Controlli dell'accesso amministrativo aumentati

L'accesso amministrativo aumentato estende Access Transparency e Access Approval aggiungendo controllo e visibilità granulari per prodotti Google Cloud selezionati. Questa funzionalità ti consente di esaminare e approvare azioni specifiche e granulari eseguite dal personale Google quando accede ai tuoi dati o sistemi nell'ambito dell'assistenza.

L'attivazione di questa funzionalità potrebbe aumentare il numero di richieste di approvazione che ricevi, ritardando potenzialmente la capacità di Google di fornire assistenza per i tuoi servizi gestiti su Google Cloud. A causa della natura altamente granulare delle richieste aumentate, agli amministratori potrebbe essere chiesto di approvare più richieste in un breve periodo di tempo. Ti consigliamo vivamente di automatizzare la gestione delle richieste di approvazione utilizzando Pub/Sub quando utilizzi l'accesso amministrativo aumentato.

Come funziona

Quando l'accesso amministrativo aumentato è abilitato, migliora le informazioni disponibili sia per le richieste di approvazione dell'accesso sia per i log di Access Transparency per i servizi supportati. Invece di visualizzare solo il metodo generale di accesso, ottieni informazioni dettagliate sui comandi o sulle azioni specifiche eseguite.

Granularità del controllo

I controlli aumentati forniscono una maggiore granularità sia per i log sia per le approvazioni per i prodotti selezionati. Le differenze principali sono:

Access Approval e Access Transparency standard: mostra il metodo di accesso e la motivazione.
Approvazione dell'accesso e Access Transparency avanzati: forniscono informazioni a livello di comando, consentendoti di visualizzare e approvare i comandi specifici eseguiti dal personale Google quando accede alle tue risorse utilizzando SSH nei servizi supportati.

Ad esempio, con l'accesso amministrativo aumentato abilitato per GKE, puoi esaminare e approvare ogni singolo comando eseguito da un amministratore Google sul control plane GKE.

Prima di iniziare

Prima di poter utilizzare l'accesso amministrativo aumentato, la tua organizzazione deve aver attivato sia Access Transparency sia l'approvazione degli accessi.

Per attivare Access Transparency, consulta Attivare Access Transparency.
Per attivare Access Approval, consulta la sezione Attivare Access Approval.

Impatto su altri tipi di accesso

L'accesso amministrativo aumentato influisce solo sugli scenari e sui servizi specifici elencati nella sezione Servizi e campi supportati. Tutte le altre richieste di Access Approval e i log di Access Transparency per servizi o scenari non supportati rimangono invariati.

Identificare i log di Access Transparency aumentati

I log di Access Transparency generati in Accesso amministrativo aumentato vengono scritti in Cloud Logging e possono essere distinti dal campo logClass:

`log_class`	Tipo di log
`ACCESS_TRANSPARENCY`	Log di Access Transparency standard
`AUGMENTED_ACCESS_TRANSPARENCY`	Log di Access Transparency aumentato

Servizi e campi supportati

I seguenti servizi supportano l'accesso amministrativo aumentato:

Google Kubernetes Engine
- Controllo aumentato: accesso SSH al control plane di Google Kubernetes Engine (GKE).
- Campi di dati aumentati:
  - In Log di Access Transparency: tool_commandline
  - In Richieste di approvazione di accesso: Command
Cloud SQL
- Controllo aumentato: accesso SSH agli host di database.
- Campi di dati aumentati:
  - In Log di Access Transparency: tool_commandline
  - In Richieste di approvazione di accesso: Command
AlloyDB per PostgreSQL
- Controllo aumentato: accesso SSH agli host di database.
- Campi di dati aumentati:
  - In Log di Access Transparency: tool_commandline
  - In Richieste di approvazione di accesso: Command

Log di esempio: control plane GKE

Quando l'accesso amministrativo aumentato è attivato per un servizio supportato come GKE, i log di Access Transparency includono un oggetto augmentedInfo.

Il campo augmentedInfo viene visualizzato solo quando sono attivati i controlli di accesso amministrativo aumentato e il log ha la classe AUGMENTED_ACCESS_TRANSPARENCY.

L'esempio seguente mostra uno snippet di un log aumentato:

{
  "augmentedInfo": {
    "command": "echo showmethelogs"
  },
  "logClass": "AUGMENTED_ACCESS_TRANSPARENCY"
}

Di seguito è riportato un esempio di log di Access Transparency completo e arricchito:

{
  "insertId": "1234567890abcdefghijk",
  "jsonPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.TransparencyLog",
    "accessApprovals": [
      "projects/PROJECT_NUMBER/approvalRequests/123abcdef"
    ],
    "accesses": [
      {
        "methodName": "GoogleInternal.SSH.Master",
        "resourceName": "//container.googleapis.com/projects/PROJECT_NUMBER/locations/us-central1-c/clusters/example-cluster"
      }
    ],
    "augmentedInfo": {
      "command": "echo showmethelogs"
    },
    "eventId": "1234567890abcdefghijk",
    "location": {
      "principalEmployingEntity": "Google LLC",
      "principalOfficeCountry": "US",
      "principalPhysicalLocationCountry": "US"
    },
    "logClass": "AUGMENTED_ACCESS_TRANSPARENCY",
    "principalJobTitle": "Engineering",
    "product": [
      "Google Kubernetes Engine"
    ],
    "reason": [
      {
        "detail": "For details, please refer to the documentation.",
        "type": "GOOGLE_INITIATED_SERVICE"
      }
    ]
  },
  "logName": "projects/PROJECT_NAME/logs/cloudaudit.googleapis.com%2Faccess_transparency",
  "operation": {
    "id": "1234567890abcdef"
  },
  "receiveTimestamp": "2024-05-03T17:32:44.630281843Z",
  "resource": {
    "labels": {
      "project_id": "PROJECT_NAME"
    },
    "type": "project"
  },
  "severity": "NOTICE",
  "timestamp": "2025-06-07T12:34:56.328083Z"
}

Passaggi successivi

Scopri come attivare l'accesso amministrativo aumentato.
Scopri come leggere i log di Access Transparency.
Consulta la panoramica di Access Approval.