Comprender y usar los registros de Transparencia de acceso

En esta página, se describe el contenido de las entradas de registro de Transparencia de acceso y cómo verlas y usarlas.

Registros de Transparencia de acceso detallados

Los registros de Transparencia de acceso se pueden integrar a las herramientas existentes de información de seguridad y administración de eventos (SIEM) para automatizar las auditorías del personal de Google cuando acceden a tu contenido. Los registros de Transparencia de acceso están disponibles en Google Cloud Console junto con los registros de auditoría de Cloud.

En las entradas de registro de Transparencia de acceso, se incluyen los siguientes tipos de detalles:

Acción y recurso afectados
Hora de la acción
Motivos de la acción (por ejemplo, el número de caso asociado a una solicitud de atención al cliente)
Datos acerca de quién trabaja con el contenido (por ejemplo, la ubicación del personal de Google)

Configura la Transparencia de acceso

Para configurar los registros de Transparencia de acceso, consulta la Descripción general de Transparencia de acceso.

Visualiza los registros de Transparencia de acceso

Después de configurar la Transparencia de acceso en tu organización de Google Cloud, puedes establecer controles para quién puede acceder a los registros de Transparencia de acceso si asignas la función de Visualizador de registros privados a un usuario o grupo. Consulta la guía de control de acceso de Cloud Logging para obtener más detalles.

Para ver los registros de Transparencia de acceso, usa el siguiente filtro de registro de Google Cloud's operations suite.

logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Para obtener información sobre cómo ver tus registros de Transparencia de acceso en el Explorador de registros, consulta Usa el Explorador de registros.

También puedes supervisar los registros mediante la API de Cloud Monitoring o Cloud Functions. Para comenzar, consulta la documentación de Cloud Monitoring.

Crea una métrica basada en registros y, luego, configura una política de alertas para enterarte a tiempo de los problemas que presentan estos registros (opcional).

Ejemplo de entrada de registro de Transparencia de acceso

El siguiente es un ejemplo de una entrada de registro de Transparencia de acceso:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Descripciones de los campos de registros

Campo	Descripción
`insertId`	Identificador único del registro
`@type`	Identificador de registro de Transparencia de acceso
`principalOfficeCountry`	Código de país ISO 3166-1 alfa-2 correspondiente al país en el que quien accedió tiene un escritorio permanente, `??` si la ubicación no está disponible o un identificador de continente de 3 caracteres si el personal de Google se encuentra en un país con baja población.
`principalEmployingEntity`	La entidad que emplea al personal de Google que realiza el acceso (por ejemplo, `Google LLC`).
`principalPhysicalLocationCountry`	Código de país ISO 3166-1 alfa-2 correspondiente al país desde el que se logró el acceso, `??` si la ubicación no está disponible o un identificador de continente de 3 caracteres si el personal de Google se encuentra en un país con baja población.
`product`	Producto de GCP del cliente al que se accedió.
`reason:detail`	Detalles del motivo, por ejemplo, el ID de un ticket de asistencia
`reason:type`	Acceso al tipo de motivo (por ejemplo, `CUSTOMER_INITIATED_SUPPORT)`)
`accesses:methodName`	El tipo de acceso que se realizó Por ejemplo, `GoogleInternal.Read`. Para obtener más información sobre los métodos que pueden aparecer en el campo `methodName`, consulta Valores del campo `accesses: methodName`.
`accesses:resourceName`	Nombre del recurso al que se accedió
`accessApprovals`	Incluye los nombres de recursos de las solicitudes de Aprobación de acceso que aprobaron el acceso. Estas solicitudes están sujetas a exclusiones y a los servicios compatibles. Este campo solo se propaga si la Aprobación de acceso está habilitada para los recursos a los que se accede. Este registro se propagará antes de la fecha 24 de marzo de 2021 y no se propagará.
`logName`	Nombre de la ubicación del registro
`operation:id`	ID de clúster del registro
`receiveTimestamp`	Hora en la que la canalización del registro recibió el acceso
`project_id`	Proyecto asociado al recurso al que se accedió
`type`	Tipo de recurso al que se accedió (por ejemplo, `project`)
`severity`	Gravedad del registro
`timestamp`	Hora en la que se escribió el registro

Valores para el campo `accesses:methodNames`

Los siguientes métodos pueden aparecer en el campo accesses:methodNames de los registros de Transparencia de acceso:

Métodos estándar: Estos métodos son List, Get, Create, Update y Delete. Para obtener más información, consulta Métodos estándar.
Métodos personalizados: Estos son los métodos de la API, además de los 5 métodos estándar. Los métodos personalizados comunes incluyen Cancel, BatchGet, Move, Search y Undelete. Para obtener más información, consulta Métodos personalizados.
Métodos internos de Google: Los siguientes métodos GoogleInternal pueden aparecer en el campo accesses:methodNames:

Nombre del método	Descripción	Examples
`GoogleInternal.Read`	Indica una acción de lectura realizada en el contenido del cliente con una justificación empresarial válida. La acción de lectura ocurre con una API interna que está diseñada específicamente para administrar los servicios de Google Cloud. Este método no muta el contenido de los clientes.	Leer permisos de IAM
`GoogleInternal.Write`	Indica una acción de escritura realizada en el contenido del cliente con una justificación empresarial válida. La acción de escritura se produce mediante una API interna diseñada específicamente para administrar los servicios de Google Cloud. Este método puede actualizar el contenido o la configuración del cliente.	Configura permisos de IAM para un recurso. Suspender una instancia de Compute Engine.
`GoogleInternal.Create`	Indica una acción de creación realizada en el contenido de clientes con una justificación empresarial válida. La acción de creación se produce mediante una API interna diseñada específicamente para administrar los servicios de Google Cloud. Este método crea contenido nuevo para los clientes.	Crear un bucket de Cloud Storage. Crea un tema de Pub/Sub.
`GoogleInternal.Delete`	Indica una acción de eliminación realizada en el contenido de los clientes mediante una API interna diseñada específicamente para administrar servicios de Google Cloud. Este método modifica el contenido o la configuración del cliente.	Borrar un objeto de Cloud Storage Borrar una tabla de BigQuery
`GoogleInternal.List`	Indica una acción de lista realizada en el contenido del cliente con una justificación empresarial válida. La acción de lista se produce mediante una API interna diseñada específicamente para administrar los servicios de Google Cloud. Este método no muta el contenido ni la configuración del cliente.	Enumerar las instancias de Compute Engine de un cliente Enumerar los trabajos de Dataflow de un cliente
`GoogleInternal.SSH`	Indica una acción de SSH realizada en la máquina virtual de un cliente con una justificación empresarial válida. El acceso SSH se produce mediante una API interna diseñada específicamente para administrar servicios de Google Cloud. Este método puede mutar el contenido y la configuración de los clientes.	Acceso SSH a una instancia de Compute Engine del cliente Acceso SSH a una instancia de Cloud SQL de un cliente
`GoogleInternal.Update`	Indica una modificación realizada en el contenido de clientes con una justificación empresarial válida. La acción de actualización se produce mediante una API interna que está diseñada específicamente para administrar servicios de Google Cloud. Este método modifica el contenido o la configuración del cliente.	Actualiza las claves HMAC en Cloud Storage.
`GoogleInternal.Get`	Indica que se realizó una acción en el contenido de los clientes con una justificación empresarial válida. La acción get se produce con una API interna que está diseñada específicamente para administrar los servicios de Google Cloud. Este método no muta el contenido ni la configuración del cliente.	Recupera la política de IAM para un recurso. Recuperar un trabajo de Dataflow de un cliente
`GoogleInternal.Query`	Indica una acción de consulta realizada en el contenido del cliente con una justificación empresarial válida. La acción de consulta se realiza mediante una API interna que está diseñada específicamente para administrar los servicios de Google Cloud. Este método no muta el contenido ni la configuración del cliente.	Ejecutar una consulta de BigQuery Búsqueda de la consola de depuración de AI Platform en el contenido del cliente.

Códigos de los motivos de justificación

Motivo	Descripción
`CUSTOMER_INITIATED_SUPPORT`	Asistencia que inició el cliente, por ejemplo, un número de caso: ####"
`GOOGLE_INITIATED_SERVICE`	Se refiere al acceso iniciado por Google para la administración del sistema y la solución de problemas. El personal de Google puede hacer este tipo de acceso por los siguientes motivos: Realizar la depuración técnica necesaria para una investigación o solicitud de asistencia compleja. Para solucionar problemas técnicos, como fallas de almacenamiento o daños en los datos
`THIRD_PARTY_DATA_REQUEST`	Acceso iniciado por Google en respuesta a una solicitud legal o un proceso legal, incluso cuando se responde al proceso legal del cliente que requiere que Google acceda a sus propios datos.
`GOOGLE_INITIATED_REVIEW`	Acceso iniciado por Google con fines de seguridad, fraude, abuso o cumplimiento, incluidos los siguientes: Garantizar la seguridad de las cuentas y los datos de los clientes Confirmar si los datos se ven afectados por un evento que podría afectar la seguridad de la cuenta (por ejemplo, infecciones por software malicioso) Confirmar si el cliente usa los servicios de Google en conformidad con las Condiciones del Servicio de Google Investigar las quejas de otros usuarios y clientes, o de otras señales de actividad abusiva. Verificar que los servicios de Google se usen de manera coherente con regímenes de cumplimiento relevantes (por ejemplo, normas contra el lavado de dinero)
`GOOGLE_RESPONSE_TO_PRODUCTION_ALERT`	Se refiere al acceso iniciado por Google para mantener la confiabilidad del sistema. El personal de Google puede hacer este tipo de acceso por los siguientes motivos: Investigar y confirmar que una sospecha de interrupción del servicio no afecta al cliente Para garantizar la copia de seguridad y la recuperación ante interrupciones y fallas del sistema

Supervisa los registros de Transparencia de acceso

Puedes supervisar los registros de Transparencia de acceso mediante la API de Cloud Monitoring. Para comenzar, consulta la documentación de Cloud Monitoring.

Puedes configurar una métrica basada en registros y, luego, configurar una política de alertas para que conozcas a tiempo los problemas que muestran estos registros. Por ejemplo, puedes crear una métrica basada en registros que capture el acceso del personal de Google a tu contenido y, luego, crear una política de alertas en Monitoring que te informe si la cantidad de accesos en un período determinado supera un límite especificado.

¿Qué sigue?

Obtén información sobre cómo ver y comprender los registros de Transparencia de acceso de los servicios de Google Workspace.