액세스 투명성 로그 이해 및 사용
이 페이지에서는 액세스 투명성 로그 항목 콘텐츠와 이를 보고 사용하는 방법을 설명합니다.
액세스 투명성 로그 세부정보
액세스 투명성 로그를 기존 보안 정보 및 이벤트 관리(SIEM) 도구와 통합하여 Google 직원이 콘텐츠에 액세스할 때 감사를 자동화할 수 있습니다. 액세스 투명성 로그는 Cloud 감사 로그와 함께 Google Cloud Console에서 사용할 수 있습니다.
액세스 투명성 로그 항목에는 다음과 같은 유형의 세부정보가 포함됩니다.
- 영향을 받는 리소스와 작업
- 작업 수행 시간
- 작업 이유(예: 고객 지원 요청과 관련된 사례 번호)
- 콘텐츠 작업을 수행한 직원에 대한 데이터(예: Google 직원의 위치)
액세스 투명성 사용 설정
Google Cloud 조직에 액세스 투명성을 사용 설정하는 방법은 액세스 투명성 사용 설정을 참조하세요.
액세스 투명성 로그 보기
Google Cloud 조직에 액세스 투명성을 구성한 후에는 사용자 또는 그룹에 비공개 로그 뷰어 역할을 할당하여 액세스 투명성 로그에 액세스할 수 있는 사용자에 대한 제어를 설정할 수 있습니다. 자세한 내용은 Cloud Logging 액세스 제어 가이드를 참조하세요.
액세스 투명성 로그를 보려면 다음 Google Cloud Observability 로깅 필터를 사용합니다.
logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
로그 탐색기에서 액세스 투명성 로그를 확인하는 방법은 로그 탐색기 사용을 참조하세요.
Cloud Monitoring API나 Cloud Functions를 사용하여 로그를 모니터링할 수도 있습니다. 시작하려면 Cloud Monitoring 문서를 참조하세요.
선택사항: 로그 기반 측정항목을 만든 후 알림 정책을 설정하면 이러한 로그를 통해 발생한 문제를 신속하게 확인할 수 있습니다.
샘플 액세스 투명성 로그 항목
다음은 액세스 투명성 로그 항목의 예입니다.
{ insertId: "abcdefg12345" jsonPayload: { @type: "type.googleapis.com/google.cloud.audit.TransparencyLog" location: { principalOfficeCountry: "US" principalEmployingEntity: "Google LLC" principalPhysicalLocationCountry: "CA" } principalJobTitle: "Engineering" product: [ 0: "Cloud Storage" ] reason: [ detail: "Case number: bar123" type: "CUSTOMER_INITIATED_SUPPORT" ] eventId: "asdfg12345asdfg12345asdfg12345" accesses: [ 0: { methodName: "GoogleInternal.Read" resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123" } ] accessApprovals: [ 0: "projects/123/approvalRequests/abcdef12345" ] } logName: "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency" operation: { id: "12345xyz" } receiveTimestamp: "2017-12-18T16:06:37.400577736Z" resource: { labels: { project_id: "1234567890" } type: "project" } severity: "NOTICE" timestamp: "2017-12-18T16:06:24.660001Z" }
로그 필드 설명
필드 | 설명 |
---|---|
insertId |
로그의 고유 식별자입니다. |
@type |
액세스 투명성 로그 식별자입니다. |
principalOfficeCountry |
액세스한 Google 직원의 사무실이 위치한 국가의 국가 코드(ISO 3166-1 alpha-2)입니다. 위치를 확인할 수 없는 경우에는 ?? 이고 인구가 적은 국가에 위치한 경우에는 문자 3개로 구성된 대륙 식별자가 표시됩니다. |
principalEmployingEntity |
액세스한 Google 직원이 소속된 법인입니다(예: Google LLC ). |
principalPhysicalLocationCountry |
액세스가 발생한 국가의 국가 코드(ISO 3166-1 alpha-2)입니다. 위치를 확인할 수 없는 경우에는 ?? 이고, Google 직원이 인구가 적은 국가에 위치한 경우에는 문자 3개로 구성된 대륙 식별자가 표시됩니다. |
principalJobTitle |
액세스한 Google 직원의 작업 계열입니다. |
product |
액세스된 고객의 Google Cloud 제품입니다. |
reason:detail |
상세 이유입니다(예: 지원 티켓 ID). |
reason:type |
액세스 이유 유형입니다(예: CUSTOMER_INITIATED_SUPPORT) ). |
accesses:methodName |
수행된 액세스 유형입니다. 예를 들면 GoogleInternal.Read 입니다. methodName 필드에 표시될 수 있는 메서드에 대한 자세한 내용은 accesses: methodName 필드 값을 참조하세요.
|
accesses:resourceName |
액세스된 리소스 이름입니다. |
accessApprovals |
액세스를 승인한 액세스 승인 요청의 리소스 이름이 포함됩니다. 이러한 요청에는 제외 및 지원되는 서비스가 적용됩니다. 이 필드는 액세스된 리소스에 액세스 승인이 사용 설정된 경우에만 채워집니다. 2021년 3월 24일 이전에 게시된 액세스 투명성 로그에는 이 필드가 채워지지 않습니다. |
logName |
로그 위치 이름입니다. |
operation:id |
로그 클러스터 ID입니다. |
receiveTimestamp |
로깅 파이프라인이 액세스를 수신한 시간입니다. |
project_id |
액세스된 리소스와 연결된 프로젝트입니다. |
type |
액세스된 리소스 유형입니다(예: project ). |
eventId |
단일 액세스 이벤트 근거와 연결된 고유한 이벤트 ID(예: 단일 지원 케이스)입니다. 동일한 근거에 로깅되는 모든 액세스는 동일한 event_id 값을 가집니다. |
severity |
로그 심각도입니다. |
timestamp |
로그가 작성된 시간입니다. |
accesses:methodNames
필드 값
액세스 투명성 로그의 accesses:methodNames
필드에 다음 메서드가 표시될 수 있습니다.
- 표준 메서드: 이러한 메서드는
List
,Get
,Create
,Update
,Delete
입니다. 자세한 내용은 표준 메서드를 참조하세요. - 커스텀 메서드: 커스텀 메서드는 5개의 표준 메서드 이외의 API 메서드를 참조합니다. 일반적인 커스텀 메서드에는
Cancel
,BatchGet
,Move
,Search
,Undelete
가 있습니다. 자세한 내용은 커스텀 메서드를 참조하세요. - GoogleInternal 메서드: 다음
GoogleInternal
메서드는accesses:methodNames
필드에 나타날 수 있습니다.
메서드 이름 | 설명 | 예시 |
---|---|---|
GoogleInternal.Read |
타당한 비즈니스 근거가 있는 고객 콘텐츠에 수행된 읽기 작업을 나타냅니다. 읽기 작업은 Google Cloud 서비스 관리를 위해 특별히 설계된 내부 API를 사용하여 수행됩니다. 이 메서드는 고객 콘텐츠를 변형하지 않습니다. | IAM 권한 읽기 |
GoogleInternal.Write |
타당한 비즈니스 근거가 있는 고객 콘텐츠에 수행된 쓰기 작업을 나타냅니다. 쓰기 작업은 Google Cloud 서비스 관리를 위해 특별히 설계된 내부 API를 사용하여 수행됩니다. 이 메서드는 고객 콘텐츠 또는 구성을 업데이트할 수 있습니다. |
|
GoogleInternal.Create |
타당한 비즈니스 근거가 있는 고객 콘텐츠에 수행된 만들기 작업을 나타냅니다. 만들기 작업은 Google Cloud 서비스 관리를 위해 특별히 설계된 내부 API를 사용하여 수행됩니다. 이 메서드는 신규 고객 콘텐츠를 만듭니다. |
|
GoogleInternal.Delete |
Google Cloud 서비스 관리를 위해 특별히 설계된 내부 API를 사용하여 고객 콘텐츠에 수행된 삭제 작업을 나타냅니다. 이 메서드는 고객 콘텐츠 및/또는 구성을 변형합니다. |
|
GoogleInternal.List |
타당한 비즈니스 근거가 있는 고객 콘텐츠에 수행된 나열 작업을 나타냅니다. 나열 작업은 Google Cloud 서비스 관리를 위해 특별히 설계된 내부 API를 사용하여 수행됩니다. 이 메서드는 고객 콘텐츠 또는 구성을 변형하지 않습니다. |
|
GoogleInternal.SSH |
타당한 비즈니스 근거가 있는 고객의 가상 머신에서 수행된 SSH 작업을 나타냅니다. SSH 액세스는 Google Cloud 서비스 관리를 위해 특별히 설계된 내부 API를 사용하여 수행됩니다. 이 메서드는 고객 콘텐츠 및 구성을 변형할 수 있습니다. | Compute Engine 또는 Google Distributed Cloud 중단 시 복구하기 위한 긴급 액세스 권한입니다. |
GoogleInternal.Update |
타당한 비즈니스 근거가 있는 고객 콘텐츠에 수행된 수정을 나타냅니다. 업데이트 작업은 Google Cloud 서비스 관리를 위해 특별히 설계된 내부 API를 사용하여 수행됩니다. 이 메서드는 고객 콘텐츠 및/또는 구성을 변형합니다. | Cloud Storage에서 HMAC 키를 업데이트합니다. |
GoogleInternal.Get |
타당한 비즈니스 근거가 있는 고객 콘텐츠에 수행된 가져오기 작업을 나타냅니다. 가져오기 작업은 Google Cloud 서비스 관리를 위해 특별히 설계된 내부 API를 사용하여 수행됩니다. 이 메서드는 고객 콘텐츠 또는 구성을 변형하지 않습니다. |
|
GoogleInternal.Query |
타당한 비즈니스 근거가 있는 고객 콘텐츠에 수행된 쿼리 작업을 나타냅니다. 쿼리 작업은 Google Cloud 서비스 관리를 위해 특별히 설계된 내부 API를 사용하여 수행됩니다. 이 메서드는 고객 콘텐츠 또는 구성을 변형하지 않습니다. |
|
GoogleInternal
액세스는 정당하고 감사 가능한 액세스를 위해 승인된 직원으로 엄격하게 제한됩니다. 메서드가 있다고 해서 모든 역할에 대한 가용성을 나타내지는 않습니다. 프로젝트 또는 조직의 관리 액세스에 대한 향상된 제어를 원하는 조직은 액세스 승인을 활성화하여 액세스 세부정보에 따라 액세스 승인 또는 거부를 사용 설정할 수 있습니다. 예를 들어 액세스 승인 사용자는 Customer Support
역할을 가진 Google 직원이 수행한 요청에 대해 CUSTOMER_INITIATED_SUPPORT
근거가 있는 요청만 허용하도록 선택할 수 있습니다. 자세한 내용은 액세스 승인 개요를 참조하세요.
이벤트가 엄격한 긴급 액세스 기준을 충족하는 경우 액세스 승인에서 auto approved
상태로 긴급 액세스를 로깅할 수 있습니다. 액세스 투명성 및 액세스 승인은 긴급 액세스 시나리오에 대비한 중단 없는 로깅을 포함하도록 특별히 설계되었습니다.
워크로드에 대한 더 많은 데이터 보안 제어가 필요한 경우 Assured Workloads를 사용하는 것이 좋습니다. Assured Workloads 프로젝트는 데이터 상주, 주권 제어, Compute Engine의 컨피덴셜 컴퓨팅과 같은 기능에 대한 액세스와 같은 향상된 기능을 제공합니다. 외부 관리 암호화 키에 키 액세스 근거를 활용합니다.
정당성 이유 코드
시스템 관리 및 문제해결을 위해 Google에서 시작한 액세스를 참조합니다. Google 직원은 다음과 같은 이유로 이러한 유형의 액세스를 허용할 수 있습니다.
시스템 안정성을 유지하기 위해 Google에서 시작한 액세스 권한을 참조합니다. Google 직원은 다음과 같은 이유로 이러한 유형의 액세스를 허용할 수 있습니다.
이유
설명
CUSTOMER_INITIATED_SUPPORT
고객이 시작한 지원(예: 'Case Number: ####')
GOOGLE_INITIATED_SERVICE
THIRD_PARTY_DATA_REQUEST
Google에서 고객의 데이터에 액세스하도록 요구하는 고객의 법적 절차에 대한 응답을 포함한 법적 요청 또는 법적 절차에 대한 응답으로 Google에서 시작한 액세스입니다.
GOOGLE_INITIATED_REVIEW
보안, 사기, 악용, 규정 준수 목적으로 Google이 시작한 액세스로, 다음이 포함됩니다.
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT
액세스 투명성 로그 모니터링
Cloud Monitoring API를 사용하여 액세스 투명성 로그를 모니터링할 수 있습니다. 시작하려면 Cloud Monitoring 문서를 참조하세요.
로그 기반 측정항목을 설정한 후 알림 정책을 설정하면 이러한 로그를 통해 발생한 문제를 신속하게 확인할 수 있습니다. 예를 들어 Google 직원의 콘텐츠 액세스를 캡처하는 로그 기반 측정항목을 만든 후 Monitoring에서 알림 정책을 만들어 특정 기간 동안의 액세스 수가 지정된 기준점을 초과되는지 확인할 수 있습니다.
다음 단계
- Google Workspace 서비스의 액세스 투명성 로그를 보고 이해하는 방법 알아보기