En esta página, se describe el contenido de las entradas de registro de Transparencia de acceso.
Registros de Transparencia de acceso detallados
La Transparencia de acceso te proporciona los registros de las acciones que realiza el personal de Google en el contenido de la organización de Google Cloud. Los registros de Transparencia de acceso, además de los registros de auditoría de Cloud de las acciones que realizan tus propios miembros internos, pueden ayudarte a responder preguntas como “¿Quién hizo qué, dónde y cuándo?”.
Los registros de Transparencia de acceso se pueden integrar a tus herramientas existentes de información de seguridad y administración de eventos (SIEM) para automatizar las auditorías de estas acciones. Estos registros están disponibles en Google Cloud Console junto con tus registros de Cloud Audit Logging.
Las entradas de registro de Transparencia de acceso incluyen los siguientes tipos de detalles:
- Acción y recurso afectados
- Hora de la acción
- Motivos de la acción (por ejemplo, el número de caso asociado a una solicitud de atención al cliente)
- Datos acerca de quién trabaja con el contenido (por ejemplo, la ubicación del personal de Google)
Configura la Transparencia de acceso
Para configurar los registros de Transparencia de acceso, consulta la Descripción general de Transparencia de acceso.
Visualiza los registros de Transparencia de acceso
Cuando hayas configurado la Transparencia de acceso en tu organización de Google Cloud, configura los controles a fin de determinar quién puede acceder a los registros de Transparencia de acceso. Para hacerlo, asígnale a un usuario o un grupo la función de visualizador de registros privados. Consulta la guía de control de acceso de Logging para obtener más detalles.
Para obtener información sobre cómo ver los registros de Transparencia de acceso en el visor de registros, consulta Visualiza los registros.
Puedes supervisar los registros mediante Cloud Functions o la API de Cloud Monitoring. Para comenzar, consulta la documentación de Cloud Monitoring.
Crea una métrica basada en registros y, luego, configura una política de alertas para enterarte a tiempo de los problemas que presentan estos registros (opcional).
Ejemplo de registro de Transparencia de acceso
El siguiente es un ejemplo de una entrada de registro de Transparencia de acceso:
{
insertId: "abcdefg12345"
jsonPayload: {
@type: "type.googleapis.com/google.cloud.audit.TransparencyLog"
location: {
principalOfficeCountry: "US"
principalEmployingEntity: "Google LLC"
principalPhysicalLocationCountry: "CA"
}
product: [
0: "Cloud Storage"
]
reason: [
detail: "Case number: bar123"
type: "CUSTOMER_INITIATED_SUPPORT"
]
accesses: [
0: {
methodName: "GoogleInternal.Read"
resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
}
]
}
logName: "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
operation: {
id: "12345xyz"
}
receiveTimestamp: "2017-12-18T16:06:37.400577736Z"
resource: {
labels: {
project_id: "1234567890"
}
type: "project"
}
severity: "NOTICE"
timestamp: "2017-12-18T16:06:24.660001Z"
}
Descripciones de los campos de registros
| Campo | Descripción |
|---|---|
insertId |
Identificador único del registro |
@type |
Identificador de registro de Transparencia de acceso |
principalOfficeCountry |
Código de país ISO 3166-1 alfa-2 correspondiente al país en el que quien accedió tiene un escritorio permanente, ?? si la ubicación no está disponible o un identificador de continente de 3 caracteres si el personal de Google se encuentra en un país con baja población. |
principalEmployingEntity |
La entidad que emplea al personal de Google que realiza el acceso (por ejemplo, Google LLC). |
principalPhysicalLocationCountry |
Código de país ISO 3166-1 alfa-2 correspondiente al país desde el que se logró el acceso, ?? si la ubicación no está disponible o un identificador de continente de 3 caracteres si el personal de Google se encuentra en un país con baja población. |
product |
Producto de GCP del cliente al que se accedió |
reason:detail |
Detalles del motivo, por ejemplo, el ID de un ticket de asistencia |
reason:type |
Acceso al tipo de motivo (por ejemplo, CUSTOMER_INITIATED_SUPPORT)) |
accesses:methodName |
Tipo de acceso que se realizó (por ejemplo, GoogleInternal.Read) |
accesses:resourceName |
Nombre del recurso al que se accedió |
logName |
Nombre de la ubicación del registro |
operation:id |
ID de clúster del registro |
receiveTimestamp |
Hora en la que la canalización del registro recibió el acceso |
project_id |
Proyecto asociado al recurso al que se accedió |
| type | Tipo de recurso al que se accedió (por ejemplo, project) |
severity |
Gravedad del registro |
timestamp |
Hora en la que se escribió el registro |
Códigos de los motivos de justificación
Motivo
Descripción
CUSTOMER_INITIATED_SUPPORTAsistencia que inició el cliente, por ejemplo,
Case Number: ####
GOOGLE_INITIATED_SERVICEAcceso que inició Google, por ejemplo, para realizar la administración del sistema y la solución de problemas, que incluye lo siguiente:
THIRD_PARTY_DATA_REQUESTGoogle accede a los datos del cliente para responder a solicitudes o procesos legales, incluido el caso cuando responde a un proceso legal del cliente que requiere que Google acceda al contenido de este. Ten en cuenta que, en este caso, es posible que los registros de Transparencia de acceso no estén disponibles si Google no puede informar al cliente de forma legal sobre esa solicitud o proceso.
GOOGLE_INITIATED_REVIEWGoogle inició el acceso por motivos de seguridad, fraude, abuso o cumplimiento, incluidos los siguientes: