Erweiterte Verwaltungszugriffssteuerung
Die erweiterte Verwaltungszugriffssteuerung erweitert Access Transparency und die Zugriffsgenehmigung um eine detaillierte Steuerung und Transparenz für ausgewählte Google Cloud Produkte. Mit dieser Funktion können Sie bestimmte detaillierte Aktionen überprüfen und genehmigen, die von Google-Mitarbeitern ausgeführt werden, wenn sie im Rahmen des Supports auf Ihre Daten oder Systeme zugreifen.
Wenn Sie diese Funktion aktivieren, erhalten Sie möglicherweise mehr Genehmigungsanfragen, was die Möglichkeit von Google verzögern kann, Support für Ihre verwalteten Dienste zu leisten Google Cloud. Aufgrund der sehr detaillierten Natur erweiterter Anfragen werden Administratoren möglicherweise aufgefordert, mehrere Anfragen innerhalb eines kurzen Zeitraums zu genehmigen. Wir empfehlen dringend, die Bearbeitung von Genehmigungsanfragen mit Pub/Sub zu automatisieren, wenn Sie die erweiterte Verwaltungszugriffssteuerung verwenden.
Funktionsweise
Wenn die erweiterte Verwaltungszugriffssteuerung aktiviert ist, werden die Informationen für Anfragen zur Zugriffsgenehmigung und Access Transparency-Logs für unterstützte Dienste erweitert. Anstatt nur die allgemeine Zugriffsmethode zu sehen, erhalten Sie Einblick in die spezifischen Befehle oder Aktionen, die ausgeführt werden.
Detailliertheit der Steuerung
Erweiterte Steuerelemente bieten eine höhere Detailliertheit für Logs und Genehmigungen für ausgewählte Produkte. Die hauptsächlichen Unterschiede lauten:
- Standard-Zugriffsgenehmigung und Access Transparency: Die Zugriffsmethode und Begründung werden angezeigt.
- Erweiterte Zugriffsgenehmigung und Access Transparency: Informationen auf Befehlsebene werden bereitgestellt, sodass Sie die spezifischen Befehle sehen und genehmigen können, die Google-Mitarbeiter ausführen, wenn sie über SSH auf Ihre Ressourcen in unterstützten Diensten zugreifen.
Wenn die erweiterte Verwaltungszugriffssteuerung für GKE aktiviert ist, können Sie beispielsweise jeden einzelnen Befehl überprüfen und genehmigen, der von einem Google-Administrator auf der GKE-Steuerungsebene ausgeführt wird.
Hinweis
Bevor Sie die erweiterte Verwaltungszugriffssteuerung verwenden können, müssen sowohl Access Transparency als auch die Zugriffsgenehmigung für Ihre Organisation aktiviert sein.
- Informationen zum Aktivieren von Access Transparency finden Sie unter Access Transparency aktivieren.
- Informationen zum Aktivieren der Zugriffsgenehmigung finden Sie unter Zugriffsgenehmigung aktivieren.
Auswirkungen auf andere Zugriffstypen
Die erweiterte Verwaltungszugriffssteuerung wirkt sich nur auf die spezifischen Szenarien und Dienste aus, die im Abschnitt Unterstützte Dienste und Felder aufgeführt sind. Alle anderen Anfragen zur Zugriffsgenehmigung und Access Transparency-Logs für nicht unterstützte Dienste oder Szenarien bleiben unverändert.
Erweiterte Access Transparency-Logs identifizieren
Access Transparency-Logs, die im Rahmen der erweiterten Verwaltungszugriffssteuerung generiert werden, werden in Cloud Logging geschrieben und können anhand des Felds logClass unterschieden werden:
log_class |
Logtyp |
|---|---|
ACCESS_TRANSPARENCY |
Standard-Access Transparency-Log |
AUGMENTED_ACCESS_TRANSPARENCY |
Erweitertes Access Transparency-Log |
Unterstützte Dienste und Felder
Die folgenden Dienste unterstützen die erweiterte Verwaltungszugriffssteuerung:
Google Kubernetes Engine
- Erweiterte Steuerung: SSH-Zugriff auf die Google Kubernetes Engine-Steuerungsebene (GKE)
- Erweiterte Datenfelder:
- In Access Transparency-Logs:
tool_commandline - In Anfragen zur Zugriffsgenehmigung:
Command
- In Access Transparency-Logs:
Cloud SQL
- Erweiterte Steuerung: SSH-Zugriff auf Datenbankhosts
- Erweiterte Datenfelder:
- In Access Transparency-Logs:
tool_commandline - In Anfragen zur Zugriffsgenehmigung:
Command
- In Access Transparency-Logs:
AlloyDB for PostgreSQL
- Erweiterte Steuerung: SSH-Zugriff auf Datenbankhosts
- Erweiterte Datenfelder:
- In Access Transparency-Logs:
tool_commandline - In Anfragen zur Zugriffsgenehmigung:
Command
- In Access Transparency-Logs:
Beispiel-Logs: GKE-Steuerungsebene
Wenn die erweiterte Verwaltungszugriffssteuerung für einen unterstützten Dienst wie GKE aktiviert ist, enthalten die Access Transparency-Logs ein augmentedInfo-Objekt.
Das Feld augmentedInfo wird nur angezeigt, wenn die erweiterte Verwaltungszugriffssteuerung aktiviert ist und das Log die Klasse AUGMENTED_ACCESS_TRANSPARENCY hat.
Das folgende Beispiel zeigt einen Ausschnitt eines erweiterten Logs:
{
"augmentedInfo": {
"command": "echo showmethelogs"
},
"logClass": "AUGMENTED_ACCESS_TRANSPARENCY"
}
Hier sehen Sie ein Beispiel für ein vollständiges erweitertes Access Transparency-Log:
{
"insertId": "1234567890abcdefghijk",
"jsonPayload": {
"@type": "type.googleapis.com/google.cloud.audit.TransparencyLog",
"accessApprovals": [
"projects/PROJECT_NUMBER/approvalRequests/123abcdef"
],
"accesses": [
{
"methodName": "GoogleInternal.SSH.Master",
"resourceName": "//container.googleapis.com/projects/PROJECT_NUMBER/locations/us-central1-c/clusters/example-cluster"
}
],
"augmentedInfo": {
"command": "echo showmethelogs"
},
"eventId": "1234567890abcdefghijk",
"location": {
"principalEmployingEntity": "Google LLC",
"principalOfficeCountry": "US",
"principalPhysicalLocationCountry": "US"
},
"logClass": "AUGMENTED_ACCESS_TRANSPARENCY",
"principalJobTitle": "Engineering",
"product": [
"Google Kubernetes Engine"
],
"reason": [
{
"detail": "For details, please refer to the documentation.",
"type": "GOOGLE_INITIATED_SERVICE"
}
]
},
"logName": "projects/PROJECT_NAME/logs/cloudaudit.googleapis.com%2Faccess_transparency",
"operation": {
"id": "1234567890abcdef"
},
"receiveTimestamp": "2024-05-03T17:32:44.630281843Z",
"resource": {
"labels": {
"project_id": "PROJECT_NAME"
},
"type": "project"
},
"severity": "NOTICE",
"timestamp": "2025-06-07T12:34:56.328083Z"
}
Nächste Schritte
Erfahren Sie, wie Sie Erweiterte Verwaltungszugriffssteuerung aktivieren.
Access Transparency-Logs lesen
Übersicht über die Zugriffsgenehmigung