Lire les journaux Access Transparency

Cette page décrit le contenu des entrées de journal Access Transparency.

Les journaux Access Transparency en détail

Access Transparency fournit des journaux répertoriant les actions réalisées par le personnel de Google sur les contenus de votre organisation Google Cloud. Les journaux Access Transparency, ainsi que les journaux Cloud Audit Logging des actions entreprises par vos propres membres internes, peuvent vous aider à répondre aux questions de type "Qui a fait quoi, où et quand ?"

Les journaux Access Transparency peuvent être intégrés à vos outils de gestion des informations et des événements de sécurité (SIEM) existants afin d'automatiser les contrôles que vous souhaitez effectuer sur ces actions. Ces journaux sont disponibles dans Google Cloud Console en plus de vos journaux Cloud Audit.

Les entrées de journal Access Transparency incluent les types d'informations suivants :

  • La ressource et l'action affectées
  • Le moment où l'action a été effectuée
  • Le motif de l'action (par exemple, le numéro de dossier associé à une demande d'assistance)
  • Des données concernant les personnes agissant sur le contenu (par exemple, la position géographique du personnel de Google)

Configurer Access Transparency

Consultez la présentation d'Access Transparency pour configurer les journaux Access Transparency.

Afficher les journaux Access Transparency

Une fois que vous avez configuré Access Transparency pour votre organisation Google Cloud, définissez des contrôles d'accès aux journaux Access Transparency en attribuant le rôle Lecteur des journaux privés à un utilisateur ou à un groupe. Consultez le guide de contrôle d'accès de Logging pour en savoir plus.

Pour découvrir comment afficher vos journaux Access Transparency dans l'explorateur de journaux, consultez la page Utiliser l'explorateur de journaux.

Vous pouvez surveiller les journaux à l'aide de l'API Cloud Monitoring ou de Cloud Functions. Pour commencer, consultez la documentation de Cloud Monitoring.

Facultatif : créez une métrique basée sur les journaux, puis configurez une règle d'alerte pour être rapidement informé en cas de problèmes révélés par ces journaux.

Exemple de journal Access Transparency

Voici un exemple d'entrée de journal Access Transparency :

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
 }
 logName:  "projects/Google Cloud project/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Description des champs de journal

Champ Description
insertId Identifiant unique pour le journal.
@type Identifiant de journal Access Transparency.
principalOfficeCountry Code de pays ISO 3166-1 alpha-2 du pays dans lequel l'accesseur dispose d'un bureau permanent, ?? si l'emplacement n'est pas disponible ou que l'identifiant de continent à trois caractères du personnel de Google correspond à un pays à faible population.
principalEmployingEntity Entité qui emploie le personnel de Google effectuant l'accès (par exemple, Google LLC).
principalPhysicalLocationCountry Code de pays ISO 3166-1 alpha-2 du pays à partir duquel l'accès a été effectué, ?? si l'emplacement n'est pas disponible ou que l'identifiant de continent à trois caractères du personnel de Google correspond à un pays à faible population.
product Produit GCP du client ayant fait l'objet d'un accès.
reason:detail Détail du motif (par exemple, un ID de demande d'assistance).
reason:type Accédez au type de motif, par exemple, CUSTOMER_INITIATED_SUPPORT).
accesses:methodName Type d'accès, par exemple, GoogleInternal.Read.
accesses:resourceName Nom de la ressource qui a fait l'objet de l'accès.
logName Nom de l'emplacement du journal.
operation:id ID du cluster du journal.
receiveTimestamp Heure à laquelle l'accès a été enregistré par le pipeline de journalisation.
project_id Projet associé à la ressource ayant fait l'objet d'un accès.
type Type de ressource ayant fait l'objet d'un accès (par exemple, project).
severity Niveau de gravité du journal.
timestamp Date et heure de création du journal.

Codes de motifs de justification

Motif Description
CUSTOMER_INITIATED_SUPPORT Demande d'assistance initiée par le client, par exemple, Case Number: ####
GOOGLE_INITIATED_SERVICE Accès initié par Google pour effectuer des opérations de gestion et de dépannage du système, telles que les suivantes :
  • Sauvegarde et récupération à la suite de pannes et de défaillances du système
  • Enquête pour confirmer que le client n'est pas touché par des problèmes de service suspectés
  • Correction de problèmes techniques, tels qu'un échec de stockage ou une corruption de données
THIRD_PARTY_DATA_REQUEST Le client a initié un accès requis par Google afin de répondre à une demande ou à un processus de nature juridique. Cela inclut les cas où Google répond à une demande du client nécessitant un accès à son contenu. Notez que, dans ce cas, les journaux Access Transparency peuvent ne pas être disponibles si Google ne peut pas informer légalement le client d'une telle demande ou d'un tel processus.
GOOGLE_INITIATED_REVIEW Accès initié par Google à des fins de sécurité, de prévention des risques de fraude et d'abus ou de conformité, y compris :
  • assurer la sûreté et la sécurité des comptes client et du contenu ;
  • vérifier si le contenu est touché par un événement susceptible d'affecter la sécurité du compte (par exemple, les infections par des logiciels malveillants) ;
  • vérifier si le client exploite les services Google conformément aux Conditions d'utilisation de Google ;
  • enquêter sur les plaintes d'autres utilisateurs et clients, ou sur d'autres signes d'activité abusive ;
  • vérifier que les services Google sont utilisés de manière cohérente avec les régimes de conformité pertinents (par exemple, les réglementations contre le blanchiment d'argent).