Memahami dan menggunakan log Transparansi Akses
Halaman ini menjelaskan konten dalam entri log Transparansi Akses dan cara melihat serta menggunakannya.
Log Transparansi Akses secara mendetail
Log Transparansi Akses dapat diintegrasikan dengan alat informasi keamanan dan pengelolaan peristiwa (SIEM) yang sudah ada untuk mengotomatiskan audit staf Google saat mereka mengakses konten Anda. Log Transparansi Akses tersedia di konsol Google Cloud bersama dengan Cloud Audit Logs Anda.
Entri log Transparansi Akses mencakup jenis detail berikut:
- Tindakan dan resource yang terpengaruh.
- Waktu tindakan.
- Alasan tindakan tersebut diambil (misalnya, nomor kasus yang terkait dengan permintaan dukungan pelanggan).
- Data tentang siapa yang bertindak atas konten (misalnya, lokasi tenaga kerja Google).
Mengaktifkan Transparansi Akses
Untuk informasi tentang cara mengaktifkan Transparansi Akses untuk organisasi Google Cloud Anda, lihat Mengaktifkan Transparansi Akses.
Melihat log Transparansi Akses
Setelah mengonfigurasi Transparansi Akses untuk organisasi Google Cloud, Anda dapat menetapkan kontrol untuk siapa yang dapat mengakses log Transparansi Akses dengan menetapkan peran Private Logs Viewer kepada pengguna atau grup. Lihat panduan kontrol akses Cloud Logging untuk mengetahui detailnya.
Untuk melihat log Transparansi Akses, gunakan filter logging Google Cloud Observability berikut.
logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Untuk mempelajari cara melihat log Transparansi Akses di Logs Explorer, lihat Menggunakan Logs Explorer.
Anda juga dapat memantau log menggunakan Cloud Monitoring API atau menggunakan fungsi Cloud Run. Untuk memulai, lihat dokumentasi Cloud Monitoring.
Opsional: Buat metrik berbasis log, lalu siapkan kebijakan pemberitahuan untuk memberi tahu Anda secara tepat waktu tentang masalah yang muncul di log ini.
Contoh entri log Transparansi Akses
Berikut adalah contoh entri log Transparansi Akses:
{ insertId: "abcdefg12345" jsonPayload: { @type: "type.googleapis.com/google.cloud.audit.TransparencyLog" location: { principalOfficeCountry: "US" principalEmployingEntity: "Google LLC" principalPhysicalLocationCountry: "CA" } principalJobTitle: "Engineering" product: [ 0: "Cloud Storage" ] reason: [ detail: "Case number: bar123" type: "CUSTOMER_INITIATED_SUPPORT" ] eventId: "asdfg12345asdfg12345asdfg12345" accesses: [ 0: { methodName: "GoogleInternal.Read" resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123" } ] accessApprovals: [ 0: "projects/123/approvalRequests/abcdef12345" ] } logName: "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency" operation: { id: "12345xyz" } receiveTimestamp: "2017-12-18T16:06:37.400577736Z" resource: { labels: { project_id: "1234567890" } type: "project" } severity: "NOTICE" timestamp: "2017-12-18T16:06:24.660001Z" }
Deskripsi kolom log
Kolom | Deskripsi |
---|---|
insertId |
ID unik untuk log. |
@type |
ID log Transparansi Akses. |
principalOfficeCountry |
Kode negara ISO 3166-1 alpha-2 tempat pengakses memiliki kantor permanen, ?? jika lokasi tidak tersedia, atau ID benua 3 karakter tempat personel Google berada di negara dengan populasi rendah. |
principalEmployingEntity |
Entitas yang mempekerjakan personel Google yang melakukan akses
(misalnya, Google LLC ). |
principalPhysicalLocationCountry |
Kode negara ISO 3166-1 alpha-2 dari negara tempat akses dilakukan,
?? jika lokasi tidak tersedia, atau ID benua
3 karakter tempat personel Google berada di negara dengan populasi rendah. |
principalJobTitle |
Kelompok pekerjaan staf Google yang melakukan akses. |
product |
Produk Google Cloud pelanggan yang diakses. |
reason:detail |
Detail alasannya, misalnya, ID tiket dukungan. |
reason:type |
Akses
jenis alasan
(misalnya, CUSTOMER_INITIATED_SUPPORT) . |
accesses:methodName |
Jenis akses yang dilakukan. Misalnya, GoogleInternal.Read . Untuk mengetahui informasi selengkapnya tentang metode yang dapat muncul di kolom methodName , lihat Nilai untuk kolom accesses: methodName .
|
accesses:resourceName |
Nama resource yang diakses. |
accessApprovals |
Mencakup nama resource permintaan Persetujuan Akses
yang menyetujui akses. Permintaan ini tunduk pada
pengecualian dan
layanan yang didukung. Kolom ini hanya diisi jika Persetujuan Akses diaktifkan untuk resource yang diakses. Kolom ini tidak akan diisi untuk log Transparansi Akses yang dipublikasikan sebelum tanggal 24 Maret 2021. |
logName |
Nama lokasi log. |
operation:id |
ID cluster log. |
receiveTimestamp |
Waktu akses diterima oleh pipeline logging. |
project_id |
Project yang terkait dengan resource yang diakses. |
type |
Jenis resource yang diakses (misalnya, project ). |
eventId |
ID peristiwa unik yang terkait dengan satu justifikasi peristiwa akses
(misalnya, satu kasus dukungan). Semua akses yang dicatat ke justifikasi
yang sama memiliki nilai event_id yang sama. |
severity |
Tingkat keparahan log. |
timestamp |
Waktu penulisan log. |
Nilai untuk kolom accesses:methodNames
Metode berikut dapat muncul di kolom accesses:methodNames
dalam log Transparansi Akses:
- Metode standar: Metode ini adalah
List
,Get
,Create
,Update
, danDelete
. Untuk mengetahui informasi selengkapnya, lihat Metode standar. - Metode kustom: Metode kustom mengacu pada metode API selain 5 metode standar. Metode kustom umum mencakup
Cancel
,BatchGet
,Move
,Search
, danUndelete
. Untuk informasi selengkapnya, lihat Metode kustom. - Metode GoogleInternal: Berikut adalah contoh metode
GoogleInternal
yang muncul di kolomaccesses:methodNames
:
Nama metode | Deskripsi | Contoh |
---|---|---|
GoogleInternal.Read |
Menandakan tindakan baca yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan baca terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini tidak mengubah konten pelanggan. | Membaca izin IAM. |
GoogleInternal.Write |
Menandakan tindakan tulis yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan tulis terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini dapat memperbarui konten dan/atau konfigurasi pelanggan. |
|
GoogleInternal.Create |
Menandakan tindakan pembuatan yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan pembuatan terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini membuat konten pelanggan baru. |
|
GoogleInternal.Delete |
Menandakan tindakan penghapusan yang dilakukan pada konten pelanggan menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini mengubah konten dan/atau konfigurasi pelanggan. |
|
GoogleInternal.List |
Menandakan tindakan daftar yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan daftar terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini tidak mengubah konten atau konfigurasi pelanggan. |
|
GoogleInternal.Update |
Menandakan modifikasi yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan pembaruan terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini mengubah konten dan/atau konfigurasi pelanggan. | Memperbarui kunci HMAC di Cloud Storage. |
GoogleInternal.Get |
Menandakan tindakan get yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan get terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini tidak mengubah konten atau konfigurasi pelanggan. |
|
GoogleInternal.Query |
Menandakan tindakan kueri yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan kueri terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud. Metode ini tidak mengubah konten atau konfigurasi pelanggan. |
|
Akses GoogleInternal
dibatasi secara ketat untuk personel yang berwenang untuk akses yang dapat dibenarkan dan diaudit. Kehadiran metode tidak menunjukkan ketersediaan untuk semua peran. Organisasi yang menginginkan kontrol yang lebih baik atas akses administratif di project atau organisasi dapat mengaktifkan Persetujuan Akses untuk mengaktifkan persetujuan atau penolakan akses berdasarkan detail akses. Misalnya, pengguna Persetujuan Akses dapat memilih untuk hanya mengizinkan permintaan dengan justifikasi CUSTOMER_INITIATED_SUPPORT
untuk permintaan yang dibuat oleh karyawan Google. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Persetujuan Akses.
Jika peristiwa memenuhi kriteria akses darurat yang ketat, Persetujuan Akses dapat mencatat akses darurat tersebut ke dalam log dengan status auto approved
. Transparansi Akses dan Persetujuan Akses dirancang secara khusus untuk menyertakan logging yang tidak terganggu untuk skenario akses darurat.
Jika Anda mencari kontrol keamanan data yang lebih besar atas workload, sebaiknya gunakan Assured Workloads. Project Assured Workloads menawarkan fungsi yang ditingkatkan seperti residensi data, kontrol kedaulatan, dan akses ke fitur seperti komputasi rahasia di Compute Engine. Fitur ini memanfaatkan Key Access Justifications untuk kunci enkripsi yang dikelola secara eksternal.
Kode alasan justifikasi
Mengacu pada akses yang dimulai Google untuk pengelolaan dan pemecahan masalah sistem. Petugas Google dapat melakukan jenis akses ini karena
alasan berikut:
Mengacu pada akses yang dimulai Google untuk mempertahankan keandalan sistem. Petugas Google
dapat melakukan jenis akses ini karena alasan berikut:
Alasan
Deskripsi
CUSTOMER_INITIATED_SUPPORT
Dukungan yang dimulai pelanggan, misalnya, "Case Number: ####".
GOOGLE_INITIATED_SERVICE
THIRD_PARTY_DATA_REQUEST
Akses yang dimulai Google sebagai respons terhadap permintaan hukum atau proses hukum,
termasuk saat menanggapi proses hukum dari pelanggan yang mengharuskan
Google mengakses data milik pelanggan.
GOOGLE_INITIATED_REVIEW
Akses yang dimulai Google untuk tujuan keamanan, penipuan, penyalahgunaan, atau kepatuhan, termasuk:
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT
Memantau log Transparansi Akses
Anda dapat memantau log Transparansi Akses menggunakan Cloud Monitoring API. Untuk memulai, lihat dokumentasi Cloud Monitoring.
Anda dapat menyiapkan metrik berbasis log, lalu menyiapkan kebijakan pemberitahuan untuk memberi Anda informasi tepat waktu tentang masalah yang muncul di log ini. Misalnya, Anda dapat membuat metrik berbasis log yang mencatat akses personel Google ke konten Anda, lalu membuat kebijakan pemberitahuan di Monitoring yang memberi tahu Anda jika jumlah akses dalam periode tertentu melebihi nilai minimum yang ditentukan.