このページでは、アクセスの透明性ログエントリの内容について説明します。
アクセスの透明性ログの詳細
アクセスの透明性を実現することで、お客様の Google Cloud Platform 組織で Google の社員が行ったアクションのログが提供されます。アクセスの透明性ログと、お客様の組織内部のユーザーが行ったアクションの Cloud Audit Logging ログで、「誰がいつどこで何を行ったか」という質問の答えが得られます。
アクセスの透明性ログを既存の SIEM ツールに統合すると、対象となるアクションの監査を自動化できます。ログは、Cloud Audit Logging ログとともに Google Cloud Platform Console で取得できます。
アクセスの透明性ログエントリに含まれる詳細は次のとおりです。
- 対象となるリソースとアクション
- アクションの時間
- アクションの理由(顧客サポート リクエストに関連付けられたケース番号など)
- データを操作している Google スタッフについてのデータ(場所など)
アクセスの透明性の設定
アクセスの透明性ログを構成するには、アクセスの透明性の概要をご覧ください。
アクセスの透明性ログの表示
GCP 組織でアクセスの透明性を構成したら、ユーザーまたはグループにプライベート ログ閲覧者の役割を割り当てることで、アクセスの透明性ログにアクセスできるユーザーを制御します。詳細については、Logging アクセス制御ガイドをご覧ください。
ログビューアでアクセスの透明性ログを確認する方法については、ログの表示をご覧ください。
Stackdriver API または Cloud Functions を使用してログをモニタリングします。この操作を開始するには Stackdriver Monitoring のドキュメントをご覧ください。
オプション: ログベースの指標を作成し、監査ログによって明らかになる問題を適切なタイミングで認識できるよう、アラート ポリシーを設定します。
アクセスの透明性ログの例
アクセスの透明性ログエントリの例を次に示します。
{
insertId: "abcdefg12345"
jsonPayload: {
@type: "type.googleapis.com/google.cloud.audit.TransparencyLog"
location: {
principalOfficeCountry: "US"
principalEmployingEntity: "Google LLC"
principalPhysicalLocationCountry: "CA"
}
product: [
0: "Cloud Storage"
]
reason: [
detail: "Case number: bar123"
type: "CUSTOMER_INITIATED_SUPPORT"
]
accesses: [
0: {
methodName: "GoogleInternal.Read"
resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
}
]
}
logName: "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
operation: {
id: "12345xyz"
}
receiveTimestamp: "2017-12-18T16:06:37.400577736Z"
resource: {
labels: {
project_id: "1234567890"
}
type: "project"
}
severity: "NOTICE"
timestamp: "2017-12-18T16:06:24.660001Z"
}
ログフィールドの説明
| フィールド | 説明 |
|---|---|
insertId |
ログの一意の識別子。 |
@type |
アクセスの透明性ログ ID。 |
principalOfficeCountry |
アクセス者の永久デスクがある国の ISO 3166-1 alpha-2 国コード、場所が確認できない場合は ??、Google の社員の所在地が低人口の国の場合は 3 文字の大陸識別子。 |
principalEmployingEntity |
アクセスしているユーザーを採用している Google エンティティ(Google LLC など)。 |
principalPhysicalLocationCountry |
アクセス元の国の ISO 3166-1 alpha-2 国コード、場所が確認できない場合は ??、Google の社員の所在地が低人口の国の場合は 3 文字の大陸識別子。 |
product |
アクセスされた、お客様の GCP プロダクト。 |
reason:detail |
理由の詳細。サポート チケット ID など。 |
reason:type |
アクセスの理由タイプ(CUSTOMER_INTIATED_SUPPORT) など)。 |
accesses:methodName |
行われたアクセスの種類(GoogleInternal.Read など)。
|
accesses:resourceName |
アクセスされたリソースの名前。 |
logName |
ログの場所の名前。 |
operation:id |
ログクラスタ ID。 |
receiveTimestamp |
ロギング パイプラインによってアクセスが受信された時刻。 |
project_id |
アクセスされたリソースに関連するプロジェクト。 |
| type | アクセスされたリソースのタイプ(project など)。 |
severity |
ログの重大度。 |
timestamp |
ログが書き込まれた時刻 |
正当化理由コード
| 理由 | 説明 |
|---|---|
CUSTOMER_INTIATED_SUPPORT |
お客様が開始したサポート(Case Number: #### など)。
|
GOOGLE_INITIATED_SERVICE |
次のようなシステム管理とトラブルシューティングを行うために Google が開始したアクセス:
|
THIRD_PARTY_DATA_REQUEST |
お客様からの法的手続きに応じて Google が顧客データにアクセスする必要がある場合を含め、法的要求または法的手続きに対応するためにお客様主導で Google が行うアクセス。このような要求や手続きについて Google が合法的にお客様に通知できない場合、この場合のアクセスの透明性ログは利用できない場合があります。 |
GOOGLE_INITIATED_REVIEW |
次のようなセキュリティ、詐欺、乱用、コンプライアンスに関する目的で Google が開始したアクセス:
|
ご不明な点がありましたら、Google の