Access Transparency-Logs verstehen und verwenden

Auf dieser Seite wird der Inhalt der Logeinträge von Zugriffstransparenz erläutert und wie sie angezeigt und verwendet werden können.

Zugriffstransparenzlogs im Detail

Zugriffstransparenzlogs können in Ihre vorhandenen SIEM-Tools eingebunden werden, um Ihre Audits von Google-Mitarbeitern für den Zugriff auf Ihre Inhalte zu automatisieren. Access Transparency-Logs sind in der Google Cloud Console neben Ihren Cloud-Audit-Logs verfügbar.

Access Transparency-Logeinträge umfassen folgende Informationen:

  • Die betroffene Ressource und Aktion
  • Die Zeit der Aktion
  • Die Gründe für die Aktion (z. B. die Fallnummer, die mit einer Kundensupportanfrage verknüpft ist)
  • Daten darüber, wer im Content handelt, z. B. der Standort des Google-Personals.

Zugriffstransparenz konfigurieren

Informationen zum Konfigurieren von Zugriffstransparenzlogs finden Sie in der Übersicht über die Zugriffstransparenz.

Zugriffstransparenzlogs ansehen

Nachdem Sie Zugriffstransparenz für Ihre Google Cloud-Organisation konfiguriert haben, können Sie festlegen, wer auf die Zugriffstransparenzlogs zugreifen kann. Weisen Sie dazu einem Nutzer oder einer Gruppe die Rolle Betrachter privater Logs zu. Weitere Informationen finden Sie in der Anleitung für die Cloud Logging-Zugriffssteuerung.

Sie können die Zugriffstransparenzlogs mit dem folgenden Logging-Filter der Operations Suite von Google Cloud aufrufen.

logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Informationen zum Abrufen Ihrer Access Transparency-Logs im Log-Explorer finden Sie unter Log-Explorer verwenden.

Sie können die Logs auch mithilfe der Cloud Monitoring API oder mithilfe von Cloud Functions überwachen. Informationen zum Einstieg finden Sie in der Dokumentation zu Cloud Monitoring.

Optional: Erstellen Sie einen logbasierten Messwert und richten Sie dann eine Benachrichtigungsrichtlinie ein, um rechtzeitig auf Probleme aufmerksam zu machen, die von diesen Logs aufgedeckt werden.

Beispiel für einen Eintrag im Access Transparency-Log

Es folgt ein Beispiel für einen Eintrag im Zugriffstransparenzlog:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Logfeldbeschreibungen

Feld Beschreibung
insertId Eindeutige Kennzeichnung für das Log
@type Zugriffstransparenzlog-ID
principalOfficeCountry ISO 3166-1: Alpha-2-Code des Landes, in dem die zugreifende Person einen dauerhaften Sitz hat, ?? wenn kein Standort verfügbar ist, oder 3-stellige Kontinent-ID für Google-Mitarbeiter in einem Land mit geringem Bevölkerungsanteil.
principalEmployingEntity Die Entität, die den zugreifenden Google-Mitarbeiter beschäftigt (z. B. Google LLC).
principalPhysicalLocationCountry ISO 3166-1 Alpha-2-Code des Landes, aus dem der Zugriff erfolgte, ?? falls kein Standort verfügbar ist oder 3-stellige Kontinent-ID für Google-Mitarbeiter in einem Land mit geringem Bevölkerungsanteil
product GCP-Produkt des Kunden, auf das zugegriffen wurde
reason:detail Details zum Grund, z. B. eine Support-Ticket-ID
reason:type Typ des Grundes für den Zugriff, z. B. CUSTOMER_INITIATED_SUPPORT)
accesses:methodName Welche Art von Zugriff erfolgte (z. B. GoogleInternal.Read)
accesses:resourceName Name der Ressource, auf die zugegriffen wurde
accessApprovals Enthält die Ressourcennamen von Zugriffsgenehmigungsanfragen, die den Zugriff genehmigt haben. Diese Anfragen unterliegen Ausschlüsse und unterstützten Diensten.

Dieses Feld wird nur ausgefüllt, wenn die Zugriffsgenehmigung für die aufgerufenen Ressourcen aktiviert ist. Zugriffstransparenz-Logs, die vor dem Datum veröffentlicht wurden Seit dem 24. März 2021 wird dieses Feld nicht ausgefüllt.
logName Name des Logspeicherorts
operation:id Logcluster-ID
receiveTimestamp Zeitpunkt, zu dem der Zugriff von der Logpipeline empfangen wurde.
project_id Der Ressource zugeordnetes Projekt, auf das zugegriffen wurde.
type Typ der Ressource, auf die zugegriffen wurde (z. B. project)
severity Logschweregrad
timestamp Zeit, zu der das Log geschrieben wurde

Begründungscodes

Grund Beschreibung
CUSTOMER_INITIATED_SUPPORT Durch den Kunden initiierter Support, zum Beispiel Case Number: ####
GOOGLE_INITIATED_SERVICE Von Google initiierter Zugriff, z. B. zur Systemverwaltung und Fehlerbehebung, einschließlich:
  • Sicherung und Wiederherstellung nach Ausfällen und Systemfehlern
  • Prüfungen zur Bestätigung, dass der Kunde von mutmaßlichen Serviceproblemen nicht betroffen ist
  • Behebung von technischen Problemen, wie Speicherfehler oder Datenschäden
THIRD_PARTY_DATA_REQUEST Vom Kunden initiierter Zugriff durch Google, um auf ein rechtliches Ersuchen oder ein gerichtliches Verfahren zu reagieren, auch wenn auf ein gerichtliches Verfahren des Kunden reagiert wird, bei dem Google auf die eigenen Inhalte des Kunden zugreifen muss. Beachten Sie, dass die Zugriffstransparenzlogs in diesem Fall möglicherweise nicht verfügbar sind, wenn Google Sie rechtlich nicht über ein solches Ersuchen oder einen solchen Prozess informieren darf.
GOOGLE_INITIATED_REVIEW Von Google initiierte Zugriffe im Zusammenhang mit Sicherheitsaspekten, Betrugs-, Missbrauchsfällen oder zu Compliance-Zwecken, einschließlich:
  • Gewährleistung der Sicherheit von Kundenkonten und -inhalten
  • Bestätigung, ob Inhalte von einem Ereignis betroffen sind, das sich auf die Kontosicherheit auswirken kann (z. B. Malware-Infektionen)
  • Bestätigung, ob der Kunde Google-Dienste gemäß den Nutzungsbedingungen von Google nutzt
  • Prüfung von Beschwerden anderer Nutzer und Kunden oder anderer Hinweise auf missbräuchliche Aktivitäten
  • Überprüfung, ob Google-Dienste regelmäßig mit den entsprechenden Compliance-Standards verwendet werden (z. B. Anti-Geldwäsche-Bestimmungen)

Zugriffstransparenzlogs überwachen

Sie können Access Transparency-Logs mit der Cloud Monitoring API überwachen. Informationen zur Einrichtung finden Sie in der Cloud Monitoring-Dokumentation.

Sie können einen logbasierten Messwert einrichten und dann eine Benachrichtigungsrichtlinie einrichten, um rechtzeitig auf Probleme aufmerksam zu machen. von diesen Logs. Sie können beispielsweise einen logbasierten Messwert erstellen, der Google-Mitarbeiter den Zugriff auf Ihre Inhalte ermöglicht, und dann in Monitoring eine Benachrichtigungsrichtlinie erstellen, damit Sie informiert werden, wenn die Anzahl der Zugriffe in einem bestimmten Zeitraum festgelegt wurde.