Cómo leer los registros de Transparencia de acceso

En esta página, se describe cómo comenzar a usar Transparencia de acceso, los contenidos de los registros de Transparencia de acceso y el significado de las entradas de registro.

Registros de Transparencia de acceso en detalle

Con el uso de los registros de Transparencia de acceso con Cloud Audit Logging, puedes auditar un registro de acciones tomadas por los propios miembros de tu organización interna y el personal de Google. Los registros de Transparencia de acceso también se pueden integrar a tus herramientas SIEM existentes para automatizar tus auditorías de estas acciones.

Los registros de Transparencia de acceso están disponibles en Google Cloud Platform Console junto con los registros de Cloud Audit Logging. Incluyen los siguientes tipos de detalles:

  • La acción y el recurso afectados
  • La hora de la acción
  • El motivo de la acción (por ejemplo, el número de caso asociado con una solicitud de atención al cliente)
  • Datos sobre los miembros del personal de Google que actúan sobre los datos (por ejemplo, la ubicación del miembro del personal)

Configura y usa Transparencia de acceso

  1. A fin de configurar los registros de Transparencia de acceso, consulta Configura Transparencia de acceso.

  2. En Google Cloud Platform Console, establece controles para quién puede acceder a los registros de Transparencia de acceso mediante la asignación de Visor de registros privado a un usuario o grupo. Consulta la guía de control de acceso de Logging para obtener más detalles.

  3. Consulta tus registros de Transparencia de acceso en el Visor de registros.

  4. Opcional: crea una métrica basada en registros y luego configura una política de alertas para que tengas conocimiento temprano de los problemas que surgen de estos registros de auditoría.

Registros de Transparencia de acceso de muestra

El siguiente es un ejemplo de una entrada de registro de Transparencia de acceso:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Descripciones de los campos de registros

Campo Descripción
insertId ID de registro único.
@type Identificador de registro de Transparencia de acceso.
principalOfficeCountry Código de país ISO 3166-1 alpha-2 del país en el que el usuario que accede tiene un escritorio permanente, “??” si la ubicación no está disponible o el identificador de continente de 3 caracteres si el empleado de Google está en un país con baja población (ASI, EUR, OCE, AFR, NAM, SAM, ANT).
principalEmployingEntity La entidad de Google que emplea a la persona que realiza el acceso (por ej. “Google LLC”).
principalPhysicalLocationCountry Código de país ISO 3166-1 alpha-2 de país desde el cual se hizo el acceso, “??” si la ubicación no está disponible o el identificador del continente de 3 caracteres si el empleado de Google está en un país de baja población (ASI, EUR, OCE, AFR, NAM, SAM, ANT).
product Producto de Google Cloud del cliente al que se accedió.
reason:detail Detalles del motivo, por ejemplo, el ID de un ticket de asistencia.
reason:type Acceso al tipo de motivo (por ejemplo, CUSTOMER_INTIATED_SUPPORT).
accesses:methodName Qué tipo de acceso se realizó (por ejemplo, “GoogleInternal.Read”).
accesses:resourceName Nombre del recurso al que se accedió.
logName Nombre de la ubicación del registro.
operation:id ID de clúster del registro.
receiveTimestamp Hora en la que la canalización del registro recibió el acceso.
project_id Proyecto asociado con recurso al que se accedió.
type Tipo de recurso al que se accedió (por ejemplo, “proyecto”).
severity Gravedad del registro.
timestamp Hora en que se escribió el registro.

Códigos de los motivos de justificación

Motivo Descripción
CUSTOMER_INTIATED_SUPPORT Asistencia que inició el cliente, por ejemplo,

Case Number: ####
GOOGLE_INITIATED_SERVICE Los accesos que inició Google para realizar administración del sistema y solución de problemas, que incluyen lo siguiente:
  • Copia de seguridad y recuperación ante interrupciones y fallas del sistema
  • Investigación para confirmar que el cliente no se ve afectado por los presuntos problemas de servicio
  • Solución de problemas técnicos, fallas de almacenamiento o corrupción de datos
THIRD_PARTY_DATA_REQUEST Google accede a los datos del cliente para responder a solicitudes o procesos legales, incluso cuando respondemos a un proceso legal del cliente que requiere que accedamos a sus propios datos. Ten en cuenta que los registros de Transparencia de acceso, en este caso, pueden no estar disponibles si Google no puede informarte de forma legal sobre esa solicitud o proceso.
GOOGLE_INITIATED_REVIEW Google inició el acceso por motivos de seguridad, fraude, abuso o cumplimiento, incluidos los siguientes:
  • Asegurar la seguridad y protección de las cuentas y los datos de clientes
  • Confirmar si los datos se están afectados por un evento que podría causar un impacto en la seguridad de la cuenta (por ejemplo, infecciones con software malicioso)
  • Confirmar si el cliente usa los servicios de Google en conformidad con las Condiciones del Servicio de Google
  • Investigar reclamos de otros usuarios y clientes o alguna otra señal de actividad inadecuada
  • Verificar que los servicios de Google se usen de forma consistente con los regímenes de cumplimiento relevantes (por ejemplo, las regulaciones contra el lavado de dinero)
¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Stackdriver Logging
¿Necesitas ayuda? Visita nuestra página de asistencia.