Se usó la API de Cloud Translation para traducir esta página.

Comprender y usar los registros de Transparencia de acceso

En esta página, se describe el contenido de las entradas de registro de Transparencia de acceso y cómo verlas y usarlas.

Registros de Transparencia de acceso detallados

Los registros de Transparencia de acceso se pueden integrar a tus herramientas existentes de información de seguridad y administración de eventos (SIEM) para automatizar las auditorías del personal de Google cuando acceden a tu contenido. Los registros de Transparencia de acceso están disponibles en Google Cloud Console junto con tus registros de Cloud Audit Logging.

En las entradas de registro de Transparencia de acceso, se incluyen los siguientes tipos de detalles:

Acción y recurso afectados
Hora de la acción
Motivos de la acción (por ejemplo, el número de caso asociado a una solicitud de atención al cliente)
Datos acerca de quién trabaja con el contenido (por ejemplo, la ubicación del personal de Google)

Configura la Transparencia de acceso

Para configurar los registros de Transparencia de acceso, consulta la Descripción general de Transparencia de acceso.

Visualiza los registros de Transparencia de acceso

Una vez que hayas configurado la Transparencia de acceso para tu organización de Google Cloud, puedes configurar controles para quién puede acceder a los registros de Transparencia de acceso si asignas a un usuario o grupo la función Lector de registros privados. Consulta la guía de control de acceso de Cloud Logging para obtener más detalles.

Para ver los registros de la Transparencia de acceso, usa el siguiente filtro de operaciones del paquete de operaciones de Google Cloud.

logName="projects/<your-project-id>/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Para obtener información sobre cómo ver los registros de Transparencia de acceso en el Explorador de registros, consulta Usa el Explorador de registros.

También puedes supervisar los registros con la API de Cloud Monitoring o con Cloud Functions. Para comenzar, consulta la documentación de Cloud Monitoring.

Crea una métrica basada en registros y, luego, configura una política de alertas para enterarte a tiempo de los problemas que presentan estos registros (opcional).

Ejemplo de una entrada de registro de Transparencia de acceso

El siguiente es un ejemplo de una entrada de registro de Transparencia de acceso:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Descripciones de los campos de registros

Campo	Descripción
`insertId`	Identificador único del registro
`@type`	Identificador de registro de Transparencia de acceso
`principalOfficeCountry`	Código de país ISO 3166-1 alfa-2 correspondiente al país en el que quien accedió tiene un escritorio permanente, `??` si la ubicación no está disponible o un identificador de continente de 3 caracteres si el personal de Google se encuentra en un país con baja población.
`principalEmployingEntity`	La entidad que emplea al personal de Google que realiza el acceso (por ejemplo, `Google LLC`).
`principalPhysicalLocationCountry`	Código de país ISO 3166-1 alfa-2 correspondiente al país desde el que se logró el acceso, `??` si la ubicación no está disponible o un identificador de continente de 3 caracteres si el personal de Google se encuentra en un país con baja población.
`product`	Producto de GCP del cliente al que se accedió
`reason:detail`	Detalles del motivo, por ejemplo, el ID de un ticket de asistencia
`reason:type`	Acceso al tipo de motivo (por ejemplo, `CUSTOMER_INITIATED_SUPPORT)`)
`accesses:methodName`	Tipo de acceso que se realizó (por ejemplo, `GoogleInternal.Read`)
`accesses:resourceName`	Nombre del recurso al que se accedió
`accessApprovals`	Incluye los nombres de recursos de las solicitudes de Aprobación de acceso que aprobaron el acceso. Estas solicitudes están sujetas a exclusiones y servicios compatibles. Este campo solo se propaga si la Aprobación de acceso está habilitada para los recursos a los que se accede. Los registros de Transparencia de acceso publicados antes de la fecha 24 de marzo de 2021 no mostrarán este campo.
`logName`	Nombre de la ubicación del registro
`operation:id`	ID de clúster del registro
`receiveTimestamp`	Hora en la que la canalización del registro recibió el acceso
`project_id`	Proyecto asociado al recurso al que se accedió
`type`	Tipo de recurso al que se accedió (por ejemplo, `project`)
`severity`	Gravedad del registro
`timestamp`	Hora en la que se escribió el registro

Códigos de los motivos de justificación

Motivo	Descripción
`CUSTOMER_INITIATED_SUPPORT`	Asistencia que inició el cliente, por ejemplo, `Case Number: ####`
`GOOGLE_INITIATED_SERVICE`	Acceso que inició Google, por ejemplo, para realizar la administración del sistema y la solución de problemas, que incluye lo siguiente: Copia de seguridad y recuperación ante interrupciones y fallas del sistema Investigación para confirmar que el cliente no se ve afectado por los presuntos problemas de servicio Solución de problemas técnicos, fallas de almacenamiento o corrupción de datos
`THIRD_PARTY_DATA_REQUEST`	Google accede a los datos del cliente para responder a solicitudes o procesos legales, incluido el caso cuando responde a un proceso legal del cliente que requiere que Google acceda al contenido de este. Ten en cuenta que, en este caso, es posible que los registros de Transparencia de acceso no estén disponibles si Google no puede informar al cliente de forma legal sobre esa solicitud o proceso.
`GOOGLE_INITIATED_REVIEW`	Google inició el acceso por motivos de seguridad, fraude, abuso o cumplimiento, incluidos los siguientes: Garantizar la seguridad y la protección de las cuentas y el contenido de los clientes Confirmar si el contenido se ve afectado por un evento que podría tener consecuencias en la seguridad de la cuenta (por ejemplo, infecciones con software malicioso) Confirmar si el cliente usa los servicios de Google en conformidad con las Condiciones del Servicio de Google Investigar reclamos de otros usuarios y clientes o alguna otra señal de actividad inadecuada Verificar que los servicios de Google se usen de acuerdo con los estándares de cumplimiento relevantes (por ejemplo, las normativas contra el lavado de dinero)

Supervisa los registros de Transparencia de acceso

Puedes supervisar los registros de Transparencia de acceso con la API de Cloud Monitoring. Para comenzar, consulta la documentación de Cloud Monitoring.

Puedes configurar una métrica basada en registros y, luego, configurar una política de alertas para conocer a tiempo los problemas que se muestran de forma oportuna. en estos registros. Por ejemplo, puedes crear una métrica basada en registros que capture el acceso de tu contenido por parte de Google y, luego, crear una política de alertas en Monitoring que te indique si la cantidad de accesos en un período determinado supera. un umbral específico.