Access Transparency-Logs verstehen und verwenden
Auf dieser Seite werden der Inhalt von Access Transparency-Logeinträgen und um sie anzuzeigen und zu verwenden.
Zugriffstransparenzlogs im Detail
Access Transparency-Logs können in Ihre Security Information and Event Management-Tools (SIEM) zur Automatisierung von Audits von Google-Mitarbeitern, wenn diese auf Ihre Inhalte zugreifen. Access Transparency-Logs sind neben Ihren Cloud-Audit-Logs in der Google Cloud Console verfügbar.
Access Transparency-Logeinträge umfassen folgende Informationen:
- Die betroffene Ressource und Aktion
- Die Zeit der Aktion
- Die Gründe für die Aktion (z. B. die Fallnummer, die mit einer Kundensupportanfrage verknüpft ist)
- Daten darüber, wer im Content handelt, z. B. der Standort des Google-Personals.
Zugriffstransparenz aktivieren
Informationen zum Aktivieren von Access Transparency für Ihre Google Cloud-Organisation Siehe Access Transparency aktivieren.
Zugriffstransparenzlogs ansehen
Nachdem Sie Access Transparency für Google Cloud konfiguriert haben Organisation, können Sie festlegen, wer auf die Access Transparency-Logs zugreifen kann, Einem Nutzer oder einer Gruppe die Rolle Betrachter privater Logs zuweisen Weitere Informationen finden Sie in der Anleitung zur Zugriffssteuerung in Cloud Logging für Details.
Verwenden Sie den folgenden Logging-Filter für die Beobachtbarkeit von Google Cloud, um Access Transparency-Logs anzusehen.
logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Informationen zum Abrufen Ihrer Access Transparency-Logs im Log-Explorer finden Sie unter Log-Explorer verwenden.
Sie können die Logs auch mithilfe der Cloud Monitoring API oder mithilfe von Cloud Functions. Informationen zum Einstieg finden Sie in der Dokumentation zu Cloud Monitoring.
Optional: Erstellen Sie einen logbasierten Messwert und richten Sie dann eine Benachrichtigungsrichtlinie ein, um rechtzeitig auf Probleme aufmerksam zu machen, die von diesen Logs aufgedeckt werden.
Beispiel für einen Access Transparency-Logeintrag
Es folgt ein Beispiel für einen Eintrag im Zugriffstransparenzlog:
{ insertId: "abcdefg12345" jsonPayload: { @type: "type.googleapis.com/google.cloud.audit.TransparencyLog" location: { principalOfficeCountry: "US" principalEmployingEntity: "Google LLC" principalPhysicalLocationCountry: "CA" } principalJobTitle: "Engineering" product: [ 0: "Cloud Storage" ] reason: [ detail: "Case number: bar123" type: "CUSTOMER_INITIATED_SUPPORT" ] eventId: "asdfg12345asdfg12345asdfg12345" accesses: [ 0: { methodName: "GoogleInternal.Read" resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123" } ] accessApprovals: [ 0: "projects/123/approvalRequests/abcdef12345" ] } logName: "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency" operation: { id: "12345xyz" } receiveTimestamp: "2017-12-18T16:06:37.400577736Z" resource: { labels: { project_id: "1234567890" } type: "project" } severity: "NOTICE" timestamp: "2017-12-18T16:06:24.660001Z" }
Logfeldbeschreibungen
Feld | Beschreibung |
---|---|
insertId |
Eindeutige Kennzeichnung für das Log |
@type |
Zugriffstransparenzlog-ID |
principalOfficeCountry |
ISO 3166-1: Alpha-2-Code des Landes, in dem die zugreifende Person einen dauerhaften Sitz hat, ?? wenn kein Standort verfügbar ist, oder 3-stellige Kontinent-ID für Google-Mitarbeiter in einem Land mit geringem Bevölkerungsanteil. |
principalEmployingEntity |
Die Entität, die den zugreifenden Google-Mitarbeiter beschäftigt (z. B. Google LLC ). |
principalPhysicalLocationCountry |
ISO 3166-1 Alpha-2-Code des Landes, aus dem der Zugriff erfolgte, ?? falls kein Standort verfügbar ist oder 3-stellige Kontinent-ID für Google-Mitarbeiter in einem Land mit geringem Bevölkerungsanteil |
principalJobTitle |
Die Jobfamilie der Google-Mitarbeiter, die den Zugriff gewähren. |
product |
Das Google Cloud-Produkt des Kunden, auf das zugegriffen wurde. |
reason:detail |
Details zum Grund, z. B. eine Support-Ticket-ID |
reason:type |
Typ des Grundes für den Zugriff, z. B. CUSTOMER_INITIATED_SUPPORT) |
accesses:methodName |
Die Art des Zugriffs. Beispiel: GoogleInternal.Read . Weitere Informationen zu den Methoden, die im Feld methodName angezeigt werden können, finden Sie unter Werte für das Feld accesses: methodName .
|
accesses:resourceName |
Name der Ressource, auf die zugegriffen wurde |
accessApprovals |
Enthält die Ressourcennamen für Access Approval
-Anfragen, die den Zugriff genehmigt haben. Diese Anfragen unterliegen
Ausschlüsse und
unterstützten Diensten. Dieses Feld wird nur ausgefüllt, wenn die Zugriffsgenehmigung für die Ressourcen, auf die zugegriffen wurde. Access Transparency-Logs, die vor diesem Datum veröffentlicht wurden Dieses Feld ist am 24. März 2021 nicht ausgefüllt. |
logName |
Name des Logspeicherorts |
operation:id |
Logcluster-ID |
receiveTimestamp |
Zeitpunkt, zu dem der Zugriff von der Logpipeline empfangen wurde. |
project_id |
Der Ressource zugeordnetes Projekt, auf das zugegriffen wurde. |
type |
Typ der Ressource, auf die zugegriffen wurde (z. B. project ) |
eventId |
Eindeutige Ereignis-ID, die mit einer einzelnen Begründung für Zugriffsereignisse verknüpft ist
(z. B. eine einzelne Supportanfrage). Alle Zugriffe werden im selben
Begründung denselben event_id -Wert haben. |
severity |
Logschweregrad |
timestamp |
Zeit, zu der das Log geschrieben wurde |
Werte für das Feld „accesses:methodNames
“
Die folgenden Methoden können im Feld accesses:methodNames
in Access Transparency-Logs angezeigt werden:
- Standardmethoden: Diese Methoden sind
List
,Get
,Create
,Update
undDelete
. Weitere Informationen finden Sie unter Standardmethoden. - Benutzerdefinierte Methoden: Benutzerdefinierte Methoden beziehen sich neben den fünf Standardmethoden auf andere API-Methoden. Zu den gängigen benutzerdefinierten Methoden gehören
Cancel
,BatchGet
,Move
,Search
undUndelete
. Weitere Informationen finden Sie unter Benutzerdefinierte Methoden. - GoogleInternal-Methoden: Die folgenden
GoogleInternal
-Methoden können im Feldaccesses:methodNames
angezeigt werden:
Methodenname | Beschreibung | Beispiele |
---|---|---|
GoogleInternal.Read |
Gibt eine Leseaktion an, die für Kundeninhalte mit einer gültigen geschäftlichen Begründung ausgeführt wird. Die Leseaktion erfolgt mithilfe einer internen API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Kundeninhalte werden mit dieser Methode nicht mutiert. | IAM-Berechtigungen lesen. |
GoogleInternal.Write |
Gibt eine Schreibaktion an, die für Kundeninhalte mit einer gültigen geschäftlichen Begründung ausgeführt wird. Die Schreibaktion erfolgt mithilfe einer internen API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode können Kundeninhalte und/oder ‐konfigurationen aktualisiert werden. |
|
GoogleInternal.Create |
Gibt an, dass eine Erstellungsaktion für Kundeninhalte mit einer gültigen geschäftlichen Begründung ausgeführt wurde. Die Erstellungsaktion erfolgt mithilfe einer internen API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode werden neue Kundeninhalte erstellt. |
|
GoogleInternal.Delete |
Zeigt eine Löschaktion an, die mit einer internen API speziell für die Verwaltung von Google Cloud-Diensten für Kundeninhalte ausgeführt wird. Mit dieser Methode werden Kundeninhalte und/oder -konfigurationen geändert. |
|
GoogleInternal.List |
Gibt eine Listenaktion an, die für Kundeninhalte mit einer gültigen geschäftlichen Begründung ausgeführt wird. Die Listenaktion erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Kundeninhalte oder -konfigurationen werden mit dieser Methode nicht mutiert. |
|
GoogleInternal.SSH |
Gibt eine SSH-Aktion an, die auf der virtuellen Maschine eines Kunden mit einer gültigen geschäftlichen Begründung ausgeführt wird. Der SSH-Zugriff erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode können Kundeninhalte und -konfigurationen geändert werden. | Notfallzugriff zur Wiederherstellung nach einem Ausfall der Compute Engine oder Google Distributed Cloud. |
GoogleInternal.Update |
Gibt eine Änderung an, die an Kundeninhalten mit einer gültigen geschäftlichen Begründung vorgenommen wurde. Die Aktualisierung erfolgt mithilfe einer internen API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Mit dieser Methode werden Kundeninhalte und/oder -konfigurationen geändert. | HMAC-Schlüssel in Cloud Storage aktualisieren |
GoogleInternal.Get |
Gibt an, dass eine get-Aktion für Kundeninhalte mit einer gültigen geschäftlichen Begründung ausgeführt wird. Die get-Aktion erfolgt mithilfe einer internen API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Kundeninhalte oder -konfigurationen werden mit dieser Methode nicht mutiert. |
|
GoogleInternal.Query |
Gibt eine Abfrageaktion an, die für Kundeninhalte mit einer gültigen geschäftlichen Begründung ausgeführt wird. Die Abfrageaktion erfolgt mithilfe einer internen API, die speziell für die Verwaltung von Google Cloud-Diensten entwickelt wurde. Kundeninhalte oder -konfigurationen werden mit dieser Methode nicht mutiert. |
|
Der Zugriff auf die GoogleInternal
ist auf autorisiertes Personal beschränkt, sodass ein gerechtfertigter und überprüfbarer Zugriff möglich ist. Das Vorhandensein einer Methode weist nicht auf die Verfügbarkeit für alle Rollen hin. Organisationen, die erweiterte Kontrollen für den Administratorzugriff auf ein Projekt oder eine Organisation wünschen, können die Zugriffsgenehmigung aktivieren, um Zugriffsberechtigungen basierend auf den Zugriffsdetails zu genehmigen oder abzulehnen. Access Approval-Nutzer können beispielsweise nur Anfragen mit der Begründung CUSTOMER_INITIATED_SUPPORT
für Anfragen von Google-Mitarbeitern mit der Rolle Customer Support
zulassen. Weitere Informationen finden Sie unter Übersicht über die Zugriffsgenehmigung.
Wenn ein Ereignis die strengen Kriterien für den Notfallzugriff erfüllt, kann die Zugriffsgenehmigung diesen Notfallzugriff mit dem Status auto approved
protokollieren. Access Transparency und Access Approval sind speziell darauf ausgelegt, eine unterbrechungsfreie Protokollierung für Notfallzugriffsszenarien zu ermöglichen.
Wenn Sie mehr Kontrolle über die Datensicherheit Ihrer Arbeitslasten haben möchten, empfehlen wir die Verwendung von Assured Workloads. Assured Workloads-Projekte bieten erweiterte Funktionalitäten wie Datenstandort, Datenhoheitskontrolle und Zugriff auf Features wie Confidential Computing in Compute Engine. Für extern verwaltete Verschlüsselungsschlüssel werden Key Access Justifications eingesetzt.
Begründungscodes
Bezieht sich auf den von Google initiierten Zugriff zur Systemverwaltung und
Fehlerbehebung. Google-Mitarbeiter können diese Art von Zugriff
folgenden Gründen:
Bezieht sich auf den von Google eingeleiteten Zugriff zur Aufrechterhaltung der Systemzuverlässigkeit. Google
Mitarbeiter können diese Art von Zugriff aus folgenden Gründen gewähren:
Grund
Beschreibung
CUSTOMER_INITIATED_SUPPORT
Durch den Kunden initiierter Support, z. B. "Case Number: ####".
GOOGLE_INITIATED_SERVICE
THIRD_PARTY_DATA_REQUEST
Von Google initiierter Zugriff als Reaktion auf ein rechtliches Ersuchen oder ein gerichtliches Verfahren, einschließlich der Beantwortung eines gerichtlichen Verfahrens des Kunden, bei dem Google auf seine eigenen Daten zugreifen muss.
GOOGLE_INITIATED_REVIEW
Von Google initiierte Zugriffe im Zusammenhang mit Sicherheitsaspekten, Betrugs-, Missbrauchsfällen oder zu Compliance-Zwecken, einschließlich:
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT
Access Transparency-Logs überwachen
Sie können Access Transparency-Logs mithilfe der Cloud Monitoring API überwachen. Informationen zum Einstieg finden Sie in der Cloud Monitoring-Dokumentation.
Sie können eine logbasierten Messwert und dann eine Benachrichtigungsrichtlinie , um Sie rechtzeitig über Probleme zu informieren, die in diesen Logs auftauchen. Sie können beispielsweise einen logbasierten Messwert erstellen, Google-Mitarbeiter greifen auf Ihre Inhalte zu und erstellen dann eine Benachrichtigungsrichtlinie in Monitoring, das Sie darüber informiert, ob die Anzahl der Zugriffe in einem bestimmte Periode einen festgelegten Schwellenwert überschreitet.