Comprender y usar los registros de Transparencia de acceso
En esta página, se describe el contenido de las entradas de registro de Transparencia de acceso y cómo verlas y usarlas.
Registros de Transparencia de acceso detallados
Los registros de Transparencia de acceso se pueden integrar a tus herramientas existentes de información de seguridad y administración de eventos (SIEM) para automatizar las auditorías del personal de Google cuando accede a tu contenido. Los registros de Transparencia de acceso están disponibles en la consola de Google Cloud junto con tus Registros de auditoría de Cloud.
En las entradas de registro de Transparencia de acceso, se incluyen los siguientes tipos de detalles:
- Acción y recurso afectados
- Hora de la acción
- Motivos de la acción (por ejemplo, el número de caso asociado a una solicitud de atención al cliente)
- Datos acerca de quién trabaja con el contenido (por ejemplo, la ubicación del personal de Google)
Habilita la Transparencia de acceso
Para obtener información sobre cómo habilitar la Transparencia de acceso en tu organización de Google Cloud , consulta Habilita la Transparencia de acceso.
Visualiza los registros de Transparencia de acceso
Después de configurar la Transparencia de acceso para tu organización de Google Cloud, puedes establecer controles para determinar quién puede acceder a los registros de Transparencia de acceso. Para ello, asígnale a un usuario o grupo el rol de lector de registros privados. Consulta la guía de control de acceso de Cloud Logging para obtener más detalles.
Para ver los registros de Transparencia de acceso, usa el siguiente filtro de registro de Google Cloud Observability.
logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Para obtener información sobre cómo ver los registros de Transparencia de acceso en el Explorador de registros, consulta Usa el Explorador de registros.
También puedes supervisar los registros con la API de Cloud Monitoring o con las funciones de Cloud Run. Para comenzar, consulta la documentación de Cloud Monitoring.
Crea una métrica basada en registros y, luego, configura una política de alertas para enterarte a tiempo de los problemas que presentan estos registros (opcional).
Ejemplo de entrada de registro de Transparencia de acceso
El siguiente es un ejemplo de una entrada de registro de Transparencia de acceso:
{ insertId: "abcdefg12345" jsonPayload: { @type: "type.googleapis.com/google.cloud.audit.TransparencyLog" location: { principalOfficeCountry: "US" principalEmployingEntity: "Google LLC" principalPhysicalLocationCountry: "CA" } principalJobTitle: "Engineering" product: [ 0: "Cloud Storage" ] reason: [ detail: "Case number: bar123" type: "CUSTOMER_INITIATED_SUPPORT" ] permissionDetails:[ 0: { permissionType: "DATA_READ" logAccessed: false } 1: { permissionType: "ADMIN_READ" logAccessed: true } ] eventId: "asdfg12345asdfg12345asdfg12345" accesses: [ 0: { methodName: "GoogleInternal.Read" resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123" } ] accessApprovals: [ 0: "projects/123/approvalRequests/abcdef12345" ] } logName: "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency" operation: { id: "12345xyz" } receiveTimestamp: "2017-12-18T16:06:37.400577736Z" resource: { labels: { project_id: "1234567890" } type: "project" } severity: "NOTICE" timestamp: "2017-12-18T16:06:24.660001Z" }
Descripciones de los campos de registros
| Campo | Descripción |
|---|---|
insertId |
Identificador único del registro |
@type |
Identificador de registro de Transparencia de acceso |
principalOfficeCountry |
Código de país ISO 3166-1 alfa-2 correspondiente al país en el que quien accedió tiene un escritorio permanente, ?? si la ubicación no está disponible o un identificador de continente de 3 caracteres si el personal de Google se encuentra en un país con baja población. |
principalEmployingEntity |
La entidad que emplea al personal de Google que realiza el acceso (por ejemplo, Google LLC). |
principalPhysicalLocationCountry |
Código de país ISO 3166-1 alfa-2 correspondiente al país desde el que se logró el acceso, ?? si la ubicación no está disponible o un identificador de continente de 3 caracteres si el personal de Google se encuentra en un país con baja población. |
principalJobTitle |
Es la familia de empleos del personal de Google que realiza el acceso. |
product |
Producto de Google Cloud del cliente al que se accedió. |
reason:detail |
Detalles del motivo, por ejemplo, el ID de un ticket de asistencia |
reason:type |
Acceso al tipo de motivo (por ejemplo, CUSTOMER_INITIATED_SUPPORT)) |
permissionDetails |
Son los detalles sobre los permisos vinculados a un acceso. Se pueden incluir hasta dos detalles de permissionType. Para obtener más información, consulta Valores para los detalles de los permisos. |
accesses:methodName |
Tipo de acceso que se realizó Por ejemplo, GoogleInternal.Read. Para obtener más información sobre los métodos que pueden aparecer en el campo methodName, consulta Valores para el campo accesses: methodName.
|
accesses:resourceName |
Nombre del recurso al que se accedió |
accessApprovals |
Incluye los nombres de recursos de las solicitudes de Aprobación de acceso que aprobaron el acceso. Estas solicitudes están sujetas a exclusiones y servicios admitidos. Este campo solo se propaga si la Aprobación de acceso está habilitada para los recursos a los que se accede. Los registros de Transparencia de acceso publicados antes del 24 de marzo de 2021 no tendrán este campo completado. |
logName |
Nombre de la ubicación del registro |
operation:id |
ID de clúster del registro |
receiveTimestamp |
Hora en la que la canalización del registro recibió el acceso |
project_id |
Proyecto asociado al recurso al que se accedió |
type |
Tipo de recurso al que se accedió (por ejemplo, project) |
eventId |
ID de evento único asociado con una sola justificación de evento de acceso
(por ejemplo, un solo caso de asistencia). Todos los accesos registrados en la misma justificación tienen el mismo valor de event_id. |
severity |
Gravedad del registro |
timestamp |
Hora en la que se escribió el registro |
Valores del campo permissionDetails
Los siguientes detalles de permisos están disponibles en los registros de Transparencia de acceso:
- permissionType: Indica el tipo de permiso de Identity and Access Management (IAM) asociado con los datos a los que accede el administrador de Google. Por ejemplo, los tipos de permisos para cada método de la API pública de Cloud SQL se pueden encontrar en la documentación de SQL. Los tipos de permisos indican el permiso máximo presente, incluso si se hubiera podido acceder con un tipo de permiso menor. -- prueba
- is_log_access: Este campo indica si un administrador o un permiso de acceso de lectura de datos se limita a los accesos de registro. Por ejemplo, un acceso data_read a los registros de Log Analytics se acompaña de "is_log_access = true", lo que indica que el permiso data_read se limita a los datos de registro.
| Tipo de permiso de IAM | Descripción | Ejemplos |
|---|---|---|
| "Administrador" | Los permisos de acceso se limitan a la configuración y los metadatos. | |
admin_read |
Indica un acceso de lectura limitado a una configuración, un registro o datos similares. | Consulta Tipo de permiso de IAM para obtener más detalles. |
admin_write |
Indica un acceso de lectura o escritura limitado a una configuración, un registro o datos similares. | Consulta Tipo de permiso de IAM para obtener más detalles. |
| "Datos" | Son los accesos que pueden contener permisos para acceder a los datos proporcionados por el usuario. | |
data_read |
Indica un acceso de lectura que puede contener Datos del Cliente. Un acceso con el tipo de permiso data_read indica que el administrador tenía permiso para acceder a los Datos del cliente, pero no confirma que se haya accedido a ellos. | Consulta Tipo de permiso de IAM para obtener más detalles. |
data_write |
Indica un acceso de lectura o escritura que puede contener Datos del Cliente. Un acceso con el tipo de permiso data_write indica que el administrador puede tener permiso para modificar los Datos del Cliente. Sin embargo, no confirma que se haya accedido a los Datos del Cliente ni que se hayan modificado. Además, si no se puede verificar el tipo de permiso, el acceso se registrará como data_write. | Consulta Tipo de permiso de IAM para obtener más detalles. |
| is_log_access | Descripción |
|---|---|
true |
Indica un acceso limitado a la lectura de los datos de registro. Esta propiedad extiende el campo permissionType. Los accesos etiquetados como verdaderos indican que el acceso es solo a los datos de registro, sin acceso directo a los datos. |
false |
Indica que el acceso no se limita a la lectura de registros. |
Valores para el campo accesses:methodNames
Los siguientes métodos pueden aparecer en el campo accesses:methodNames de los registros de Transparencia de acceso:
- Métodos estándar: Estos métodos son
List,Get,Create,UpdateyDelete. Para obtener más información, consulta Métodos estándar. - Métodos personalizados: Los métodos personalizados son los métodos de API distintos de los 5 métodos estándar. Entre los métodos personalizados comunes, se incluyen
Cancel,BatchGet,Move,SearchyUndelete. Para obtener más información, consulta Métodos personalizados. - Métodos GoogleInternal: A continuación, se muestran ejemplos de métodos
GoogleInternalque aparecen en el campoaccesses:methodNames:
| Nombre del método | Descripción | Ejemplos |
|---|---|---|
GoogleInternal.Read |
Indica una acción de lectura realizada en el contenido del cliente con una justificación comercial válida. La acción de lectura se realiza a través de una API interna diseñada específicamente para administrar Google Cloud servicios. Este método no muta el contenido del cliente. | Lectura de permisos de IAM |
GoogleInternal.Write |
Indica una acción de escritura realizada en el contenido del cliente con una justificación comercial válida. La acción de escritura se realiza a través de una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método puede actualizar el contenido o la configuración del cliente. |
|
GoogleInternal.Create |
Indica que se realizó una acción de creación en el contenido del cliente con una justificación comercial válida. La acción de creación se realiza a través de una API interna diseñada específicamente para administrar Google Cloud servicios. Este método crea contenido nuevo para el cliente. |
|
GoogleInternal.Delete |
Indica una acción de eliminación realizada en el contenido del cliente con una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método muta el contenido o la configuración del cliente. |
|
GoogleInternal.List |
Indica que se realizó una acción de lista en el contenido del cliente con una justificación comercial válida. La acción de lista se realiza con una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método no muta el contenido ni las configuraciones del cliente. |
|
GoogleInternal.Update |
Indica una modificación realizada en el contenido del cliente con una justificación comercial válida. La acción de actualización se realiza a través de una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método muta el contenido o la configuración del cliente. | Se actualizarán las claves HMAC en Cloud Storage. |
GoogleInternal.Get |
Indica que se realizó una acción de obtención en el contenido del cliente con una justificación comercial válida. La acción de obtención se produce a través de una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método no muta el contenido ni las configuraciones del cliente. |
|
GoogleInternal.Query |
Indica una acción de búsqueda realizada en el contenido del cliente con una justificación comercial válida. La acción de búsqueda se realiza a través de una API interna diseñada específicamente para administrar servicios de Google Cloud . Este método no muta el contenido ni las configuraciones del cliente. |
|
Los accesos de GoogleInternal están estrictamente restringidos al personal autorizado para un acceso justificado y auditable. La presencia de un método no indica disponibilidad para todos los roles. Las organizaciones que buscan controles mejorados sobre el acceso administrativo en un proyecto o una organización pueden activar la Aprobación de acceso para habilitar la aprobación o el rechazo de accesos según los detalles de acceso. Por ejemplo, los usuarios de la Aprobación de acceso pueden optar por permitir solo las solicitudes con la justificación CUSTOMER_INITIATED_SUPPORT para las solicitudes realizadas por un empleado de Google. Para obtener más información, consulta Descripción general de la Aprobación de acceso.
Si un evento cumple con los criterios estrictos de acceso de emergencia, la Aprobación de acceso puede registrar ese acceso de emergencia con el estado auto approved. La Transparencia de acceso y la Aprobación de acceso están diseñadas específicamente para incluir el registro ininterrumpido en situaciones de acceso de emergencia.
Si buscas más control sobre la seguridad de los datos de tus cargas de trabajo, te recomendamos que uses Assured Workloads. Los proyectos de Assured Workloads ofrecen funcionalidades mejoradas, como residencia de datos, controles soberanos y acceso a funciones como la computación confidencial en Compute Engine. Aprovecha las Justificaciones de acceso a la clave para las claves de encriptación administradas de forma externa.
Códigos de los motivos de justificación
Se refiere al acceso que inició Google para la administración del sistema y la solución de problemas. El personal de Google puede otorgar este tipo de acceso por los siguientes motivos:
Se refiere al acceso iniciado por Google para mantener la confiabilidad del sistema. El personal de Google puede otorgar este tipo de acceso por los siguientes motivos:
Motivo
Descripción
CUSTOMER_INITIATED_SUPPORT
Asistencia que inició el cliente, por ejemplo, "Número de caso: ####".
GOOGLE_INITIATED_SERVICE
THIRD_PARTY_DATA_REQUEST
Acceso iniciado por Google en respuesta a una solicitud o proceso legal, incluido el caso cuando se responde a un proceso legal del cliente que requiere que Google acceda a sus propios datos
GOOGLE_INITIATED_REVIEW
Google inició el acceso por motivos de seguridad, fraude, abuso o cumplimiento, incluidos los siguientes:
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT
Supervisa los registros de Transparencia de acceso
Puedes supervisar los registros de la Transparencia de acceso con la API de Cloud Monitoring. Para comenzar, consulta la documentación de Monitoring.
Puedes configurar una métrica basada en registros y, luego, una política de alertas para conocer a tiempo los problemas que surgen de estos registros. Por ejemplo, puedes crear una métrica basada en registros que capture los accesos del personal de Google a tu contenido y, luego, crear una política de alertas en Monitoring que te informe si la cantidad de accesos en un período determinado supera un umbral especificado.
¿Qué sigue?
- Obtén información para ver y comprender los registros de Transparencia de acceso de los servicios de Google Workspace.