Comprendere e utilizzare i log di Access Transparency

Questa pagina descrive i contenuti delle voci di log di Access Transparency e come visualizzarli e utilizzarli.

Log di Access Transparency in dettaglio

I log di Access Transparency possono essere integrati con gli strumenti esistenti per la gestione degli eventi e delle informazioni di sicurezza (SIEM) al fine di automatizzare i controlli relativi al personale Google quando accede ai tuoi contenuti. I log di Access Transparency sono disponibili nella console Google Cloud insieme a Cloud Audit Logs.

Le voci dei log di Access Transparency includono i seguenti tipi di dettagli:

  • La risorsa e l'azione interessate.
  • L'ora dell'azione.
  • I motivi dell'azione (ad esempio, il numero della richiesta associato a una richiesta di assistenza clienti).
  • Dati su chi esegue azioni sui contenuti, ad esempio la località del personale Google.

Attivazione di Access Transparency

Per informazioni su come attivare Access Transparency per la tua Google Cloud organizzazione, consulta Attivare Access Transparency.

Visualizzazione dei log di Access Transparency

Dopo aver configurato Access Transparency per la tua Google Cloud organizzazione, puoi impostare i controlli per chi può accedere ai log di Access Transparency assegnando a un utente o a un gruppo il ruolo Visualizzatore log privati. Per i dettagli, consulta la guida al controllo dell'accesso di Cloud Logging.

Per visualizzare i log di Access Transparency, utilizza il seguente filtro di logging di Google Cloud Observability.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Per scoprire come visualizzare i log di Access Transparency in Esplora log, vedi Utilizzo di Esplora log.

Puoi anche monitorare i log utilizzando l'API Cloud Monitoring o le funzioni Cloud Run. Per iniziare, consulta la documentazione di Cloud Monitoring.

(Facoltativo) Crea una metrica basata sui log e poi configura una policy di avviso per ricevere notifiche tempestive dei problemi rilevati da questi log.

Voce di log di Access Transparency di esempio

Di seguito è riportato un esempio di voce del log di Access Transparency:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  permissionDetails:[
    0: {
     permissionType: "DATA_READ"
     logAccessed: false
   }
   1: {
     permissionType: "ADMIN_READ"
     logAccessed: true
    }
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Descrizione dei campi del log

Campo Descrizione
insertId Identificatore univoco del log.
@type Identificatore del log di Access Transparency.
principalOfficeCountry Codice paese ISO 3166-1 alfa-2 del paese in cui chi ha eseguito l'accesso ha un ufficio permanente, ?? se la posizione non è disponibile, o identificatore di 3 caratteri del continente in cui il personale Google si trova in un paese a bassa densità di popolazione.
principalEmployingEntity La persona giuridica che impiega il personale Google che effettua l'accesso (ad esempio, Google LLC).
principalPhysicalLocationCountry Codice paese ISO 3166-1 alpha-2 del paese da cui è stato effettuato l'accesso, ?? se la posizione non è disponibile o identificatore di 3 caratteri del continente in cui il personale di Google si trova in un paese a bassa densità di popolazione.
principalJobTitle La famiglia di professioni del personale Google che esegue l'accesso.
product Il prodotto Google Cloud del cliente a cui è stato eseguito l'accesso.
reason:detail Dettagli del motivo, ad esempio un ID ticket di assistenza.
reason:type Access reason type (for example, CUSTOMER_INITIATED_SUPPORT).
permissionDetails Dettagli sulle autorizzazioni collegate a un accesso. Possono essere presenti fino a due dettagli di permissionType. Per ulteriori informazioni, consulta la sezione Valori per i dettagli delle autorizzazioni.
accesses:methodName Il tipo di accesso effettuato. Ad esempio, GoogleInternal.Read. Per ulteriori informazioni sui metodi che possono essere visualizzati nel campo methodName, vedi Valori per il campo accesses: methodName.
accesses:resourceName Nome della risorsa a cui è stato eseguito l'accesso.
accessApprovals Include i nomi delle risorse delle richieste di approvazione di accesso che hanno approvato l'accesso. Queste richieste sono soggette a esclusioni e servizi supportati.

Questo campo viene compilato solo se l'approvazione dell'accesso è attivata per le risorse a cui è stato eseguito l'accesso. I log di Access Transparency pubblicati prima del 24 marzo 2021 non avranno questo campo compilato.
logName Nome della posizione del log.
operation:id ID cluster di log.
receiveTimestamp Ora in cui l'accesso è stato ricevuto dalla pipeline di logging.
project_id Progetto associato alla risorsa a cui è stato eseguito l'accesso.
type Tipo di risorsa a cui è stato eseguito l'accesso (ad esempio, project).
eventId ID evento univoco associato a una singola giustificazione dell'evento di accesso (ad esempio, una singola richiesta di assistenza). Tutti gli accessi registrati nella stessa giustificazione hanno lo stesso valore di event_id.
severity Gravità del log.
timestamp L'ora in cui è stato creato il log.

Valori per il campo permissionDetails

Nei log di Access Transparency sono disponibili i seguenti dettagli delle autorizzazioni:

  • permissionType: indica il tipo di autorizzazione Identity and Access Management (IAM) associato ai dati a cui accede l'amministratore Google. Ad esempio, i tipi di autorizzazione per ogni metodo API pubblico per Cloud SQL sono disponibili nella documentazione di SQL. I tipi di autorizzazione indicano l'autorizzazione massima presente, anche se un accesso sarebbe stato possibile con un tipo di autorizzazione inferiore. -- test
  • is_log_access: questo campo indica se un amministratore o un'autorizzazione di accesso in lettura ai dati è limitata agli accessi ai log. Ad esempio, un accesso data_read ai log di Log Analytics è accompagnato da "is_log_access = true", che indica che l'autorizzazione data_read è limitata ai dati dei log.
Tipo di autorizzazione IAM Descrizione Esempi
"Amministratore" Autorizzazioni di accesso limitate alla configurazione e ai metadati.
admin_read Indica un accesso in lettura limitato a una configurazione, un log o dati simili. Per maggiori dettagli, consulta Tipo di autorizzazione IAM.
admin_write Indica un accesso in lettura o scrittura limitato a una configurazione, un log o dati simili. Per maggiori dettagli, consulta Tipo di autorizzazione IAM.
"Dati" Accessi che potrebbero contenere autorizzazioni per accedere ai dati forniti dagli utenti.
data_read Indica un accesso in lettura che potrebbe contenere dati dei clienti. Un accesso con tipo di autorizzazione data_read indica che l'amministratore aveva l'autorizzazione per accedere ai dati dei clienti, ma non è la conferma che vi abbia effettivamente avuto accesso. Per maggiori dettagli, consulta Tipo di autorizzazione IAM.
data_write Indica un accesso in lettura o scrittura che potrebbe contenere Dati del cliente. Un accesso con il tipo di autorizzazione data_write indica che l'amministratore potrebbe disporre dell'autorizzazione per modificare i dati dei clienti; tuttavia, non è la conferma che i dati dei clienti siano stati consultati o modificati. Inoltre, se non è possibile verificare il tipo di autorizzazione, l'accesso verrà registrato come data_write. Per maggiori dettagli, consulta Tipo di autorizzazione IAM.
is_log_access Descrizione
true Indica un accesso limitato all'accesso in lettura dei dati di logging. Questa proprietà estende il campo permissionType. Gli accessi etichettati come true indicano che l'accesso è solo ai dati di logging, senza accesso diretto ai dati.
false Indica che l'accesso non è limitato alla lettura dei log.

Valori per il campo accesses:methodNames

I seguenti metodi possono essere visualizzati nel campo accesses:methodNames dei log di Access Transparency:

  • Metodi standard: questi metodi sono List, Get, Create, Update e Delete. Per ulteriori informazioni, vedi Metodi standard.
  • Metodi personalizzati: i metodi personalizzati si riferiscono ai metodi API diversi dai 5 metodi standard. I metodi personalizzati comuni includono Cancel, BatchGet, Move, Search e Undelete. Per ulteriori informazioni, consulta Metodi personalizzati.
  • Metodi GoogleInternal: di seguito sono riportati esempi di metodi GoogleInternal che vengono visualizzati nel campo accesses:methodNames:
Nome metodo Descrizione Esempi
GoogleInternal.Read Indica un'azione di lettura eseguita sui contenuti del cliente con una giustificazione aziendale valida. L'azione di lettura viene eseguita utilizzando un'API interna progettata appositamente per l'amministrazione dei servizi Google Cloud . Questo metodo non modifica i contenuti del cliente. Lettura delle autorizzazioni IAM.
GoogleInternal.Write Indica un'azione di scrittura eseguita sui contenuti del cliente con una giustificazione aziendale valida. L'azione di scrittura viene eseguita utilizzando un'API interna progettata appositamente per l'amministrazione dei servizi Google Cloud . Questo metodo può aggiornare i contenuti e/o le configurazioni dei clienti.
  • Impostazione delle autorizzazioni IAM per una risorsa.
  • Sospensione di un'istanza Compute Engine.
GoogleInternal.Create Indica un'azione di creazione eseguita sui contenuti del cliente con una giustificazione aziendale valida. L'azione di creazione viene eseguita utilizzando un'API interna progettata appositamente per l'amministrazione dei servizi Google Cloud . Questo metodo crea nuovi contenuti per i clienti.
  • Creazione di un bucket Cloud Storage.
  • Creazione di un argomento Pub/Sub.
GoogleInternal.Delete Indica un'azione di eliminazione eseguita sui contenuti del cliente utilizzando un'API interna progettata specificamente per l'amministrazione dei servizi Google Cloud . Questo metodo modifica i contenuti e/o le configurazioni dei clienti.
  • Eliminazione di un oggetto Cloud Storage.
  • Eliminazione di una tabella BigQuery.
GoogleInternal.List Indica un'azione di elenco eseguita sui contenuti dei clienti con una giustificazione aziendale valida. L'azione di elenco viene eseguita utilizzando un'API interna progettata appositamente per l'amministrazione dei servizi Google Cloud . Questo metodo non modifica i contenuti o le configurazioni dei clienti.
  • Elenco delle istanze Compute Engine di un cliente.
  • Elenco dei job Dataflow di un cliente.
GoogleInternal.Update Indica una modifica eseguita sui contenuti del cliente con una giustificazione aziendale valida. L'azione di aggiornamento viene eseguita utilizzando un'API interna progettata specificamente per l'amministrazione dei servizi. Google Cloud Questo metodo modifica i contenuti e/o le configurazioni dei clienti. Aggiornamento delle chiavi HMAC in Cloud Storage.
GoogleInternal.Get Indica un'azione di recupero eseguita sui contenuti del cliente con una giustificazione aziendale valida. L'azione get viene eseguita utilizzando un'API interna progettata appositamente per l'amministrazione dei servizi Google Cloud . Questo metodo non modifica i contenuti o le configurazioni dei clienti.
  • Recupero del criterio IAM per una risorsa.
  • Recupero del job Dataflow di un cliente.
GoogleInternal.Query Indica un'azione di query eseguita sui contenuti del cliente con una giustificazione aziendale valida. L'azione di query viene eseguita utilizzando un'API interna progettata specificamente per l'amministrazione dei servizi. Google Cloud Questo metodo non modifica i contenuti o le configurazioni dei clienti.
  • Esecuzione di una query BigQuery.
  • Ricerca nella console di debug di AI Platform sui contenuti dei clienti.

Gli accessi GoogleInternal sono strettamente limitati al personale autorizzato per un accesso giustificato e verificabile. La presenza di un metodo non indica la disponibilità per tutti i ruoli. Le organizzazioni che cercano controlli avanzati sull'accesso amministrativo a un progetto o a un'organizzazione possono attivare Access Approval per consentire l'approvazione o il rifiuto degli accessi in base ai dettagli di accesso. Ad esempio, gli utenti di Access Approval possono scegliere di consentire solo le richieste con la CUSTOMER_INITIATED_SUPPORT giustificazione per le richieste effettuate da un dipendente di Google. Per saperne di più, consulta Panoramica dell'approvazione di accesso.

Se un evento soddisfa i criteri rigorosi di accesso di emergenza, Access Approval può registrare l'accesso di emergenza con lo stato auto approved. Access Transparency e Access Approval sono progettati specificamente per includere la registrazione ininterrotta per gli scenari di accesso di emergenza.

Se cerchi un maggiore controllo sulla sicurezza dei dati per i tuoi carichi di lavoro, ti consigliamo di utilizzare Assured Workloads. I progetti Assured Workloads offrono funzionalità avanzate come residenza dei dati, controlli sovrani e accesso a funzionalità come il confidential computing in Compute Engine. Sfrutta Key Access Justifications per le chiavi di crittografia gestite esternamente.

Codici motivo di giustificazione

Motivo Descrizione
CUSTOMER_INITIATED_SUPPORT Assistenza richiesta dal cliente, ad esempio "Numero richiesta: ####".
GOOGLE_INITIATED_SERVICE

Si riferisce all'accesso avviato da Google per la gestione e la risoluzione dei problemi del sistema. Il personale di Google può effettuare questo tipo di accesso per i seguenti motivi:

  • Per eseguire il debug tecnico necessario per una richiesta di assistenza o un'indagine complessa.
  • Per risolvere problemi tecnici, come problemi allo spazio di archiviazione o danneggiamento dei dati.
  • Assistenza proattiva da parte dei team Technical Account Management. **Contrassegnato con il dettaglio del motivo "Assistenza TAM"**
THIRD_PARTY_DATA_REQUEST Accesso avviato da Google in risposta a una richiesta di tipo legale o a un procedimento giudiziario, inclusi i casi in cui il nostro accesso ai dati di un cliente è necessario per rispondere a un procedimento giudiziario avviato da quest'ultimo.
GOOGLE_INITIATED_REVIEW Accesso avviato da Google per motivi legati a sicurezza, frode, abuso o conformità, tra cui:
  • Per garantire la sicurezza degli account e dei dati dei clienti.
  • Per verificare se i dati sono stati interessati da un evento che potrebbe influenzare la sicurezza dell'account (ad esempio infezioni da malware).
  • Per verificare se il cliente utilizza i servizi Google in conformità con i Termini di servizio di Google.
  • Per esaminare reclami di altri utenti e clienti o altri segnali di attività illecite.
  • Per verificare che i servizi Google vengano utilizzati in modo coerente con i relativi regimi di conformità (ad esempio, norme antiriciclaggio).
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Si riferisce all'accesso avviato da Google per garantire l'affidabilità del sistema. Il personale di Google può effettuare questo tipo di accesso per i seguenti motivi:

  • Per esaminare e confermare che una sospetta interruzione del servizio non riguardi il cliente.
  • Per garantire il backup e il ripristino da interruzioni del servizio e malfunzionamenti del sistema.

Monitoraggio dei log di Access Transparency

Puoi monitorare i log di Access Transparency utilizzando l'API Cloud Monitoring. Per iniziare, consulta la documentazione di Monitoring.

Puoi configurare una metrica basata su log e poi impostare un criterio di avviso per ricevere una notifica tempestiva dei problemi rilevati da questi log. Ad esempio, puoi creare una metrica basata su log che acquisisce gli accessi del personale di Google ai tuoi contenuti e poi creare un criterio di avviso in Monitoring che ti avvisa se il numero di accessi in un determinato periodo supera una soglia specificata.

Passaggi successivi