Comprendere e utilizzare i log di Access Transparency
In questa pagina vengono descritti i contenuti delle voci del log di Access Transparency e le modalità per visualizzarle e utilizzarle.
Log di Access Transparency nel dettaglio
I log di Access Transparency possono essere integrati con i log strumenti di gestione delle informazioni e degli eventi di sicurezza (SIEM) per automatizzare i controlli del personale Google quando accede ai tuoi contenuti. I log di Access Transparency vengono disponibili nella console Google Cloud insieme a Cloud Audit Logs.
Le voci dei log di Access Transparency includono i seguenti tipi di dettagli:
- La risorsa e l'azione interessate.
- L'ora dell'azione.
- I motivi dell'azione (ad esempio, numero di richiesta associato a una richiesta di assistenza clienti).
- I dati su chi agisce sui contenuti (ad esempio, i posizione).
Attivazione di Access Transparency
Per informazioni sull'abilitazione di Access Transparency per la tua organizzazione Google Cloud: consulta Attivazione di Access Transparency.
Visualizzazione dei log di Access Transparency
Dopo aver configurato Access Transparency per Google Cloud organizzazione, puoi impostare i controlli per stabilire chi può accedere ai log di Access Transparency assegnando a un utente o a un gruppo il ruolo Visualizzatore log privati. Consulta le Guida al controllo dell'accesso di Cloud Logging per i dettagli.
Per visualizzare i log di Access Transparency, utilizza il seguente filtro di logging di Google Cloud Observability.
logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Per scoprire come visualizzare i log di Access Transparency in Esplora log, consulta Utilizzo di Esplora log.
Puoi anche monitorare i log utilizzando l'API Cloud Monitoring o utilizzando di Cloud Functions. Per iniziare, consulta documentazione di Cloud Monitoring.
(Facoltativo) Crea una metrica basata su log e poi imposta un criteri di avviso per darti un riscontro tempestivo dei problemi emersi dai log.
Esempio di voce di log di Access Transparency
Di seguito è riportato un esempio di voce del log di Access Transparency:
{ insertId: "abcdefg12345" jsonPayload: { @type: "type.googleapis.com/google.cloud.audit.TransparencyLog" location: { principalOfficeCountry: "US" principalEmployingEntity: "Google LLC" principalPhysicalLocationCountry: "CA" } principalJobTitle: "Engineering" product: [ 0: "Cloud Storage" ] reason: [ detail: "Case number: bar123" type: "CUSTOMER_INITIATED_SUPPORT" ] eventId: "asdfg12345asdfg12345asdfg12345" accesses: [ 0: { methodName: "GoogleInternal.Read" resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123" } ] accessApprovals: [ 0: "projects/123/approvalRequests/abcdef12345" ] } logName: "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency" operation: { id: "12345xyz" } receiveTimestamp: "2017-12-18T16:06:37.400577736Z" resource: { labels: { project_id: "1234567890" } type: "project" } severity: "NOTICE" timestamp: "2017-12-18T16:06:24.660001Z" }
Descrizione dei campi del log
Campo | Descrizione |
---|---|
insertId |
Identificatore univoco del log. |
@type |
Identificatore di log di Access Transparency. |
principalOfficeCountry |
Il codice paese ISO 3166-1 alpha-2 del paese in cui chi ha eseguito l'accesso ha
una scrivania permanente, ?? se la posizione non è disponibile oppure
Identificatore di 3 caratteri del continente in cui si trova il personale Google in un
in un paese a bassa densità di popolazione. |
principalEmployingEntity |
La persona giuridica che assume il personale di Google che effettua l'accesso
(ad es. Google LLC ). |
principalPhysicalLocationCountry |
Codice paese ISO 3166-1 alpha-2 del paese da cui è stato effettuato l'accesso,
?? se la località non è disponibile oppure un continente di 3 caratteri
identificatore in cui si trova il personale di Google in un paese a bassa densità di popolazione. |
principalJobTitle |
La famiglia di lavoro del personale Google che effettua l'accesso. |
product |
Il prodotto Google Cloud del cliente al quale è stato eseguito l'accesso. |
reason:detail |
Dettagli del motivo, ad esempio un ID ticket di assistenza. |
reason:type |
Accesso
tipo di motivo
(ad esempio, CUSTOMER_INITIATED_SUPPORT) . |
accesses:methodName |
Il tipo di accesso effettuato. Ad esempio, GoogleInternal.Read . Per ulteriori informazioni sui metodi che possono essere visualizzati nel campo methodName , consulta la sezione Valori per il campo accesses: methodName .
|
accesses:resourceName |
Nome della risorsa che è stata o rifiutano le richieste in base all'organizzazione a cui si accede. |
accessApprovals |
Include i nomi delle risorse di Access Approval
che hanno approvato l'accesso. Queste richieste sono soggette alle
esclusioni e
servizi supportati. Questo campo viene compilato solo se Access Approval è abilitato per alle risorse a cui si accede. Log di Access Transparency pubblicati prima della data Il 24 marzo 2021 non verrà compilato. |
logName |
Nome della posizione del log. |
operation:id |
ID cluster del log. |
receiveTimestamp |
Ora in cui la pipeline di logging ha ricevuto l'accesso. |
project_id |
Progetto associato alla risorsa a cui è stato eseguito l'accesso. |
type |
Tipo di risorsa a cui è stato eseguito l'accesso (ad esempio project ). |
eventId |
ID evento univoco associato a una singola giustificazione per l'evento di accesso
(ad es. una singola richiesta di assistenza). Tutti gli accessi registrati nello stesso
hanno lo stesso valore event_id . |
severity |
Registra gravità. |
timestamp |
L'ora in cui è stato creato il log. |
Valori per il campo accesses:methodNames
Nel campo accesses:methodNames
dei log di Access Transparency possono essere visualizzati i seguenti metodi:
- Metodi standard: si tratta di
List
,Get
,Create
,Update
eDelete
. Per ulteriori informazioni, consulta Metodi standard. - Metodi personalizzati: i metodi personalizzati si riferiscono a metodi API oltre ai cinque metodi standard. Tra i metodi personalizzati più comuni figurano
Cancel
,BatchGet
,Move
,Search
eUndelete
. Per ulteriori informazioni, consulta Metodi personalizzati. - Metodi interniGoogle: nel campo
accesses:methodNames
possono essere visualizzati i seguenti metodiGoogleInternal
:
Nome metodo | Descrizione | Esempi |
---|---|---|
GoogleInternal.Read |
Indica un'azione di lettura eseguita sui contenuti dei clienti con una giustificazione aziendale valida. L'azione di lettura viene eseguita utilizzando un'API interna progettata specificatamente per amministrare i servizi Google Cloud. Questo metodo non modifica i contenuti dei clienti. | Lettura delle autorizzazioni IAM. |
GoogleInternal.Write |
Indica un'azione di scrittura eseguita sui contenuti dei clienti con una giustificazione aziendale valida. L'azione di scrittura avviene utilizzando un'API interna progettata specificatamente per amministrare i servizi Google Cloud. Questo metodo consente di aggiornare i contenuti e/o le configurazioni dei clienti. |
|
GoogleInternal.Create |
Indica un'azione di creazione eseguita sui contenuti dei clienti con una giustificazione aziendale valida. L'azione di creazione avviene utilizzando un'API interna progettata specificatamente per amministrare i servizi Google Cloud. Questo metodo consente di creare nuovi contenuti per i clienti. |
|
GoogleInternal.Delete |
Indica un'azione di eliminazione eseguita sui contenuti dei clienti utilizzando un'API interna progettata appositamente per amministrare i servizi Google Cloud. Questo metodo modifica i contenuti e/o le configurazioni dei clienti. |
|
GoogleInternal.List |
Indica un'azione di elenco eseguita sui contenuti dei clienti con una giustificazione aziendale valida. L'azione di inserimento dell'elenco viene eseguita utilizzando un'API interna progettata specificatamente per amministrare i servizi Google Cloud. Questo metodo non cambia i contenuti o le configurazioni dei clienti. |
|
GoogleInternal.SSH |
Indica un'azione SSH eseguita sulla macchina virtuale di un cliente con una giustificazione aziendale valida. L'accesso SSH avviene mediante un'API interna progettata specificatamente per amministrare i servizi Google Cloud. Questo metodo può modificare i contenuti e le configurazioni dei clienti. | Accesso di emergenza per il ripristino in seguito a un'interruzione di Compute Engine o Google Distributed Cloud. |
GoogleInternal.Update |
Indica una modifica apportata ai contenuti dei clienti con una giustificazione aziendale valida. L'azione di aggiornamento viene eseguita utilizzando un'API interna progettata specificatamente per amministrare i servizi Google Cloud. Questo metodo modifica i contenuti e/o le configurazioni dei clienti. | Aggiornamento delle chiavi HMAC in Cloud Storage. |
GoogleInternal.Get |
Indica un'azione richiesta eseguita sui contenuti dei clienti con una giustificazione aziendale valida. L'azione get avviene utilizzando un'API interna progettata specificatamente per amministrare i servizi Google Cloud. Questo metodo non cambia i contenuti o le configurazioni dei clienti. |
|
GoogleInternal.Query |
Indica un'azione di query eseguita sui contenuti dei clienti con una giustificazione aziendale valida. L'azione della query viene eseguita utilizzando un'API interna progettata specificatamente per amministrare i servizi Google Cloud. Questo metodo non cambia i contenuti o le configurazioni dei clienti. |
|
Gli accessi a GoogleInternal
sono strettamente limitati al personale autorizzato per garantire un accesso giustificato e verificabile. La presenza di un metodo non indica la disponibilità di tutti i ruoli. Le organizzazioni che cercano controlli avanzati sull'accesso amministrativo a un progetto o a un'organizzazione possono attivare Access Approval per consentire l'approvazione o la negazione degli accessi in base ai dettagli dell'accesso. Ad esempio, gli utenti di Access Approval possono scegliere di consentire solo le richieste con la giustificazione CUSTOMER_INITIATED_SUPPORT
per quelle effettuate da un dipendente Google con il ruolo Customer Support
. Per ulteriori informazioni, consulta la Panoramica di Access Approval.
Se un evento soddisfa rigorosi criteri per l'accesso di emergenza, Access Approval può registrarlo con lo stato auto approved
. Access Transparency e Access Approval sono progettati specificamente per includere la registrazione ininterrotta per gli scenari di accesso di emergenza.
Se vuoi un maggiore controllo della sicurezza dei dati sui carichi di lavoro, ti consigliamo di utilizzare Assured Workloads. I progetti Assured Workloads offrono funzionalità avanzate come la residenza dei dati, i controlli di sovranità e l'accesso a funzionalità come il Confidential Computing in Compute Engine. Sfrutta Key Access Justifications per le chiavi di crittografia gestite esternamente.
Codici del motivo di giustificazione
Si riferisce all'accesso avviato da Google per la gestione del sistema e
risoluzione dei problemi. Il personale di Google può effettuare questo tipo di accesso
seguenti motivi:
Si riferisce all'accesso avviato da Google per garantire l'affidabilità del sistema. Google
il personale può effettuare questo tipo di accesso per i seguenti motivi:
Motivo
Descrizione
CUSTOMER_INITIATED_SUPPORT
Assistenza richiesta dal cliente, ad esempio "Numero richiesta: ####".
GOOGLE_INITIATED_SERVICE
THIRD_PARTY_DATA_REQUEST
Accesso avviato da Google in risposta a una richiesta di tipo legale o a un procedimento giudiziario;
ad esempio quando si risponde a un procedimento giudiziario avviato da un cliente che richiede
di accedere ai dati del cliente.
GOOGLE_INITIATED_REVIEW
Accesso avviato da Google per motivi legati a sicurezza, attività fraudolenta, abuso o conformità
tra cui:
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT
Monitoraggio dei log di Access Transparency
Puoi monitorare i log di Access Transparency utilizzando l'API Cloud Monitoring. Per iniziare, consulta la documentazione di Cloud Monitoring.
Puoi configurare metrica basata su log e poi imposta un criteri di avviso per darti un riscontro tempestivo dei problemi emersi dai log. Ad esempio, puoi creare una metrica basata su log che acquisisce Il personale Google accede ai tuoi contenuti e quindi crea un criterio di avviso Monitoraggio che consente di sapere se il numero di accessi in una un dato periodo supera una soglia specificata.