggan.	Menghapus objek Cloud Storage. Menghapus tabel BigQuery.
`GoogleInternal.List`	Menandakan tindakan daftar yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan daftar ini dilakukan menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini tidak mengubah konten atau konfigurasi pelanggan.	Mencantumkan instance Compute Engine pelanggan. Mencantumkan tugas Dataflow pelanggan.
`GoogleInternal.SSH`	Menandakan tindakan SSH yang dilakukan pada virtual machine pelanggan dengan justifikasi bisnis yang valid. Akses SSH dilakukan menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini dapat mengubah konten dan konfigurasi pelanggan.	Akses darurat untuk melakukan pemulihan dari pemadaman layanan di Compute Engine atau GKE di VMware.
`GoogleInternal.Update`	Menandakan perubahan yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan update dilakukan menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini mengubah konten dan/atau konfigurasi pelanggan.	Memperbarui kunci HMAC di Cloud Storage.
`GoogleInternal.Get`	Menandakan tindakan yang dilakukan terhadap konten pelanggan dengan justifikasi bisnis yang valid. Tindakan get terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini tidak mengubah konten atau konfigurasi pelanggan.	Mengambil kebijakan IAM untuk resource. Mengambil tugas Dataflow pelanggan.
`GoogleInternal.Query`	Menandakan tindakan kueri yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan kueri terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini tidak mengubah konten atau konfigurasi pelanggan.	Menjalankan kueri BigQuery. Pencarian konsol proses debug AI Platform terkait konten pelanggan.

Akses GoogleInternal dibatasi secara ketat hanya untuk personel yang berwenang guna mendapatkan akses yang dibenarkan dan dapat diaudit. Kehadiran suatu metode tidak menunjukkan ketersediaan untuk semua peran. Organisasi yang menginginkan kontrol lebih besar atas akses administratif pada project atau organisasi dapat mengaktifkan Persetujuan Akses untuk mengaktifkan persetujuan atau penolakan akses berdasarkan detail akses. Misalnya, pengguna Persetujuan Akses dapat memilih untuk hanya mengizinkan permintaan dengan justifikasi CUSTOMER_INITIATED_SUPPORT untuk permintaan yang dibuat oleh karyawan Google dengan peran Customer Support. Untuk informasi selengkapnya, lihat Ringkasan Persetujuan Akses.

Jika suatu peristiwa memenuhi kriteria akses darurat yang ketat, Persetujuan Akses dapat mencatat akses darurat tersebut dengan status auto approved. Transparansi Akses dan Persetujuan Akses didesain khusus untuk menyertakan logging tanpa gangguan untuk skenario akses darurat.

Jika Anda menginginkan kontrol keamanan data yang lebih besar atas workload Anda, sebaiknya gunakan Assured Workloads. Project Assured Workloads menawarkan fungsionalitas yang ditingkatkan seperti, residensi data, kontrol kedaulatan, dan akses ke fitur seperti komputasi rahasia di Compute Engine. Solusi ini memanfaatkan Key Access Justifications untuk kunci enkripsi yang dikelola secara eksternal.

Kode alasan justifikasi

Alasan	Deskripsi
`CUSTOMER_INITIATED_SUPPORT`	Dukungan yang dimulai pelanggan, misalnya, "Nomor Kasus: ####".
`GOOGLE_INITIATED_SERVICE`	Merujuk pada akses yang dimulai Google untuk pengelolaan sistem dan pemecahan masalah. Personel Google dapat membuat jenis akses ini karena alasan berikut: Untuk melakukan proses debug teknis yang diperlukan atas permintaan dukungan atau investigasi yang kompleks. Untuk memperbaiki masalah teknis, seperti kegagalan penyimpanan atau kerusakan data.
`THIRD_PARTY_DATA_REQUEST`	Akses yang dimulai Google sebagai respons atas permintaan hukum atau proses hukum, termasuk saat menanggapi proses hukum dari pelanggan yang mengharuskan Google untuk mengakses data milik pelanggan.
`GOOGLE_INITIATED_REVIEW`	Akses yang dimulai Google untuk tujuan terkait keamanan, penipuan, penyalahgunaan, atau kepatuhan, termasuk: Memastikan keamanan dan keselamatan akun serta data pelanggan. Mengonfirmasi apakah data terdampak oleh peristiwa yang dapat memengaruhi keamanan akun (misalnya, infeksi malware). Mengonfirmasi apakah pelanggan menggunakan layanan Google sesuai dengan Persyaratan Layanan Google. Menyelidiki keluhan oleh pengguna dan pelanggan lain, atau tanda-tanda lainnya terkait aktivitas penyalahgunaan. Memeriksa apakah layanan Google digunakan sesuai dengan sistem kepatuhan yang relevan (misalnya, peraturan anti-pencucian uang).
`GOOGLE_RESPONSE_TO_PRODUCTION_ALERT`	Mengacu pada akses yang dimulai Google untuk menjaga keandalan sistem. Personel Google dapat membuat jenis akses ini karena alasan berikut: Untuk menyelidiki dan mengonfirmasi bahwa dugaan pemadaman layanan tidak memengaruhi pelanggan. Untuk memastikan pencadangan dan pemulihan dari pemadaman layanan dan kegagalan sistem.

Memantau log Transparansi Akses

Anda dapat memantau log Transparansi Akses dengan menggunakan Cloud Monitoring API. Untuk memulai, lihat dokumentasi Cloud Monitoring.

Anda dapat menyiapkan metrik berbasis log, lalu menyiapkan kebijakan pemberitahuan agar Anda dapat mengetahui masalah yang muncul oleh log ini secara tepat waktu. Misalnya, Anda dapat membuat metrik berbasis log yang mencatat akses personel Google ke konten Anda, lalu membuat kebijakan pemberitahuan di Monitoring yang memungkinkan Anda mengetahui apakah jumlah akses dalam periode tertentu melebihi batas yang ditentukan.

Langkah selanjutnya

Pelajari cara melihat dan memahami log Transparansi Akses untuk layanan Google Workspace.