Access Transparency-Logs verstehen und verwenden

Auf dieser Seite wird der Inhalt der Access Transparency-Logeinträge beschrieben und erläutert, wie Sie sie aufrufen und verwenden können.

Zugriffstransparenzlogs im Detail

Access Transparency-Logs können in Ihre vorhandenen SIEM-Tools (Security Information and Event Management, Sicherheits- und Ereignisverwaltung) eingebunden werden, um Ihre Audits von Google-Mitarbeitern beim Zugriff auf Ihre Inhalte zu automatisieren. Access Transparency-Logs sind in der Google Cloud -Konsole zusammen mit Ihren Cloud-Audit-Logs verfügbar.

Access Transparency-Logeinträge umfassen folgende Informationen:

  • Die betroffene Ressource und Aktion
  • Die Zeit der Aktion
  • Die Gründe für die Aktion (z. B. die Fallnummer, die mit einer Kundensupportanfrage verknüpft ist)
  • Daten darüber, wer im Content handelt, z. B. der Standort des Google-Personals.

Zugriffstransparenz aktivieren

Informationen zum Aktivieren von Access Transparency für Ihre Google Cloud -Organisation finden Sie unter Access Transparency aktivieren.

Zugriffstransparenzlogs ansehen

Nachdem Sie Access Transparency für Ihre Google Cloud-Organisation konfiguriert haben, können Sie festlegen, wer auf die Zugriffstransparenzlogs zugreifen kann. Weisen Sie dazu einem Nutzer oder einer Gruppe die Rolle Betrachter privater Logs zu. Weitere Informationen finden Sie in der Anleitung zur Zugriffssteuerung für Cloud Logging.

Verwenden Sie den folgenden Google Cloud Observability-Logging-Filter, um Access Transparency-Logs aufzurufen.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Informationen zum Abrufen Ihrer Access Transparency-Logs im Log-Explorer finden Sie unter Log-Explorer verwenden.

Sie können die Logs auch mithilfe der Cloud Monitoring API oder von Cloud Run-Funktionen überwachen. Informationen zum Einstieg finden Sie in der Dokumentation zu Cloud Monitoring.

Optional: Erstellen Sie einen logbasierten Messwert und richten Sie dann eine Benachrichtigungsrichtlinie ein, um rechtzeitig auf Probleme aufmerksam zu machen, die von diesen Logs aufgedeckt werden.

Beispiel für einen Eintrag im Zugriffstransparenzlog

Es folgt ein Beispiel für einen Eintrag im Zugriffstransparenzlog:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  permissionDetails:[
    0: {
     permissionType: "DATA_READ"
     logAccessed: true
   }
   1: {
     permissionType: "ADMIN_READ"
    }
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Logfeldbeschreibungen

Feld Beschreibung
insertId Eindeutige Kennzeichnung für das Log
@type Zugriffstransparenzlog-ID
principalOfficeCountry ISO 3166-1: Alpha-2-Code des Landes, in dem die zugreifende Person einen dauerhaften Sitz hat, ?? wenn kein Standort verfügbar ist, oder 3-stellige Kontinent-ID für Google-Mitarbeiter in einem Land mit geringem Bevölkerungsanteil.
principalEmployingEntity Die Entität, die den zugreifenden Google-Mitarbeiter beschäftigt (z. B. Google LLC).
principalPhysicalLocationCountry ISO 3166-1 Alpha-2-Code des Landes, aus dem der Zugriff erfolgte, ?? falls kein Standort verfügbar ist oder 3-stellige Kontinent-ID für Google-Mitarbeiter in einem Land mit geringem Bevölkerungsanteil
principalJobTitle Die Stellenfamilie des zugreifenden Google-Mitarbeiters.
product Google Cloud Produkt des Kunden, auf das zugegriffen wurde.
reason:detail Details zum Grund, z. B. eine Support-Ticket-ID
reason:type Typ des Grundes für den Zugriff, z. B. CUSTOMER_INITIATED_SUPPORT)
permissionDetails Details zu Berechtigungen, die mit einem Zugriff verknüpft sind. Es können bis zu zwei permissionType-Details vorhanden sein. Weitere Informationen finden Sie unter Werte für Berechtigungsdetails.
accesses:methodName Welche Art von Zugriff erfolgte. Beispiel: GoogleInternal.Read. Weitere Informationen zu den Methoden, die im Feld methodName angezeigt werden können, finden Sie unter Werte für das Feld accesses: methodName.
accesses:resourceName Name der Ressource, auf die zugegriffen wurde
accessApprovals Enthält die Ressourcennamen von Access Approval-Anfragen, mit denen der Zugriff genehmigt wurde. Diese Anfragen unterliegen Ausschlüssen und unterstützten Diensten.

Dieses Feld wird nur ausgefüllt, wenn die Genehmigung für den Zugriff für die aufgerufenen Ressourcen aktiviert ist. Bei Access Transparency-Logs, die vor dem 24. März 2021 veröffentlicht wurden, ist dieses Feld nicht ausgefüllt.
logName Name des Logspeicherorts
operation:id Logcluster-ID
receiveTimestamp Zeitpunkt, zu dem der Zugriff von der Logpipeline empfangen wurde.
project_id Der Ressource zugeordnetes Projekt, auf das zugegriffen wurde.
type Typ der Ressource, auf die zugegriffen wurde (z. B. project)
eventId Eindeutige Ereignis-ID, die mit einer einzelnen Begründung für den Zugriff verknüpft ist, z. B. einer einzelnen Supportanfrage. Alle Zugriffe, die mit derselben Begründung protokolliert werden, haben denselben event_id-Wert.
severity Logschweregrad
timestamp Zeit, zu der das Log geschrieben wurde

Werte für permissionDetails-Felder

Die folgenden Berechtigungsdetails sind in Access Transparency-Logs verfügbar:

  • permissionType: Gibt den IAM-Berechtigungstyp (Identity and Access Management) an, der mit dem Datenzugriff durch den Google-Administrator verknüpft ist. Berechtigungstypen für jede öffentliche API-Methode für Cloud SQL finden Sie beispielsweise in der SQL-Dokumentation. Berechtigungstypen geben die maximale Berechtigung an, auch wenn ein Zugriff mit einem geringeren Berechtigungstyp möglich gewesen wäre.
  • logAccessed: In diesem Feld wird angegeben, ob die Berechtigung für den Administrator- oder Datenlesezugriff auf den Logzugriff beschränkt ist. Ein data_read-Zugriff auf Log Analytics-Logs wird beispielsweise von „logAccessed = true“ begleitet, was darauf hinweist, dass die data_read-Berechtigung auf Logdaten beschränkt ist. Dieses Feld wird weggelassen, wenn der Zugriff kein Log ist.
IAM-Berechtigungstyp Beschreibung Beispiele
ADMIN_READ Gibt einen Lesezugriff an, der auf eine Konfiguration, ein Log oder ähnliche Daten beschränkt ist. Weitere Informationen finden Sie unter IAM-Berechtigungstyp.
ADMIN_WRITE Gibt einen Lese- oder Schreibzugriff an, der auf eine Konfiguration, ein Log oder ähnliche Daten beschränkt ist. Weitere Informationen finden Sie unter IAM-Berechtigungstyp.
DATA_READ Gibt einen Lesezugriff an, der möglicherweise Kundendaten enthält. Ein Zugriff mit dem Berechtigungstyp „data_read“ weist darauf hin, dass der Administrator die Berechtigung hatte, auf Kundendaten zuzugreifen. Es ist jedoch keine Bestätigung dafür, dass auf Kundendaten zugegriffen wurde. Weitere Informationen finden Sie unter IAM-Berechtigungstyp.
DATA_WRITE Gibt einen Lese- oder Schreibzugriff an, der möglicherweise Kundendaten enthält. Ein Zugriff mit dem Berechtigungstyp „data_write“ weist darauf hin, dass der Administrator möglicherweise eine Berechtigung für den Zugriff auf mindestens eine Ressource mit Kundendaten eingeschlossen hat. Weitere Informationen finden Sie unter IAM-Berechtigungstyp.
logAccessed Beschreibung
true Gibt einen Zugriff an, der auf Lesezugriff auf Protokolldaten beschränkt ist. Diese Eigenschaft erweitert das Feld „permissionType“. Zugriffe mit dem Label „true“ bedeuten, dass nur auf Protokolldaten zugegriffen wird, ohne direkten Zugriff auf die Daten.

Werte für das Feld accesses:methodNames

Die folgenden Methoden können im Feld accesses:methodNames in Access Transparency-Logs angezeigt werden:

  • Standardmethoden: Diese Methoden sind List, Get, Create, Update und Delete. Weitere Informationen finden Sie unter Standardmethoden.
  • Benutzerdefinierte Methoden: Benutzerdefinierte Methoden beziehen sich auf die neben den fünf Standardmethoden verfügbaren API-Methoden. Gängige benutzerdefinierte Methoden sind Cancel, BatchGet, Move, Search und Undelete. Weitere Informationen finden Sie unter Benutzerdefinierte Methoden.
  • GoogleInternal-Methoden: Im Feld accesses:methodNames werden beispielsweise die folgenden GoogleInternal-Methoden angezeigt:
Methodenname Beschreibung Beispiele
GoogleInternal.Read Gibt an, dass mit einer gültigen geschäftlichen Begründung eine Leseaktion für Kundeninhalte ausgeführt wurde. Der Lesevorgang erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud -Diensten entwickelt wurde. Mit dieser Methode werden keine Kundeninhalte geändert. IAM-Berechtigungen lesen.
GoogleInternal.Write Gibt an, dass eine Schreibaktion für Kundeninhalte mit einer gültigen geschäftlichen Begründung ausgeführt wurde. Der Schreibvorgang erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud -Diensten entwickelt wurde. Mit dieser Methode können Kundeninhalte und/oder Konfigurationen aktualisiert werden.
  • IAM-Berechtigungen für eine Ressource festlegen
  • Compute Engine-Instanz sperren
GoogleInternal.Create Gibt an, dass eine Erstellungsaktion für Kundeninhalte mit einer gültigen geschäftlichen Begründung ausgeführt wurde. Die Aktion zum Erstellen erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud -Diensten entwickelt wurde. Mit dieser Methode werden neue Kundeninhalte erstellt.
  • Cloud Storage-Bucket erstellen
  • Pub/Sub-Thema erstellen
GoogleInternal.Delete Gibt an, dass eine Löschaktion für Kundeninhalte über eine interne API ausgeführt wurde, die speziell für die Verwaltung von Google Cloud -Diensten entwickelt wurde. Mit dieser Methode werden Kundeninhalte und/oder ‑konfigurationen geändert.
  • Ein Cloud Storage-Objekt löschen.
  • BigQuery-Tabelle löschen
GoogleInternal.List Gibt eine Listenaktion an, die mit einer gültigen geschäftlichen Begründung für Kundeninhalte ausgeführt wurde. Die Listenaktion erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud -Diensten entwickelt wurde. Bei dieser Methode werden keine Kundeninhalte oder ‑konfigurationen geändert.
  • Compute Engine-Instanzen eines Kunden auflisten
  • Dataflow-Jobs eines Kunden auflisten.
GoogleInternal.Update Gibt eine Änderung an Kundeninhalten mit einer gültigen geschäftlichen Begründung an. Die Aktualisierung erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud -Diensten entwickelt wurde. Mit dieser Methode werden Kundeninhalte und/oder ‑konfigurationen geändert. HMAC-Schlüssel in Cloud Storage aktualisieren.
GoogleInternal.Get Gibt an, dass eine „get“-Aktion für Kundeninhalte mit einer gültigen geschäftlichen Begründung ausgeführt wurde. Die Aktion „get“ erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud -Diensten entwickelt wurde. Mit dieser Methode werden keine Kundeninhalte oder ‑konfigurationen geändert.
  • IAM-Richtlinie für eine Ressource abrufen.
  • Dataflow-Job eines Kunden abrufen.
GoogleInternal.Query Gibt eine Abfrageaktion an, die mit einer gültigen geschäftlichen Begründung für Kundeninhalte ausgeführt wurde. Die Abfrageaktion erfolgt über eine interne API, die speziell für die Verwaltung von Google Cloud -Diensten entwickelt wurde. Bei dieser Methode werden keine Kundeninhalte oder ‑konfigurationen geändert.
  • Eine BigQuery-Abfrage ausführen
  • AI Platform-Debugging-Console-Suche in Kundeninhalten.

Der Zugriff auf GoogleInternal ist streng auf autorisiertes Personal beschränkt und erfolgt nur bei berechtigtem und nachvollziehbarem Zugriff. Das Vorhandensein einer Methode bedeutet nicht, dass sie für alle Rollen verfügbar ist. Organisationen, die eine bessere Kontrolle über den administrativen Zugriff auf ein Projekt oder eine Organisation wünschen, können die Zugriffsgenehmigung aktivieren, um den Zugriff anhand von Zugriffsdetails zu genehmigen oder zu verweigern. Nutzer der Zugriffsgenehmigung können beispielsweise festlegen, dass nur Anfragen mit der Begründung CUSTOMER_INITIATED_SUPPORT für Anfragen von Google-Mitarbeitern zulässig sind. Weitere Informationen finden Sie unter Übersicht zur Zugriffsbestätigung.

Wenn ein Ereignis strenge Kriterien für den Notfallzugriff erfüllt, kann Access Approval diesen Notfallzugriff mit dem Status auto approved protokollieren. Access Transparency und die Zugriffsgenehmigung sind speziell darauf ausgelegt, eine unterbrechungsfreie Protokollierung für Notfallzugriffsszenarien zu ermöglichen.

Wenn Sie mehr Kontrolle über die Datensicherheit Ihrer Arbeitslasten benötigen, empfehlen wir die Verwendung von Assured Workloads. Assured Workloads-Projekte bieten erweiterte Funktionen wie Datenstandort, Hoheitskontrollen und Zugriff auf Funktionen wie Confidential Computing in Compute Engine. Dabei werden Key Access Justifications für extern verwaltete Verschlüsselungsschlüssel verwendet.

Begründungscodes

Grund Beschreibung
CUSTOMER_INITIATED_SUPPORT Durch den Kunden initiierter Support, z. B. "Case Number: ####".
GOOGLE_INITIATED_SERVICE

Bezieht sich auf von Google initiierte Zugriffe zur Systemverwaltung und Fehlerbehebung. Google-Mitarbeiter können aus folgenden Gründen auf diese Weise auf Ihr Konto zugreifen:

  • Um technisches Debugging für eine komplexe Supportanfrage oder Prüfung durchzuführen.
  • Zur Behebung technischer Probleme wie Speicherfehlern oder Datenschäden.
  • Proaktiver Support durch Technical Account Management-Teams. **Mit dem Grund „TAM Support“ getaggt**
THIRD_PARTY_DATA_REQUEST Von Google initiierter Zugriff als Reaktion auf ein rechtliches Ersuchen oder ein gerichtliches Verfahren, einschließlich der Beantwortung eines gerichtlichen Verfahrens des Kunden, bei dem Google auf seine eigenen Daten zugreifen muss.
GOOGLE_INITIATED_REVIEW Von Google initiierte Zugriffe im Zusammenhang mit Sicherheitsaspekten, Betrugs-, Missbrauchsfällen oder zu Compliance-Zwecken, einschließlich:
  • Gewährleistung der Sicherheit von Kundenkonten und -daten.
  • Bestätigung, ob Daten von einem Ereignis betroffen sind, das sich auf die Kontosicherheit auswirken kann (z. B. Malware-Infektionen).
  • Bestätigung, ob der Kunde Google-Dienste gemäß den Nutzungsbedingungen von Google nutzt.
  • Prüfung von Beschwerden anderer Nutzer und Kunden oder anderer Hinweise auf missbräuchliche Aktivitäten.
  • Überprüfung, ob Google-Dienste in Übereinstimmung mit relevanten Compliance-Regelungen genutzt werden (z. B. Anti-Geldwäsche-Bestimmungen).
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Bezieht sich auf den von Google initiierten Zugriff zur Aufrechterhaltung der Systemzuverlässigkeit. Google-Mitarbeiter können aus folgenden Gründen auf diese Weise auf Ihr Konto zugreifen:

  • Prüfen und bestätigen, dass ein mutmaßlicher Dienstausfall den Kunden nicht betrifft.
  • Sicherungen und Wiederherstellungen nach Ausfällen und Systemfehlern zu ermöglichen.

Access Transparency-Logs im Blick behalten

Sie können Access Transparency-Logs mit der Cloud Monitoring API überwachen. Erste Schritte finden Sie in der Dokumentation zu Monitoring.

Sie können einen logbasierten Messwert und dann eine Benachrichtigungsrichtlinie einrichten, um rechtzeitig auf Probleme aufmerksam zu machen, die von diesen Logs aufgedeckt werden. Sie können beispielsweise einen logbasierten Messwert erstellen, der den Zugriff von Google-Mitarbeitern auf Ihre Inhalte erfasst, und dann in Monitoring eine Benachrichtigungsrichtlinie erstellen, die Sie informiert, wenn die Anzahl der Zugriffe in einem bestimmten Zeitraum einen angegebenen Grenzwert überschreitet.

Nächste Schritte