Access Transparency 概览

本页面简要介绍了 Access Transparency,这是 Google 对透明度、用户信任和客户数据所有权所作出的长期承诺的一部分。 借助 Access Approval,您可以授权 Google 人员访问客户数据的请求,而 Access Transparency 可帮助您了解客户数据的访问时间。 对于使用客户管理的加密密钥 (CMEK) 签名的访问权限审批的客户,Google 还通过密钥访问权限正当理由为用户提供密钥访问权限请求的可见性和控制权。

这些产品共同提供访问权限管理功能,让您能够控制和了解管理员访问客户数据的请求。

概览

Access Transparency 日志会记录 Google 人员在访问客户数据时所采取的操作。Access Transparency 日志条目包含下列详细信息:受影响的资源和操作、操作时间、操作原因以及有关访问者的信息。 有关访问者的信息包括 Google 员工的实际位置、雇佣实体和职位类别等详细信息。 如需详细了解 Access Transparency 日志中涵盖的详细信息,请参阅日志字段说明

Access Transparency 日志与 Cloud Audit Logs 类似;不过,Cloud Audit Logs 会记录您 Google Cloud组织的成员在您的 Google Cloud 资源中执行的操作,而 Access Transparency 日志会记录 Google 人员执行的操作。如果同时使用 Cloud Audit Logs 和 Access Transparency 日志,您将能够获得有关客户操作和 Google 对客户数据的管理访问权限的审核日志。

何时使用 Access Transparency

由于以下原因,您可能需要获取 Access Transparency 日志:

  • 确认 Google 人员是否仅因正当业务原因(如修复服务中断或处理您的支持请求)而访问您的内容。
  • 验证 Google 人员访问权限是否与您在客户支持请求中寻求帮助的产品和数据一致。
  • 验证和跟踪对法律/法规义务的遵守情况。
  • 通过自动化的安全信息和事件管理 (SIEM) 工具(例如 Google Security Operations)收集和分析跟踪到的访问事件。

使用 Access Transparency 日志来提升整体安全态势

Access Transparency 日志是安全运营工作流程中一项宝贵的额外信息来源。通过将 Access Transparency 日志注入到安全信息和事件管理 (SIEM) 工具中以实现合规性或审核目的,您可以扩充任何现有数据,例如 Security Command Center 安全发现结果。如需详细了解 Access Transparency 日志注入,请参阅将 Google Cloud 数据注入到 Google Security Operations

Google Cloud 生成 Access Transparency 日志的服务

如需查看可生成 Access Transparency 日志的 Google Cloud 服务的列表,请参阅受支持的服务

Google 人员在什么情况下可以访问客户的内容?

Google 可以看到的内容受到非常严格的限制。 所有对客户数据的访问都需要提供正当的特权访问理由。 如需正当的商业理由列表,请参阅理由原因代码

Google 如何对员工进行客户内容机密性培训?

所有 Google 员工都需要签署保密协议,并遵守 Google 行为准则。 如需详细了解员工入职以及安全性和隐私权培训,请参阅 Google 安全性白皮书

Google 如何处理政府机构提出的客户内容披露要求?

如果 Google 收到政府机构提出的客户数据披露要求,Google会根据其政策,让政府机构直接向 Google Cloud 客户索取相应数据。 如需了解详情,请参阅Google Cloud 政府机构提出的数据披露要求白皮书

后续步骤