Questa pagina è stata tradotta dall'API Cloud Translation.

Comprendere e utilizzare i log di Access Transparency

Questa pagina descrive i contenuti delle voci di log di Access Transparency e come visualizzarle e utilizzarle.

Log di Access Transparency in dettaglio

I log di Access Transparency possono essere integrati con gli strumenti esistenti per la gestione degli eventi e delle informazioni di sicurezza (SIEM) al fine di automatizzare i controlli relativi al personale Google quando accede ai tuoi contenuti. I log Access Transparency sono disponibili nella console Google Cloud insieme a Cloud Audit Logs.

Le voci dei log di Access Transparency includono i seguenti tipi di dettagli:

La risorsa e l'azione interessate.
L'ora dell'azione.
I motivi dell'azione (ad esempio, il numero della richiesta inviata all'assistenza clienti).
Dati su chi esegue azioni sui contenuti, ad esempio la località del personale Google.

Attivazione di Access Transparency

Per informazioni su come attivare Access Transparency per la tua organizzazione Google Cloud , consulta Attivare la trasparenza di accesso.

Visualizzazione dei log di Access Transparency

Dopo aver configurato Access Transparency per la tua organizzazione Google Cloud, puoi impostare i controlli per chi può accedere ai log di Access Transparency assegnando a un utente o un gruppo il ruolo Visualizzatore log privati. Per maggiori dettagli, consulta la guida al controllo dell'accesso di Cloud Logging.

Per visualizzare i log di Access Transparency, utilizza il seguente filtro di log di Google Cloud Observability.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Per scoprire come visualizzare i log di Access Transparency in Esplora log, consulta Utilizzare Esplora log.

Puoi anche monitorare i log utilizzando l'API Cloud Monitoring o le funzioni Cloud Run. Per iniziare, consulta la documentazione di Cloud Monitoring.

(Facoltativo) Crea una metrica basata su log e poi configura un criterio di avviso per ricevere tempestivamente una notifica dei problemi rilevati da questi log.

Voce del log di Access Transparency di esempio

Di seguito è riportato un esempio di voce del log di Access Transparency:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Descrizione dei campi del log

Campo	Descrizione
`insertId`	Identificatore univoco per il log.
`@type`	Identificatore del log di Access Transparency.
`principalOfficeCountry`	Codice paese ISO 3166-1 alfa-2 del paese in cui chi ha eseguito l'accesso ha un ufficio permanente, `??` se la località non è disponibile oppure identificatore di 3 caratteri del continente in cui il personale di Google si trova in un paese a bassa densità di popolazione.
`principalEmployingEntity`	La persona giuridica che impiega il personale Google che esegue l'accesso (ad esempio `Google LLC`).
`principalPhysicalLocationCountry`	Codice paese ISO 3166-1 alpha-2 del paese da cui è stato eseguito l'accesso, `??` se la località non è disponibile, o identificatore di 3 caratteri del continente in cui il personale di Google si trova in un paese a bassa densità di popolazione.
`principalJobTitle`	La famiglia di lavoro del personale di Google che esegue l'accesso.
`product`	Il prodotto Google Cloud del cliente a cui è stato eseguito l'accesso.
`reason:detail`	Dettagli del motivo, ad esempio un ID ticket di assistenza.
`reason:type`	Tipo di motivo di accesso (ad es. `CUSTOMER_INITIATED_SUPPORT)`.
`accesses:methodName`	Il tipo di accesso effettuato. Ad esempio, `GoogleInternal.Read`. Per ulteriori informazioni sui metodi che possono essere visualizzati nel campo `methodName`, consulta Valori per il campo `accesses: methodName`.
`accesses:resourceName`	Nome della risorsa a cui è stato eseguito l'accesso.
`accessApprovals`	Sono inclusi i nomi delle risorse delle richieste di Access Approval che hanno approvato l'accesso. Queste richieste sono soggette a esclusioni e servizi supportati. Questo campo viene compilato solo se l'approvazione dell'accesso è attivata per le risorse a cui è stato eseguito l'accesso. I log di Access Transparency pubblicati prima del 24 marzo 2021 non avranno questo campo compilato.
`logName`	Nome della posizione del log.
`operation:id`	ID cluster di log.
`receiveTimestamp`	Ora in cui l'accesso è stato ricevuto dalla pipeline di logging.
`project_id`	Progetto associato alla risorsa a cui è stato eseguito l'accesso.
`type`	Tipo di risorsa a cui è stato eseguito l'accesso (ad esempio `project`).
`eventId`	ID evento univoco associato a una singola giustificazione dell'evento di accesso (ad esempio, una singola richiesta di assistenza). Tutti gli accessi registrati per la stessa giustificazione hanno lo stesso valore `event_id`.
`severity`	Gravità del log.
`timestamp`	L'ora in cui è stato creato il log.

Valori per il campo `accesses:methodNames`

I seguenti metodi possono essere visualizzati nel campo accesses:methodNames nei log di Access Transparency:

Metodi standard: questi metodi sono List, Get, Create, Update e Delete. Per ulteriori informazioni, consulta la sezione Metodi standard.
Metodi personalizzati: i metodi personalizzati si riferiscono ai metodi API oltre ai cinque metodi standard. I metodi personalizzati comuni includono Cancel, BatchGet, Move, Search e Undelete. Per ulteriori informazioni, consulta Metodi personalizzati.
Metodi GoogleInternal: di seguito sono riportati alcuni esempi di metodi GoogleInternal visualizzati nel campo accesses:methodNames:

Nome metodo	Descrizione	Esempi
`GoogleInternal.Read`	Indica un'azione di lettura eseguita sui contenuti dei clienti con una giustificazione commerciale valida. L'azione di lettura avviene utilizzando un'API interna progettata specificamente per l'amministrazione dei servizi Google Cloud . Questo metodo non modifica i contenuti dei clienti.	Lettura delle autorizzazioni IAM.
`GoogleInternal.Write`	Indica un'azione di scrittura eseguita sui contenuti dei clienti con una giustificazione aziendale valida. L'azione di scrittura avviene utilizzando un'API interna progettata specificamente per amministrare i servizi Google Cloud . Questo metodo può aggiornare i contenuti e/o le configurazioni dei clienti.	Impostazione delle autorizzazioni IAM per una risorsa. Sospensione di un'istanza Compute Engine.
`GoogleInternal.Create`	Indica un'azione di creazione eseguita sui contenuti dei clienti con una giustificazione aziendale valida. L'azione di creazione viene eseguita utilizzando un'API interna progettata specificamente per l'amministrazione dei servizi Google Cloud . Questo metodo crea nuovi contenuti per i clienti.	Creazione di un bucket Cloud Storage. Creazione di un argomento Pub/Sub.
`GoogleInternal.Delete`	Indica un'azione di eliminazione eseguita sui contenuti dei clienti utilizzando un'API interna progettata specificamente per amministrare i servizi Google Cloud . Questo metodo modifica i contenuti e/o le configurazioni dei clienti.	Eliminazione di un oggetto Cloud Storage. Eliminazione di una tabella BigQuery.
`GoogleInternal.List`	Indica un'azione di elenco eseguita sui contenuti dei clienti con una giustificazione commerciale valida. L'azione di elenco viene eseguita utilizzando un'API interna progettata specificamente per l'amministrazione dei servizi Google Cloud . Questo metodo non modifica i contenuti o le configurazioni dei clienti.	Elenco delle istanze Compute Engine di un cliente. Elenco dei job Dataflow di un cliente.
`GoogleInternal.Update`	Indica una modifica apportata ai contenuti dei clienti con una giustificazione commerciale valida. L'azione di aggiornamento viene eseguita utilizzando un'API interna progettata specificamente per l'amministrazione dei servizi Google Cloud . Questo metodo modifica i contenuti e/o le configurazioni dei clienti.	Aggiornamento delle chiavi HMAC in Cloud Storage.
`GoogleInternal.Get`	Indica un'azione di recupero eseguita sui contenuti dei clienti con una giustificazione commerciale valida. L'azione get viene eseguita utilizzando un'API interna progettata specificamente per l'amministrazione dei servizi Google Cloud . Questo metodo non modifica i contenuti o le configurazioni dei clienti.	Recupero del criterio IAM per una risorsa. Recupero del job Dataflow di un cliente.
`GoogleInternal.Query`	Indica un'azione di query eseguita sui contenuti dei clienti con una giustificazione commerciale valida. L'azione di query viene eseguita utilizzando un'API interna progettata specificamente per l'amministrazione dei servizi Google Cloud . Questo metodo non modifica i contenuti o le configurazioni dei clienti.	Eseguire una query BigQuery. Ricerca nella console di debug di AI Platform sui contenuti dei clienti.

Gli accessi GoogleInternal sono strettamente riservati al personale autorizzato per un accesso giustificato e verificabile. La presenza di un metodo non indica la disponibilità per tutti i ruoli. Le organizzazioni che cercano controlli avanzati sull'accesso amministrativo a un progetto o a un'organizzazione possono attivare l'approvazione dell'accesso per consentire l'approvazione o il rifiuto degli accessi in base ai dettagli dell'accesso. Ad esempio, gli utenti di Access Approval possono scegliere di consentire solo le richieste con la CUSTOMER_INITIATED_SUPPORTgiustificazione per le richieste effettuate da un dipendente di Google. Per ulteriori informazioni, vedi Panoramica dell'approvazione di accesso.

Se un evento soddisfa criteri rigorosi di accesso di emergenza, Access Approval può registrare l'accesso di emergenza con lo stato auto approved. Access Transparency e Access Approval sono progettati specificamente per includere il logging ininterrotto per gli scenari di accesso di emergenza.

Se stai cercando un maggiore controllo sulla sicurezza dei dati per i tuoi carichi di lavoro, ti consigliamo di utilizzare Assured Workloads. I progetti Assured Workloads offrono funzionalità avanzate come la residenza dei dati, i controlli sovrani e l'accesso a funzionalità come il calcolo riservato in Compute Engine. Sfrutta le giustificazioni di accesso alle chiavi per le chiavi di crittografia gestite esternamente.

Codici dei motivi della giustificazione

Motivo	Descrizione
`CUSTOMER_INITIATED_SUPPORT`	Assistenza richiesta dal cliente, ad esempio "Numero richiesta: ####".
`GOOGLE_INITIATED_SERVICE`	Si riferisce all'accesso avviato da Google per la gestione e la risoluzione dei problemi del sistema. Il personale di Google può effettuare questo tipo di accesso per i seguenti motivi: Per eseguire il debug tecnico necessario per una richiesta di assistenza o un'indagine complessa. Per risolvere problemi tecnici, come problemi allo spazio di archiviazione o danneggiamento dei dati.
`THIRD_PARTY_DATA_REQUEST`	Accesso avviato da Google in risposta a una richiesta di tipo legale o a un procedimento giudiziario, incluso quando si risponde a un procedimento giudiziario avviato dal cliente che richiede a Google di accedere ai dati del cliente.
`GOOGLE_INITIATED_REVIEW`	Accesso avviato da Google per motivi di sicurezza, frode, abuso o conformità, tra cui: Per garantire la sicurezza degli account e dei dati dei clienti. Per verificare se i dati sono stati interessati da un evento che potrebbe influenzare la sicurezza dell'account (ad esempio infezioni da malware). Per verificare se il cliente utilizza i servizi Google in conformità con i Termini di servizio di Google. Per esaminare reclami di altri utenti e clienti o altri indicatori di attività illecite. Per verificare che i servizi Google vengano utilizzati in modo coerente con i relativi regimi di conformità (ad esempio le norme antiriciclaggio).
`GOOGLE_RESPONSE_TO_PRODUCTION_ALERT`	Si riferisce all'accesso avviato da Google per garantire l'affidabilità del sistema. Il personale di Google può effettuare questo tipo di accesso per i seguenti motivi: Per effettuare accertamenti e confermare che una sospetta interruzione del servizio non riguarda il cliente. Per garantire il backup e il ripristino da interruzioni del servizio e malfunzionamenti del sistema.

Monitoraggio dei log di Access Transparency

Puoi monitorare i log di Access Transparency utilizzando l'API Cloud Monitoring. Per iniziare, consulta la documentazione di Cloud Monitoring.

Puoi configurare una metrica basata su log e poi impostare un criterio di avviso per ricevere avvisi tempestivi sui problemi rilevati da questi log. Ad esempio, puoi creare una metrica basata su log che acquisisca gli accessi del personale di Google ai tuoi contenuti e poi creare un criterio di avviso in Monitoraggio che ti indichi se il numero di accessi in un determinato periodo supera una soglia specificata.

Passaggi successivi

Scopri come visualizzare e comprendere i log di Access Transparency per i servizi Google Workspace.