Memahami dan menggunakan log Transparansi Akses

Halaman ini menjelaskan konten dalam entri log Transparansi Akses dan cara melihat serta menggunakannya.

Log Transparansi Akses secara mendetail

Log Transparansi Akses dapat diintegrasikan dengan alat informasi keamanan dan pengelolaan peristiwa (SIEM) yang sudah ada untuk mengotomatiskan audit staf Google saat mereka mengakses konten Anda. Log Transparansi Akses tersedia di konsol Google Cloud bersama dengan Cloud Audit Logs Anda.

Entri log Transparansi Akses mencakup jenis detail berikut:

  • Tindakan dan resource yang terpengaruh.
  • Waktu tindakan.
  • Alasan tindakan tersebut diambil (misalnya, nomor kasus yang terkait dengan permintaan dukungan pelanggan).
  • Data tentang siapa yang bertindak atas konten (misalnya, lokasi tenaga kerja Google).

Mengaktifkan Transparansi Akses

Untuk informasi tentang cara mengaktifkan Transparansi Akses untuk organisasi Google Cloud Anda, lihat Mengaktifkan Transparansi Akses.

Melihat log Transparansi Akses

Setelah mengonfigurasi Transparansi Akses untuk organisasi Google Cloud, Anda dapat menetapkan kontrol untuk siapa yang dapat mengakses log Transparansi Akses dengan menetapkan peran Private Logs Viewer kepada pengguna atau grup. Lihat panduan kontrol akses Cloud Logging untuk mengetahui detailnya.

Untuk melihat log Transparansi Akses, gunakan filter logging Google Cloud Observability berikut.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Untuk mempelajari cara melihat log Transparansi Akses di Logs Explorer, lihat Menggunakan Logs Explorer.

Anda juga dapat memantau log menggunakan Cloud Monitoring API atau menggunakan fungsi Cloud Run. Untuk memulai, lihat dokumentasi Cloud Monitoring.

Opsional: Buat metrik berbasis log, lalu siapkan kebijakan pemberitahuan untuk memberi tahu Anda secara tepat waktu tentang masalah yang muncul di log ini.

Contoh entri log Transparansi Akses

Berikut adalah contoh entri log Transparansi Akses:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Deskripsi kolom log

Kolom Deskripsi
insertId ID unik untuk log.
@type ID log Transparansi Akses.
principalOfficeCountry Kode negara ISO 3166-1 alpha-2 tempat pengakses memiliki kantor permanen, ?? jika lokasi tidak tersedia, atau ID benua 3 karakter tempat personel Google berada di negara dengan populasi rendah.
principalEmployingEntity Entitas yang mempekerjakan personel Google yang melakukan akses (misalnya, Google LLC).
principalPhysicalLocationCountry Kode negara ISO 3166-1 alpha-2 dari negara tempat akses dilakukan, ?? jika lokasi tidak tersedia, atau ID benua 3 karakter tempat personel Google berada di negara dengan populasi rendah.
principalJobTitle Kelompok pekerjaan staf Google yang melakukan akses.
product Produk Google Cloud pelanggan yang diakses.
reason:detail Detail alasannya, misalnya, ID tiket dukungan.
reason:type Akses jenis alasan (misalnya, CUSTOMER_INITIATED_SUPPORT).
accesses:methodName Jenis akses yang dilakukan. Misalnya, GoogleInternal.Read. Untuk mengetahui informasi selengkapnya tentang metode yang dapat muncul di kolom methodName, lihat Nilai untuk kolom accesses: methodName.
accesses:resourceName Nama resource yang diakses.
accessApprovals Mencakup nama resource permintaan Persetujuan Akses yang menyetujui akses. Permintaan ini tunduk pada pengecualian dan layanan yang didukung.

Kolom ini hanya diisi jika Persetujuan Akses diaktifkan untuk resource yang diakses. Kolom ini tidak akan diisi untuk log Transparansi Akses yang dipublikasikan sebelum tanggal 24 Maret 2021.
logName Nama lokasi log.
operation:id ID cluster log.
receiveTimestamp Waktu akses diterima oleh pipeline logging.
project_id Project yang terkait dengan resource yang diakses.
type Jenis resource yang diakses (misalnya, project).
eventId ID peristiwa unik yang terkait dengan satu justifikasi peristiwa akses (misalnya, satu kasus dukungan). Semua akses yang dicatat ke justifikasi yang sama memiliki nilai event_id yang sama.
severity Tingkat keparahan log.
timestamp Waktu penulisan log.

Nilai untuk kolom accesses:methodNames

Metode berikut dapat muncul di kolom accesses:methodNames dalam log Transparansi Akses:

  • Metode standar: Metode ini adalah List, Get, Create, Update, dan Delete. Untuk mengetahui informasi selengkapnya, lihat Metode standar.
  • Metode kustom: Metode kustom mengacu pada metode API selain 5 metode standar. Metode kustom umum mencakup Cancel, BatchGet, Move, Search, dan Undelete. Untuk informasi selengkapnya, lihat Metode kustom.
  • Metode GoogleInternal: Berikut adalah contoh metode GoogleInternal yang muncul di kolom accesses:methodNames:
Nama metode Deskripsi Contoh
GoogleInternal.Read Menandakan tindakan baca yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan baca terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini tidak mengubah konten pelanggan. Membaca izin IAM.
GoogleInternal.Write Menandakan tindakan tulis yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan tulis terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini dapat memperbarui konten dan/atau konfigurasi pelanggan.
  • Menetapkan izin IAM untuk resource.
  • Menangguhkan instance Compute Engine.
GoogleInternal.Create Menandakan tindakan pembuatan yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan pembuatan terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini membuat konten pelanggan baru.
  • Membuat bucket Cloud Storage.
  • Membuat topik Pub/Sub.
GoogleInternal.Delete Menandakan tindakan penghapusan yang dilakukan pada konten pelanggan menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini mengubah konten dan/atau konfigurasi pelanggan.
  • Menghapus objek Cloud Storage.
  • Menghapus tabel BigQuery.
GoogleInternal.List Menandakan tindakan daftar yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan daftar terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini tidak mengubah konten atau konfigurasi pelanggan.
  • Mencantumkan instance Compute Engine pelanggan.
  • Mencantumkan tugas Dataflow pelanggan.
GoogleInternal.Update Menandakan modifikasi yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan pembaruan terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini mengubah konten dan/atau konfigurasi pelanggan. Memperbarui kunci HMAC di Cloud Storage.
GoogleInternal.Get Menandakan tindakan get yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan get terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini tidak mengubah konten atau konfigurasi pelanggan.
  • Mengambil kebijakan IAM untuk resource.
  • Mengambil tugas Dataflow pelanggan.
GoogleInternal.Query Menandakan tindakan kueri yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan kueri terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini tidak mengubah konten atau konfigurasi pelanggan.
  • Menjalankan kueri BigQuery.
  • Penelusuran konsol proses debug AI Platform pada konten pelanggan.

Akses GoogleInternal dibatasi secara ketat untuk personel yang berwenang untuk akses yang dapat dibenarkan dan diaudit. Kehadiran metode tidak menunjukkan ketersediaan untuk semua peran. Organisasi yang menginginkan kontrol yang lebih baik atas akses administratif di project atau organisasi dapat mengaktifkan Persetujuan Akses untuk mengaktifkan persetujuan atau penolakan akses berdasarkan detail akses. Misalnya, pengguna Persetujuan Akses dapat memilih untuk hanya mengizinkan permintaan dengan justifikasi CUSTOMER_INITIATED_SUPPORT untuk permintaan yang dibuat oleh karyawan Google. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Persetujuan Akses.

Jika peristiwa memenuhi kriteria akses darurat yang ketat, Persetujuan Akses dapat mencatat akses darurat tersebut ke dalam log dengan status auto approved. Transparansi Akses dan Persetujuan Akses dirancang secara khusus untuk menyertakan logging yang tidak terganggu untuk skenario akses darurat.

Jika Anda mencari kontrol keamanan data yang lebih besar atas workload, sebaiknya gunakan Assured Workloads. Project Assured Workloads menawarkan fungsi yang ditingkatkan seperti residensi data, kontrol kedaulatan, dan akses ke fitur seperti komputasi rahasia di Compute Engine. Fitur ini memanfaatkan Key Access Justifications untuk kunci enkripsi yang dikelola secara eksternal.

Kode alasan justifikasi

Alasan Deskripsi
CUSTOMER_INITIATED_SUPPORT Dukungan yang dimulai pelanggan, misalnya, "Case Number: ####".
GOOGLE_INITIATED_SERVICE

Mengacu pada akses yang dimulai Google untuk pengelolaan dan pemecahan masalah sistem. Petugas Google dapat melakukan jenis akses ini karena alasan berikut:

  • Untuk melakukan proses debug teknis yang diperlukan untuk permintaan dukungan atau investigasi yang kompleks.
  • Untuk memperbaiki masalah teknis, seperti kegagalan penyimpanan atau kerusakan data.
THIRD_PARTY_DATA_REQUEST Akses yang dimulai Google sebagai respons terhadap permintaan hukum atau proses hukum, termasuk saat menanggapi proses hukum dari pelanggan yang mengharuskan Google mengakses data milik pelanggan.
GOOGLE_INITIATED_REVIEW Akses yang dimulai Google untuk tujuan keamanan, penipuan, penyalahgunaan, atau kepatuhan, termasuk:
  • Memastikan keamanan dan keselamatan akun serta data pelanggan.
  • Mengonfirmasi apakah data terpengaruh oleh peristiwa yang dapat memengaruhi keamanan akun (misalnya, infeksi malware).
  • Mengonfirmasi apakah pelanggan menggunakan layanan Google sesuai dengan Persyaratan Layanan Google.
  • Menyelidiki keluhan oleh pengguna dan pelanggan lain, atau tanda-tanda lainnya terkait aktivitas penyalahgunaan.
  • Memeriksa apakah layanan Google digunakan sesuai dengan sistem kepatuhan yang relevan (misalnya, peraturan anti-pencucian uang).
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Mengacu pada akses yang dimulai Google untuk mempertahankan keandalan sistem. Petugas Google dapat melakukan jenis akses ini karena alasan berikut:

  • Untuk menyelidiki dan mengonfirmasi bahwa dugaan pemadaman layanan tidak memengaruhi pelanggan.
  • Untuk memastikan pencadangan dan pemulihan dari pemadaman layanan dan kegagalan sistem.

Memantau log Transparansi Akses

Anda dapat memantau log Transparansi Akses menggunakan Cloud Monitoring API. Untuk memulai, lihat dokumentasi Cloud Monitoring.

Anda dapat menyiapkan metrik berbasis log, lalu menyiapkan kebijakan pemberitahuan untuk memberi Anda informasi tepat waktu tentang masalah yang muncul di log ini. Misalnya, Anda dapat membuat metrik berbasis log yang mencatat akses personel Google ke konten Anda, lalu membuat kebijakan pemberitahuan di Monitoring yang memberi tahu Anda jika jumlah akses dalam periode tertentu melebihi nilai minimum yang ditentukan.

Langkah selanjutnya