Cette page a été traduite par l'API Cloud Translation.

Comprendre et utiliser les journaux Access Transparency

Cette page décrit le contenu des entrées de journal Access Transparency et explique comment pour les consulter et les utiliser.

Les journaux Access Transparency en détail

Les journaux Access Transparency peuvent être intégrés des outils de gestion des informations et des événements de sécurité (SIEM) pour automatiser vos audits ; lorsque des employés de Google accèdent à votre contenu. Les journaux Access Transparency sont disponibles dans la console Google Cloud en plus de Cloud Audit Logs.

Les entrées de journal Access Transparency incluent les types d'informations suivants :

La ressource et l'action affectées
Le moment où l'action a été effectuée
Le motif de l'action (par exemple, le numéro de dossier associé à une demande d'assistance)
Des données concernant les personnes agissant sur le contenu (par exemple, la position géographique du personnel de Google)

Activer Access Transparency

Pour en savoir plus sur l'activation d'Access Transparency pour votre organisation Google Cloud, consultez la page Activer Access Transparency.

Afficher les journaux Access Transparency

Après avoir configuré Access Transparency pour Google Cloud vous pouvez définir des contrôles d'accès aux journaux Access Transparency en en attribuant le rôle Lecteur des journaux privés à un utilisateur ou à un groupe. Consultez le Guide du contrôle des accès Cloud Logging pour plus de détails.

Pour afficher les journaux Access Transparency, utilisez le filtre de journalisation Google Cloud Observability suivant.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Pour découvrir comment afficher vos journaux Access Transparency dans l'explorateur de journaux, consultez la page Utiliser l'explorateur de journaux.

Vous pouvez également surveiller les journaux à l'aide de l'API Cloud Monitoring ou Cloud Functions. Pour commencer, consultez la documentation de Cloud Monitoring.

Facultatif : créez une métrique basée sur les journaux, puis configurez une règle d'alerte pour être rapidement informé en cas de problèmes révélés par ces journaux.

Exemple d'entrée de journal Access Transparency

Voici un exemple d'entrée de journal Access Transparency :

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Description des champs de journal

Champ	Description
`insertId`	Identifiant unique pour le journal.
`@type`	Identifiant de journal Access Transparency.
`principalOfficeCountry`	Code de pays ISO 3166-1 alpha-2 du pays dans lequel l'accesseur dispose d'un bureau permanent, `??` si l'emplacement n'est pas disponible ou que l'identifiant de continent à trois caractères du personnel de Google correspond à un pays à faible population.
`principalEmployingEntity`	Entité qui emploie le personnel de Google effectuant l'accès (par exemple, `Google LLC`).
`principalPhysicalLocationCountry`	Code de pays ISO 3166-1 alpha-2 du pays à partir duquel l'accès a été effectué, `??` si l'emplacement n'est pas disponible ou que l'identifiant de continent à trois caractères du personnel de Google correspond à un pays à faible population.
`principalJobTitle`	Famille de tâches du personnel de Google effectuant l'accès.
`product`	Produit Google Cloud du client consulté.
`reason:detail`	Détail du motif (par exemple, un ID de demande d'assistance).
`reason:type`	Accédez au type de motif, par exemple, `CUSTOMER_INITIATED_SUPPORT)`.
`accesses:methodName`	Type d'accès accordé Par exemple, `GoogleInternal.Read`. Pour en savoir plus sur les méthodes pouvant apparaître dans le champ `methodName`, consultez la section Valeurs du champ `accesses: methodName`.
`accesses:resourceName`	Nom de la ressource qui a fait l'objet de l'accès.
`accessApprovals`	Inclut les noms de ressources Access Approval qui ont approuvé l'accès. Ces demandes sont soumises aux exclusions et services compatibles. Ce champ n'est renseigné que si Access Approval est activé pour le aux ressources consultées. Journaux Access Transparency publiés avant la date Ce champ ne sera pas renseigné à compter du 24 mars 2021.
`logName`	Nom de l'emplacement du journal.
`operation:id`	ID du cluster du journal.
`receiveTimestamp`	Heure à laquelle l'accès a été enregistré par le pipeline de journalisation.
`project_id`	Projet associé à la ressource ayant fait l'objet d'un accès.
`type`	Type de ressource ayant fait l'objet d'un accès (par exemple, `project`).
`eventId`	ID d'événement unique associé à une justification d'événement d'accès unique (par exemple, une seule demande d'assistance). Tous les accès sont consignés justification ont la même valeur `event_id`.
`severity`	Niveau de gravité du journal.
`timestamp`	Date et heure de création du journal.

Valeurs du champ `accesses:methodNames`

Les méthodes suivantes peuvent apparaître dans le champ accesses:methodNames des journaux Access Transparency:

Méthodes standards: List, Get, Create, Update et Delete. Pour en savoir plus, consultez la section Méthodes standards.
Méthodes personnalisées: les méthodes personnalisées font référence aux méthodes API en plus des cinq méthodes standards. Les méthodes personnalisées courantes incluent Cancel, BatchGet, Move, Search et Undelete. Pour en savoir plus, consultez Méthodes personnalisées.
Méthodes GoogleInternal: les méthodes GoogleInternal suivantes peuvent apparaître dans le champ accesses:methodNames:

Nom de la méthode	Description	Examples
`GoogleInternal.Read`	Signifie une action de lecture effectuée sur le contenu d'un client, avec une justification métier valide. L'action de lecture est effectuée à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode ne modifie pas le contenu client.	Lire les autorisations IAM
`GoogleInternal.Write`	Signifie une action d'écriture effectuée sur le contenu d'un client, avec une justification métier valide. L'action d'écriture est effectuée à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode permet de mettre à jour le contenu et/ou les configurations des clients.	Définir des autorisations IAM pour une ressource Suspendre une instance Compute Engine
`GoogleInternal.Create`	Signifie une action de création effectuée sur le contenu d'un client, avec une justification métier valide. L'action de création s'effectue à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode permet de créer du contenu client.	Créer un bucket Cloud Storage Créer un sujet Pub/Sub
`GoogleInternal.Delete`	Signifie une action de suppression effectuée sur le contenu d'un client à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode modifie le contenu et/ou les configurations du client.	Supprimer un objet Cloud Storage Supprimer une table BigQuery
`GoogleInternal.List`	Signifie une action de liste effectuée sur le contenu d'un client, avec une justification métier valide. L'action de liste est effectuée à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode ne modifie pas le contenu ni les configurations du client.	Répertorier les instances Compute Engine d'un client Répertorier les tâches Dataflow d'un client
`GoogleInternal.SSH`	Signifie une action SSH effectuée sur la machine virtuelle d'un client, avec une justification métier valide. L'accès SSH s'effectue à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode permet de modifier les configurations et le contenu du client.	Accès d'urgence pour se remettre d'une panne sur Compute Engine ou Google Distributed Cloud.
`GoogleInternal.Update`	Désigne une modification apportée au contenu d'un client avec une justification métier valide. L'action de mise à jour s'effectue à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode modifie le contenu et/ou les configurations du client.	Mettre à jour des clés HMAC dans Cloud Storage
`GoogleInternal.Get`	Désigne une action "Get" effectuée sur le contenu d'un client, avec une justification métier valide. L'action "get" s'exécute à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode ne modifie pas le contenu ni les configurations du client.	Récupérer la stratégie IAM d'une ressource récupérer la tâche Dataflow d'un client ;
`GoogleInternal.Query`	Signifie une action de requête effectuée sur le contenu d'un client, avec une justification métier valide. L'action de requête est effectuée à l'aide d'une API interne spécialement conçue pour administrer les services Google Cloud. Cette méthode ne modifie pas le contenu ni les configurations du client.	Exécuter une requête BigQuery Recherche dans la console de débogage AI Platform dans le contenu client.

Les accès de GoogleInternal sont strictement limités au personnel autorisé pour un accès justifié et vérifiable. La présence d'une méthode n'indique pas sa disponibilité pour tous les rôles. Les organisations qui recherchent des contrôles avancés sur l'accès administrateur à un projet ou à une organisation peuvent activer Access Approval pour autoriser ou refuser des accès en fonction des détails d'accès. Par exemple, les utilisateurs Access Approval peuvent choisir d'autoriser uniquement les requêtes ayant la justification CUSTOMER_INITIATED_SUPPORT pour les demandes effectuées par un employé Google doté du rôle Customer Support. Pour en savoir plus, consultez la page Présentation d'Access Approval.

Si un événement répond à des critères stricts d'accès d'urgence, Access Approval peut enregistrer cet accès d'urgence avec l'état auto approved. Access Transparency et Access Approval sont spécifiquement conçus pour inclure une journalisation ininterrompue dans les scénarios d'accès d'urgence.

Si vous souhaitez contrôler davantage la sécurité des données sur vos charges de travail, nous vous recommandons d'utiliser Assured Workloads. Les projets Assured Workloads offrent des fonctionnalités avancées telles que la résidence des données, les contrôles souverains et l'accès à des fonctionnalités telles que l'informatique confidentielle dans Compute Engine. Il utilise Key Access Justifications pour les clés de chiffrement gérées en externe.

Codes de motifs de justification

Motif	Description
`CUSTOMER_INITIATED_SUPPORT`	Le client a initié une demande d'assistance (par exemple, "Numéro de la demande : ####").
`GOOGLE_INITIATED_SERVICE`	Fait référence à l'accès initié par Google pour la gestion du système le dépannage. Le personnel de Google peut effectuer ce type d'accès pour les raisons suivantes: Pour effectuer le débogage technique nécessaire à une demande d'assistance complexe ou enquête. Pour résoudre des problèmes techniques, tels qu'une défaillance de stockage ou des données sa corruption.
`THIRD_PARTY_DATA_REQUEST`	Google a initié un accès en réponse à une demande légale ou à un acte de procédure. Cela inclut les actes de procédure à l'initiative d'un client demandant à Google d'accéder à ses données.
`GOOGLE_INITIATED_REVIEW`	Accès initié par Google pour une opération concernant la sécurité, la fraude, les abus ou la mise conformité, telle que : assurer la sûreté et la sécurité des comptes et des données des clients ; Vérifier si les données sont affectées par un événement susceptible d'avoir un impact la sécurité de votre compte (par exemple, les infections par des logiciels malveillants). Vérifier si le client utilise les services Google conformément avec les conditions d'utilisation de Google. enquêter sur les réclamations d'autres utilisateurs et clients, ou d'autres d'activités abusives. Vérifier que les services Google sont utilisés de manière cohérente avec les régimes de conformité pertinents (par exemple, la lutte contre le blanchiment d'argent) réglementations en vigueur).
`GOOGLE_RESPONSE_TO_PRODUCTION_ALERT`	Fait référence à l'accès initié par Google pour maintenir la fiabilité du système. Google personnel peut effectuer ce type d'accès pour les raisons suivantes: Pour enquêter et confirmer qu'une interruption de service suspectée affecter le client. Pour assurer la sauvegarde et la récupération après les pannes et les défaillances du système.

Surveiller les journaux Access Transparency

Vous pouvez surveiller les journaux Access Transparency à l'aide de l'API Cloud Monitoring. Pour commencer, consultez la documentation Cloud Monitoring.

Vous pouvez configurer un métrique basée sur les journaux, puis configurer un règle d'alerte pour vous informer rapidement des problèmes soulevés par ces journaux. Par exemple, vous pouvez créer une métrique basée sur les journaux qui capture le personnel de Google accède à votre contenu, puis vous créez une règle d'alerte dans Une surveillance qui vous indique si le nombre d'accès dans un une période donnée dépasse un seuil spécifié.

Étape suivante

Découvrez comment afficher et interpréter les journaux Access Transparency pour services Google Workspace.