Zugriffstransparenzlogs lesen

Auf dieser Seite wird der Inhalt der Logeinträge von Zugriffstransparenz erläutert.

Zugriffstransparenzlogs im Detail

Die Zugriffstransparenz bietet Ihnen Logs der Aktionen, die von Google-Mitarbeitern in den Inhalten Ihrer Google Cloud-Organisation ausgeführt werden. Zugriffstransparenzlogs, zusammen mit den Cloud-Audit-Logging-Logs, in denen die von Ihren internen Mitgliedern durchgeführten Aktionen protokolliert werden, können Antworten auf Fragen wie "Wer hat was, wo und wann getan?" liefern.

Zugriffstransparenzlogs können in Ihre vorhandenen SIEM-Tools eingebunden werden, um Ihre Audits dieser Aktionen zu automatisieren. Diese Logs stehen in der Google Cloud Console neben Ihren Cloud-Audit-Logs zur Verfügung.

Einträge im Zugriffstransparenzlog enthalten diese Details:

  • Die betroffene Ressource und Aktion
  • Die Zeit der Aktion
  • Die Gründe für die Aktion (z. B. die Fallnummer, die mit einer Kundensupportanfrage verknüpft ist)
  • Daten darüber, wer im Content handelt, z. B. der Standort des Google-Personals.

Zugriffstransparenz einrichten

Informationen zum Konfigurieren von Zugriffstransparenzlogs finden Sie in der Übersicht über die Zugriffstransparenz.

Zugriffstransparenzlogs ansehen

Nachdem Sie Zugriffstransparenz für Ihre Google Cloud-Organisation konfiguriert haben, können Sie festlegen, wer auf die Zugriffstransparenzlogs zugreifen kann. Weisen Sie dazu einem Nutzer oder einer Gruppe die Rolle Betrachter privater Logs zu. Weitere Informationen finden Sie in der Anleitung für die Zugriffssteuerung.

Informationen zum Abrufen der Zugriffstransparenzlogs in der Loganzeige finden Sie unter Logs ansehen.

Sie können die Logs mithilfe der Cloud Monitoring API oder von Cloud Functions überwachen. Informationen zum Einstieg finden Sie in der Dokumentation zu Cloud Monitoring.

Optional: Erstellen Sie einen logbasierten Messwert und richten Sie dann eine Benachrichtigungsrichtlinie ein, um rechtzeitig auf Probleme aufmerksam zu machen, die von diesen Logs aufgedeckt werden.

Beispiel für ein Zugriffstranzparenzlog

Es folgt ein Beispiel für einen Eintrag im Zugriffstransparenzlog:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Logfeldbeschreibungen

Feld Beschreibung
insertId Eindeutige Kennzeichnung für das Log
@type Zugriffstransparenzlog-ID
principalOfficeCountry ISO 3166-1: Alpha-2-Code des Landes, in dem die zugreifende Person einen dauerhaften Sitz hat, ?? wenn kein Standort verfügbar ist, oder 3-stellige Kontinent-ID für Google-Mitarbeiter in einem Land mit geringem Bevölkerungsanteil.
principalEmployingEntity Die Entität, die den zugreifenden Google-Mitarbeiter beschäftigt (z. B. Google LLC).
principalPhysicalLocationCountry ISO 3166-1 Alpha-2-Code des Landes, aus dem der Zugriff erfolgte, ?? falls kein Standort verfügbar ist oder 3-stellige Kontinent-ID für Google-Mitarbeiter in einem Land mit geringem Bevölkerungsanteil
product GCP-Produkt des Kunden, auf das zugegriffen wurde
reason:detail Details zum Grund, z. B. eine Support-Ticket-ID
reason:type Typ des Grundes für den Zugriff, z. B. CUSTOMER_INITIATED_SUPPORT)
accesses:methodName Welche Art von Zugriff erfolgte (z. B. GoogleInternal.Read)
accesses:resourceName Name der Ressource, auf die zugegriffen wurde
logName Name des Logspeicherorts
operation:id Logcluster-ID
receiveTimestamp Zeitpunkt, zu dem der Zugriff von der Logpipeline empfangen wurde.
project_id Der Ressource zugeordnetes Projekt, auf das zugegriffen wurde.
type Typ der Ressource, auf die zugegriffen wurde (z. B. project)
severity Logschweregrad
timestamp Zeit, zu der das Log geschrieben wurde

Begründungscodes

Grund Beschreibung
CUSTOMER_INITIATED_SUPPORT Durch den Kunden initiierter Support, zum Beispiel Case Number: ####
GOOGLE_INITIATED_SERVICE Von Google initiierter Zugriff, z. B. zur Systemverwaltung und Fehlerbehebung, einschließlich:
  • Sicherung und Wiederherstellung nach Ausfällen und Systemfehlern
  • Prüfungen zur Bestätigung, dass der Kunde von mutmaßlichen Serviceproblemen nicht betroffen ist
  • Behebung von technischen Problemen, wie Speicherfehler oder Datenschäden
THIRD_PARTY_DATA_REQUEST Vom Kunden initiierter Zugriff durch Google, um auf ein rechtliches Ersuchen oder ein gerichtliches Verfahren zu reagieren, auch wenn auf ein gerichtliches Verfahren des Kunden reagiert wird, bei dem Google auf die eigenen Inhalte des Kunden zugreifen muss. Beachten Sie, dass die Zugriffstransparenzlogs in diesem Fall möglicherweise nicht verfügbar sind, wenn Google Sie rechtlich nicht über ein solches Ersuchen oder einen solchen Prozess informieren darf.
GOOGLE_INITIATED_REVIEW Von Google initiierte Zugriffe im Zusammenhang mit Sicherheitsaspekten, Betrugs-, Missbrauchsfällen oder zu Compliance-Zwecken, einschließlich:
  • Gewährleistung der Sicherheit von Kundenkonten und -inhalten
  • Bestätigung, ob Inhalte von einem Ereignis betroffen sind, das sich auf die Kontosicherheit auswirken kann (z. B. Malware-Infektionen)
  • Bestätigung, ob der Kunde Google-Dienste gemäß den Nutzungsbedingungen von Google nutzt
  • Prüfung von Beschwerden anderer Nutzer und Kunden oder anderer Hinweise auf missbräuchliche Aktivitäten
  • Überprüfung, ob Google-Dienste in Übereinstimmung mit relevanten Compliance-Regelungen genutzt werden (z. B. Anti-Geldwäsche-Bestimmungen)