Detalhes sobre os registros da transparência no acesso e como usá-los
Nesta página, descrevemos o conteúdo das entradas de registro da Transparência no acesso e como visualizá-las e usá-las.
Acessar registros de transparência em detalhes
Os registros de Transparência no acesso podem ser integrados às ferramentas atuais de gerenciamento de eventos e informações de segurança (SIEM, na sigla em inglês) para automatizar as auditorias de funcionários do Google quando acessam seu conteúdo. Os registros de transparência no acesso estão disponíveis no console do Google Cloud, junto com os Registros de auditoria do Cloud.
As entradas de registro da transparência no acesso incluem os seguintes tipos de detalhes:
- o recurso e a ação afetados;
- a hora da ação;
- Os motivos da ação , por exemplo: o número do caso associado a uma solicitação de suporte ao cliente
- Dados sobre quem está agindo no conteúdo, como a localização da equipe do Google
Como ativar a transparência no acesso
Para informações sobre como ativar a transparência no acesso para sua organização do Google Cloud, consulte Como ativar a transparência no acesso.
Como visualizar registros da transparência no acesso
Depois de configurar a transparência no acesso para sua organização do Google Cloud, defina controles para quem pode acessar os registros da transparência no acesso atribuindo a um usuário ou grupo o papel Visualizador de registros particulares. Para mais detalhes, consulte o guia de controle de acesso do Cloud Logging.
Para acessar os registros de Transparência no acesso, use o filtro de geração de registros de observabilidade do Google Cloud a seguir.
logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Para saber como visualizar registros da transparência no acesso no Explorador de registros, consulte Como usar o Explorador de registros.
Também é possível monitorar os registros usando a API Cloud Monitoring ou o Cloud Functions. Para começar, consulte a documentação do Cloud Monitoring.
Opcional: crie uma métrica com base em registros e configure uma política de alertas para receber avisos rapidamentes sobre problemas encontrados por esses registros.
Exemplo de entrada de registro da Transparência no acesso
Este é um exemplo de uma entrada de registro de transparência no acesso.
{ insertId: "abcdefg12345" jsonPayload: { @type: "type.googleapis.com/google.cloud.audit.TransparencyLog" location: { principalOfficeCountry: "US" principalEmployingEntity: "Google LLC" principalPhysicalLocationCountry: "CA" } principalJobTitle: "Engineering" product: [ 0: "Cloud Storage" ] reason: [ detail: "Case number: bar123" type: "CUSTOMER_INITIATED_SUPPORT" ] eventId: "asdfg12345asdfg12345asdfg12345" accesses: [ 0: { methodName: "GoogleInternal.Read" resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123" } ] accessApprovals: [ 0: "projects/123/approvalRequests/abcdef12345" ] } logName: "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency" operation: { id: "12345xyz" } receiveTimestamp: "2017-12-18T16:06:37.400577736Z" resource: { labels: { project_id: "1234567890" } type: "project" } severity: "NOTICE" timestamp: "2017-12-18T16:06:24.660001Z" }
Descrições do campo de registro
Campo | Descrição |
---|---|
insertId |
Identificador exclusivo para o registro. |
@type |
Identificador do registro de transparência no acesso. |
principalOfficeCountry |
Código do país ISO 3166-1 Alfa-2, em que o acessador tem um espaço de trabalho permanente, ?? se o local não estiver disponível, ou um identificador de continente de três caracteres onde a equipe do Google está em um país com um número baixo de habitantes. |
principalEmployingEntity |
A entidade que emprega a equipe do Google responsável pelo acesso (por exemplo, Google LLC ). |
principalPhysicalLocationCountry |
Código do país ISO 3166-1 Alfa-2 onde o acesso foi feito, ?? se o local não estiver disponível, ou um identificador de continente de três caracteres onde a equipe do Google está em um país com um número baixo de habitantes. |
principalJobTitle |
A família da função de trabalho da equipe do Google que está fazendo o acesso. |
product |
Produto do Google Cloud do cliente que foi acessado. |
reason:detail |
Detalhes do motivo, por exemplo, um ID do tíquete de suporte. |
reason:type |
Acesse tipo de motivo, por exemplo, CUSTOMER_INITIATED_SUPPORT) . |
accesses:methodName |
Que tipo de acesso foi feito. Por exemplo, GoogleInternal.Read Para mais informações sobre os métodos que podem aparecer no campo methodName , consulte Valores do campo accesses: methodName .
|
accesses:resourceName |
Nome do recurso que foi acessado. |
accessApprovals |
Inclui os nomes dos recursos das solicitações do Access Approval que aprovaram o acesso. Essas solicitações estão sujeitas a
exclusões e
serviços compatíveis. Esse campo só será preenchido se a Aprovação de acesso estiver ativada para os recursos acessados. Registros de Transparência no acesso publicados antes de 24 de março de 2021 não terão esse campo preenchido. |
logName |
Nome do local do registro. |
operation:id |
Código do cluster de registro. |
receiveTimestamp |
Hora em que o acesso foi recebido pelo canal da geração de registros. |
project_id |
Projeto associado ao recurso que foi acessado. |
type |
Tipo de recurso que foi acessado, por exemplo, project . |
eventId |
ID do evento exclusivo associado a uma única justificativa de evento de acesso (por exemplo, um único caso de suporte). Todos os acessos registrados com a mesma
justificativa têm o mesmo valor event_id . |
severity |
Gravidade do registro. |
timestamp |
Hora em que o registro foi gravado |
Valores do campo accesses:methodNames
Os seguintes métodos podem aparecer no campo accesses:methodNames
nos registros da Transparência no acesso:
- Métodos padrão: são
List
,Get
,Create
,Update
eDelete
. Para mais informações, consulte Métodos padrão. - Métodos personalizados: se referem aos métodos de API além dos cinco métodos padrão. Os métodos personalizados comuns incluem
Cancel
,BatchGet
,Move
,Search
eUndelete
. Para mais informações, consulte Métodos personalizados. - Métodos internos do Google: os métodos
GoogleInternal
a seguir podem aparecer no campoaccesses:methodNames
:
Nome do método | Descrição | Examples |
---|---|---|
GoogleInternal.Read |
Significa uma ação de leitura realizada no conteúdo do cliente com uma justificativa comercial válida. A ação de leitura ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Esse método não modifica o conteúdo do cliente. | Leitura de permissões do IAM. |
GoogleInternal.Write |
Significa uma ação de gravação realizada no conteúdo do cliente com uma justificativa comercial válida. A ação de gravação ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Esse método pode atualizar o conteúdo e/ou as configurações do cliente. |
|
GoogleInternal.Create |
Significa uma ação de criação realizada no conteúdo do cliente com uma justificativa comercial válida. A ação de criação ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Esse método cria conteúdo para os clientes. |
|
GoogleInternal.Delete |
Significa uma ação de exclusão realizada no conteúdo do cliente usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Este método modifica o conteúdo e/ou as configurações do cliente. |
|
GoogleInternal.List |
Significa uma ação de lista realizada no conteúdo do cliente com uma justificativa comercial válida. A ação de lista ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Esse método não modifica o conteúdo ou as configurações do cliente. |
|
GoogleInternal.SSH |
Significa uma ação SSH realizada na máquina virtual de um cliente com uma justificativa comercial válida. O acesso SSH ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Este método pode modificar o conteúdo e as configurações do cliente. | Acesso emergencial para recuperação de uma falha temporária no Compute Engine ou no GKE no VMware. |
GoogleInternal.Update |
Indica uma modificação realizada no conteúdo do cliente com uma justificativa comercial válida. A atualização ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Este método modifica o conteúdo e/ou as configurações do cliente. | Atualizando chaves HMAC no Cloud Storage. |
GoogleInternal.Get |
Significa uma ação "get" realizada no conteúdo do cliente com uma justificativa comercial válida. A ação "get" ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Esse método não modifica o conteúdo ou as configurações do cliente. |
|
GoogleInternal.Query |
Significa uma ação de consulta realizada no conteúdo do cliente com uma justificativa comercial válida. A ação de consulta ocorre usando uma API interna projetada especificamente para administrar os serviços do Google Cloud. Esse método não modifica o conteúdo ou as configurações do cliente. |
|
Os acessos GoogleInternal
são estritamente restritos a funcionários autorizados para acesso justificado e auditável. A presença de um método não indica disponibilidade para todos os papéis. As organizações que buscam controles aprimorados sobre o acesso administrativo em um projeto ou organização podem ativar a aprovação de acesso para permitir a aprovação ou negação de acessos com base nos detalhes do acesso. Por exemplo, os usuários da Aprovação de acesso podem permitir apenas solicitações com a justificativa CUSTOMER_INITIATED_SUPPORT
para solicitações feitas por um funcionário do Google com o papel Customer Support
. Para mais informações, consulte Visão geral do Access Approval.
Se um evento atender a critérios rigorosos de acesso emergencial, a Aprovação de acesso poderá registrar esse acesso com o status auto approved
. A Transparência no acesso e a Aprovação de acesso foram desenvolvidas especificamente para incluir registros ininterruptos em cenários de acesso de emergência.
Se você quiser ter mais controle de segurança de dados sobre suas cargas de trabalho, recomendamos o uso do Assured Workloads. Os projetos do Assured Workloads oferecem funcionalidades aprimoradas, como residência de dados, controles soberanos e acesso a recursos como computação confidencial no Compute Engine. Ele usa as Justificativas de acesso às chaves para chaves de criptografia gerenciadas externamente.
Códigos de motivo da justificativa
Refere-se ao acesso iniciado pelo Google para gerenciamento e solução de problemas do sistema. A equipe do Google pode fazer esse tipo de acesso pelos
seguintes motivos:
Refere-se ao acesso iniciado pelo Google para manter a confiabilidade do sistema. A equipe do Google pode fazer esse tipo de acesso pelos seguintes motivos:
Motivo
Descrição
CUSTOMER_INITIATED_SUPPORT
Suporte iniciado pelo cliente, por exemplo, "Case Number: ####".
GOOGLE_INITIATED_SERVICE
THIRD_PARTY_DATA_REQUEST
Acesso iniciado pelo Google em resposta a uma solicitação oficial ou processo judicial, inclusive ao responder a um processo judicial do cliente que exige que o Google acesse os próprios dados do cliente.
GOOGLE_INITIATED_REVIEW
Acesso iniciado pelo Google para fins de segurança, fraude, abuso ou compliance, incluindo os seguintes casos:
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT
Como monitorar registros de transparência no acesso
É possível monitorar os registros da Transparência no acesso usando a API Cloud Monitoring. Para começar, consulte a documentação do Cloud Monitoring.
É possível configurar uma métrica com base em registros e, em seguida, configurar uma política de alertas para informar, em tempo hábil, sobre problemas que surgiram nesses registros. Por exemplo, é possível criar uma métrica com base em registros que capture acessos da equipe do Google ao seu conteúdo e, em seguida, criar uma política de alertas no Monitoring que informe se o número de acessos em um determinado período excede um limite especificado.
A seguir
- Saiba como ver e entender os registros da Transparência no acesso para serviços do Google Workspace.