Os nomes de alguns pacotes de controlos do Assured Workload estão a ser alterados. Para obter informações sobre a alteração de nome, consulte o artigo Controle o aviso de mudança do nome do pacote.

Esta página foi traduzida pela API Cloud Translation.

Compreender e usar os registos da Transparência de acesso

Esta página descreve o conteúdo das entradas do registo da Transparência de acesso e como as ver e usar.

Registos da Transparência de acesso em detalhe

Os registos da Transparência de acesso podem ser integrados com as suas ferramentas de informação de segurança e gestão de eventos (SIEM) existentes para automatizar as suas auditorias ao pessoal da Google quando este acede ao seu conteúdo. Os registos da Transparência de acesso estão disponíveis na Google Cloud consola juntamente com os registos de auditoria do Google Cloud.

As entradas do registo da Transparência de acesso incluem os seguintes tipos de detalhes:

O recurso e a ação afetados.
A hora da ação.
Os motivos da ação (por exemplo, o número do registo associado a um pedido de apoio ao cliente).
Dados sobre quem está a agir sobre o conteúdo (por exemplo, a localização do pessoal da Google).

Ativar a Transparência de acesso

Para obter informações sobre como ativar a Transparência de acesso para a sua Google Cloud organização, consulte o artigo Ativar a Transparência de acesso.

Ver registos da Transparência de acesso

Depois de configurar a Transparência de acesso para a sua Google Cloud organização, pode definir controlos para quem pode aceder aos registos da Transparência de acesso atribuindo a um utilizador ou a um grupo a função Visualizador de registos privados. Consulte o guia de controlo de acesso do Cloud Logging para ver detalhes.

Para ver os registos da Transparência de acesso, use o seguinte filtro de registo do Google Cloud Observability.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Para saber como ver os seus registos da Transparência de acesso no Explorador de registos, consulte o artigo Usar o Explorador de registos.

Também pode monitorizar os registos através da API Cloud Monitoring ou das funções do Cloud Run. Para começar, consulte a documentação do Cloud Monitoring.

Opcional: crie uma métrica baseada em registos e, em seguida, configure uma política de alertas para receber notificações atempadas sobre problemas apresentados por estes registos.

Exemplo de entrada de registo da Transparência de acesso

Segue-se um exemplo de uma entrada de registo da Transparência de acesso:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Descrições dos campos de registo

Campo	Descrição
`insertId`	Identificador exclusivo do registo.
`@type`	Identificador do registo da Transparência de acesso.
`principalOfficeCountry`	Código de país ISO 3166-1 alfa-2 do país em que o acessor tem uma mesa permanente, `??` se a localização não estiver disponível, ou identificador de continente de 3 carateres onde o pessoal da Google se encontra num país com baixa população.
`principalEmployingEntity`	A entidade que emprega o pessoal da Google que está a fazer o acesso (por exemplo, `Google LLC`).
`principalPhysicalLocationCountry`	Código de país ISO 3166-1 alfa-2 do país a partir do qual o acesso foi feito, `??` se a localização não estiver disponível, ou identificador de continente de 3 carateres onde o pessoal da Google se encontra num país com baixa população.
`principalJobTitle`	A família profissional do pessoal da Google que está a efetuar o acesso.
`product`	Google Cloud Produto do cliente ao qual foi acedido.
`reason:detail`	Detalhes do motivo, por exemplo, um ID do pedido de apoio técnico.
`reason:type`	Acesso tipo de motivo (por exemplo, `CUSTOMER_INITIATED_SUPPORT)`.
`accesses:methodName`	Que tipo de acesso foi feito. Por exemplo, `GoogleInternal.Read`. Para mais informações acerca dos métodos que podem aparecer no campo `methodName`, consulte Valores para o campo `accesses: methodName`.
`accesses:resourceName`	Nome do recurso que foi acedido.
`accessApprovals`	Inclui os nomes dos recursos dos pedidos de aprovação de acesso que aprovaram o acesso. Estes pedidos estão sujeitos a exclusões e serviços suportados. Este campo só é preenchido se a aprovação de acesso estiver ativada para os recursos acedidos. Os registos de transparência de acesso publicados antes de 24 de março de 2021 não têm este campo preenchido.
`logName`	Nome da localização do registo.
`operation:id`	ID do cluster de registos.
`receiveTimestamp`	Hora em que o acesso foi recebido pelo pipeline de registo.
`project_id`	Projeto associado ao recurso acedido.
`type`	Tipo de recurso acedido (por exemplo, `project`).
`eventId`	ID do evento único associado a uma única justificação de evento de acesso (por exemplo, um único registo de apoio técnico). Todos os acessos registados na mesma justificação têm o mesmo valor `event_id`.
`severity`	Gravidade do registo.
`timestamp`	Hora em que o registo foi escrito.

Valores do campo `accesses:methodNames`

Os seguintes métodos podem aparecer no campo accesses:methodNames nos registos da Transparência de acesso:

Métodos padrão: estes métodos são List, Get, Create, Update e Delete. Para mais informações, consulte o artigo Métodos padrão.
Métodos personalizados: os métodos personalizados referem-se a métodos da API além dos 5 métodos padrão. Os métodos personalizados comuns incluem Cancel, BatchGet, Move, Search e Undelete. Para mais informações, consulte Métodos personalizados.
Métodos GoogleInternal: seguem-se exemplos de métodos GoogleInternal que aparecem no campo accesses:methodNames:

Nome do método	Descrição	Exemplos
`GoogleInternal.Read`	Significa uma ação de leitura realizada no conteúdo do cliente com uma justificação empresarial válida. A ação de leitura ocorre através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método não altera o conteúdo do cliente.	Ler autorizações de IAM.
`GoogleInternal.Write`	Significa uma ação de escrita realizada no conteúdo do cliente com uma justificação empresarial válida. A ação de escrita ocorre através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método pode atualizar o conteúdo e/ou as configurações do cliente.	Definir autorizações da IAM para um recurso. Suspender uma instância do Compute Engine.
`GoogleInternal.Create`	Significa uma ação de criação realizada no conteúdo do cliente com uma justificação empresarial válida. A ação de criação ocorre através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método cria conteúdo de novos clientes.	Criar um contentor do Cloud Storage. Criar um tópico Pub/Sub.
`GoogleInternal.Delete`	Significa uma ação de eliminação realizada no conteúdo do cliente através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método altera o conteúdo e/ou as configurações do cliente.	Eliminar um objeto do Cloud Storage. Eliminar uma tabela do BigQuery.
`GoogleInternal.List`	Significa uma ação de lista realizada em conteúdo de clientes com uma justificação empresarial válida. A ação de listagem ocorre através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método não altera o conteúdo nem as configurações do cliente.	Listar as instâncias do Compute Engine de um cliente. Listar as tarefas do Dataflow de um cliente.
`GoogleInternal.Update`	Significa uma modificação realizada no conteúdo do cliente com uma justificação empresarial válida. A ação de atualização ocorre através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método altera o conteúdo e/ou as configurações do cliente.	Atualizar chaves HMAC no Cloud Storage.
`GoogleInternal.Get`	Significa uma ação de obtenção realizada no conteúdo do cliente com uma justificação empresarial válida. A ação get ocorre através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método não altera o conteúdo nem as configurações do cliente.	A obter a Política IAM para um recurso. Obter a tarefa do Dataflow de um cliente.
`GoogleInternal.Query`	Significa uma ação de consulta realizada no conteúdo do cliente com uma justificação empresarial válida. A ação de consulta ocorre através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método não altera o conteúdo nem as configurações do cliente.	Executar uma consulta do BigQuery. Consulta da consola de depuração da plataforma de IA no conteúdo do cliente.

Os acessos GoogleInternal estão estritamente restritos a pessoal autorizado para acesso justificado e auditável. A presença de um método não indica a disponibilidade para todas as funções. As organizações que procuram controlos melhorados sobre o acesso administrativo num projeto ou numa organização podem ativar a aprovação de acesso para permitir ou recusar acessos com base nos detalhes de acesso. Por exemplo, os utilizadores da Aprovação de acesso podem optar por permitir apenas pedidos com a justificação CUSTOMER_INITIATED_SUPPORT para pedidos feitos por um funcionário da Google. Para mais informações, consulte o artigo Vista geral da aprovação de acessos.

Se um evento cumprir os critérios de acesso de emergência rigorosos, a Aprovação de acesso pode registar esse acesso de emergência com o estado auto approved. A Transparência de acesso e a Aprovação de acesso foram especificamente concebidas para incluir o registo ininterrupto para cenários de acesso de emergência.

Se procura um controlo de segurança de dados mais rigoroso sobre as suas cargas de trabalho, recomendamos que use o Assured Workloads. Os projetos do Assured Workloads oferecem funcionalidades melhoradas, como residência dos dados, controlos soberanos e acesso a funcionalidades como a computação confidencial no Compute Engine. Tira partido das justificações de acesso às chaves para chaves de encriptação geridas externamente.

Códigos de motivos de justificação

Motivo	Descrição
`CUSTOMER_INITIATED_SUPPORT`	Apoio técnico iniciado pelo cliente, por exemplo, "Número do registo: ####".
`GOOGLE_INITIATED_SERVICE`	Refere-se ao acesso iniciado pela Google para gestão do sistema e resolução de problemas. O pessoal da Google pode conceder este tipo de acesso pelos seguintes motivos: Para realizar a depuração técnica necessária para um pedido de apoio técnico complexo ou uma investigação. Para corrigir problemas técnicos, como falhas de armazenamento ou corrupção de dados.
`THIRD_PARTY_DATA_REQUEST`	Acesso iniciado pela Google em resposta a uma solicitação legal ou a um processo legal, incluindo quando responde a um processo legal do cliente que exige que a Google aceda aos dados do próprio cliente.
`GOOGLE_INITIATED_REVIEW`	Acesso iniciado pela Google para fins de segurança, fraudes, abusos ou conformidade, incluindo: Garantir a segurança das contas e dos dados dos clientes. Confirmar se os dados são afetados por um evento que possa afetar a segurança da conta (por exemplo, infeções por software malicioso). Confirmar se o cliente está a usar os serviços Google em conformidade com os Termos de Utilização da Google. Investigar queixas de outros utilizadores e clientes, ou outros sinais de atividade abusiva. Verificar se os serviços Google estão a ser usados de forma consistente com os regimes de conformidade relevantes (por exemplo, regulamentos contra o branqueamento de capitais).
`GOOGLE_RESPONSE_TO_PRODUCTION_ALERT`	Refere-se ao acesso iniciado pela Google para manter a fiabilidade do sistema. O pessoal da Google pode conceder este tipo de acesso pelos seguintes motivos: Para investigar e confirmar que uma suspeita de indisponibilidade do serviço não afeta o cliente. Para garantir a cópia de segurança e a recuperação de falhas de energia e do sistema.

Monitorizar registos da Transparência de acesso

Pode monitorizar os registos da Transparência de acesso através da API Cloud Monitoring. Para começar, consulte a documentação do Cloud Monitoring.

Pode configurar uma métrica baseada em registos e, em seguida, configurar uma política de alertas para receber informações atempadas sobre os problemas apresentados por estes registos. Por exemplo, pode criar uma métrica baseada em registos que capture os acessos do pessoal da Google ao seu conteúdo e, em seguida, criar uma política de alerta na monitorização que lhe permita saber se o número de acessos num determinado período excede um limite especificado.

O que se segue?

Saiba como ver e compreender os registos da Transparência de acesso para os serviços do Google Workspace.