Compreender e usar os registos da Transparência de acesso

Esta página descreve o conteúdo das entradas do registo da Transparência de acesso e como as ver e usar.

Registos da Transparência de acesso em detalhe

Os registos da Transparência de acesso podem ser integrados com as suas ferramentas de informação de segurança e gestão de eventos (SIEM) existentes para automatizar as suas auditorias ao pessoal da Google quando este acede ao seu conteúdo. Os registos da Transparência de acesso estão disponíveis na Google Cloud consola juntamente com os registos de auditoria do Google Cloud.

As entradas do registo da Transparência de acesso incluem os seguintes tipos de detalhes:

  • O recurso e a ação afetados.
  • A hora da ação.
  • Os motivos da ação (por exemplo, o número do registo associado a um pedido de apoio ao cliente).
  • Dados sobre quem está a agir sobre o conteúdo (por exemplo, a localização do pessoal da Google).

Ativar a Transparência de acesso

Para obter informações sobre como ativar a Transparência de acesso para a sua Google Cloud organização, consulte o artigo Ativar a Transparência de acesso.

Visualizar registos da Transparência de acesso

Depois de configurar a Transparência de acesso para a sua Google Cloud organização, pode definir controlos para quem pode aceder aos registos da Transparência de acesso atribuindo a um utilizador ou a um grupo a função Visualizador de registos privados. Consulte o guia de controlo de acesso do Cloud Logging para ver detalhes.

Para ver os registos da Transparência de acesso, use o seguinte filtro de registo do Google Cloud Observability.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Para saber como ver os seus registos da Transparência de acesso no Explorador de registos, consulte o artigo Usar o Explorador de registos.

Também pode monitorizar os registos através da API Cloud Monitoring ou das funções do Cloud Run. Para começar, consulte a documentação do Cloud Monitoring.

Opcional: crie uma métrica baseada em registos e, em seguida, configure uma política de alertas para receber notificações atempadas sobre problemas apresentados por estes registos.

Exemplo de entrada do registo da Transparência de acesso

Segue-se um exemplo de uma entrada de registo da Transparência de acesso:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  permissionDetails:[
    0: {
     permissionType: "DATA_READ"
     logAccessed: false
   }
   1: {
     permissionType: "ADMIN_READ"
     logAccessed: true
    }
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Descrições dos campos de registo

Campo Descrição
insertId Identificador exclusivo do registo.
@type Identificador do registo da Transparência de acesso.
principalOfficeCountry Código de país ISO 3166-1 alfa-2 do país em que o acessor tem uma mesa permanente, ?? se a localização não estiver disponível, ou identificador de continente de 3 carateres onde o pessoal da Google se encontra num país com baixa população.
principalEmployingEntity A entidade que emprega o pessoal da Google que está a fazer o acesso (por exemplo, Google LLC).
principalPhysicalLocationCountry Código de país ISO 3166-1 alfa-2 do país a partir do qual o acesso foi feito, ?? se a localização não estiver disponível, ou identificador de continente de 3 carateres onde o pessoal da Google se encontra num país com baixa população.
principalJobTitle A família profissional do pessoal da Google que está a efetuar o acesso.
product Google Cloud Produto do cliente ao qual foi acedido.
reason:detail Detalhes do motivo, por exemplo, um ID do pedido de apoio técnico.
reason:type Acesso tipo de motivo (por exemplo, CUSTOMER_INITIATED_SUPPORT).
permissionDetails Detalhes sobre as autorizações associadas a um acesso. Podem estar presentes até dois detalhes de permissionType. Para mais informações, consulte Valores para detalhes de autorizações.
accesses:methodName Que tipo de acesso foi feito. Por exemplo, GoogleInternal.Read. Para mais informações acerca dos métodos que podem aparecer no campo methodName, consulte Valores para o campo accesses: methodName.
accesses:resourceName Nome do recurso que foi acedido.
accessApprovals Inclui os nomes dos recursos dos pedidos de aprovação de acesso que aprovaram o acesso. Estes pedidos estão sujeitos a exclusões e serviços suportados.

Este campo só é preenchido se a aprovação de acesso estiver ativada para os recursos acedidos. Os registos de transparência de acesso publicados antes de 24 de março de 2021 não têm este campo preenchido.
logName Nome da localização do registo.
operation:id ID do cluster de registos.
receiveTimestamp Hora em que o acesso foi recebido pelo pipeline de registo.
project_id Projeto associado ao recurso acedido.
type Tipo de recurso acedido (por exemplo, project).
eventId ID do evento único associado a uma única justificação de evento de acesso (por exemplo, um único registo de apoio técnico). Todos os acessos registados na mesma justificação têm o mesmo valor event_id.
severity Gravidade do registo.
timestamp Hora em que o registo foi escrito.

Valores do campo permissionDetails

Os seguintes detalhes de autorizações estão disponíveis nos registos da Transparência de acesso:

  • permissionType: indica o tipo de autorização da gestão de identidade e de acesso (IAM) associado aos dados acedidos pelo administrador do Google. Por exemplo, pode encontrar os tipos de autorização para cada método da API pública do Cloud SQL na documentação do SQL. Os tipos de autorizações indicam a autorização máxima presente, mesmo que um acesso tivesse sido possível com um tipo de autorização inferior. -- test
  • is_log_access: este campo indica se uma autorização de acesso de leitura de dados ou de administrador está limitada a acessos de registo. Por exemplo, um acesso data_read aos registos do Log Analytics é acompanhado de "is_log_access = true", o que indica que a autorização data_read está limitada aos dados de registo.
Tipo de autorização do IAM Descrição Exemplos
"Administrador" Autorizações de acesso limitadas à configuração e aos metadados.
admin_read Significa um acesso de leitura limitado a uma configuração, a um registo ou a dados semelhantes. Consulte o Tipo de autorização do IAM para ver mais detalhes.
admin_write Significa um acesso de leitura ou escrita limitado a uma configuração, um registo ou dados semelhantes. Consulte o Tipo de autorização do IAM para ver mais detalhes.
"Data" Acessos que podem conter autorizações para aceder a dados fornecidos pelos utilizadores.
data_read Significa um acesso de leitura que pode conter Dados do Cliente. Um acesso com o tipo de autorização data_read indica que o administrador tinha autorização para aceder aos dados de clientes. No entanto, não é uma confirmação de que os dados de clientes foram acedidos. Consulte o Tipo de autorização do IAM para ver mais detalhes.
data_write Significa um acesso de leitura ou escrita que pode conter dados de clientes. Um acesso com o tipo de autorização data_write indica que o administrador pode ter a autorização para modificar os dados de clientes. No entanto, não é uma confirmação de que os dados de clientes foram acedidos ou modificados. Além disso, se não for possível validar o tipo de autorização, o acesso é registado como data_write. Consulte o Tipo de autorização do IAM para ver mais detalhes.
is_log_access Descrição
true Significa um acesso limitado ao acesso de leitura dos dados de registo. Esta propriedade expande o campo permissionType. Os acessos etiquetados como verdadeiros indicam que o acesso é apenas aos dados de registo, sem acesso direto aos dados.
false Significa que o acesso não se limita à leitura de registos.

Valores do campo accesses:methodNames

Os seguintes métodos podem aparecer no campo accesses:methodNames nos registos da Transparência de acesso:

  • Métodos padrão: estes métodos são List, Get, Create, Update e Delete. Para mais informações, consulte o artigo Métodos padrão.
  • Métodos personalizados: os métodos personalizados referem-se a métodos da API além dos 5 métodos padrão. Os métodos personalizados comuns incluem Cancel, BatchGet, Move, Search e Undelete. Para mais informações, consulte Métodos personalizados.
  • Métodos GoogleInternal: seguem-se exemplos de métodos GoogleInternal que aparecem no campo accesses:methodNames:
Nome do método Descrição Exemplos
GoogleInternal.Read Significa uma ação de leitura realizada no conteúdo do cliente com uma justificação empresarial válida. A ação de leitura ocorre através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método não altera o conteúdo do cliente. Ler autorizações de IAM.
GoogleInternal.Write Significa uma ação de escrita realizada no conteúdo do cliente com uma justificação empresarial válida. A ação de escrita ocorre através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método pode atualizar o conteúdo e/ou as configurações do cliente.
  • Definir autorizações da IAM para um recurso.
  • Suspender uma instância do Compute Engine.
GoogleInternal.Create Significa uma ação de criação realizada no conteúdo do cliente com uma justificação empresarial válida. A ação de criação ocorre através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método cria conteúdo de novos clientes.
  • Criar um contentor do Cloud Storage.
  • Criar um tópico Pub/Sub.
GoogleInternal.Delete Significa uma ação de eliminação realizada no conteúdo do cliente através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método altera o conteúdo e/ou as configurações do cliente.
  • Eliminar um objeto do Cloud Storage.
  • Eliminar uma tabela do BigQuery.
GoogleInternal.List Significa uma ação de lista realizada em conteúdo de clientes com uma justificação empresarial válida. A ação de listagem ocorre através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método não altera o conteúdo nem as configurações do cliente.
  • Listar as instâncias do Compute Engine de um cliente.
  • Listar as tarefas do Dataflow de um cliente.
GoogleInternal.Update Significa uma modificação realizada no conteúdo do cliente com uma justificação empresarial válida. A ação de atualização ocorre através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método altera o conteúdo e/ou as configurações do cliente. Atualizar chaves HMAC no Cloud Storage.
GoogleInternal.Get Significa uma ação de obtenção realizada no conteúdo do cliente com uma justificação empresarial válida. A ação get ocorre através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método não altera o conteúdo nem as configurações do cliente.
  • A obter a Política IAM para um recurso.
  • Obter a tarefa do Dataflow de um cliente.
GoogleInternal.Query Significa uma ação de consulta realizada no conteúdo do cliente com uma justificação empresarial válida. A ação de consulta ocorre através de uma API interna especificamente concebida para administrar Google Cloud serviços. Este método não altera o conteúdo nem as configurações do cliente.
  • Executar uma consulta do BigQuery.
  • Consulta da consola de depuração da plataforma de IA no conteúdo do cliente.

Os acessos GoogleInternal estão estritamente restritos a pessoal autorizado para acesso justificado e auditável. A presença de um método não indica a disponibilidade para todas as funções. As organizações que procuram controlos melhorados sobre o acesso administrativo num projeto ou numa organização podem ativar a aprovação de acesso para permitir ou recusar acessos com base nos detalhes de acesso. Por exemplo, os utilizadores da Aprovação de acesso podem optar por permitir apenas pedidos com a justificação CUSTOMER_INITIATED_SUPPORT para pedidos feitos por um funcionário da Google. Para mais informações, consulte o artigo Vista geral da aprovação de acessos.

Se um evento cumprir os critérios de acesso de emergência rigorosos, a Aprovação de acesso pode registar esse acesso de emergência com o estado auto approved. A Transparência de acesso e a Aprovação de acesso foram especificamente concebidas para incluir o registo ininterrupto para cenários de acesso de emergência.

Se procura um controlo de segurança de dados mais rigoroso sobre as suas cargas de trabalho, recomendamos que use o Assured Workloads. Os projetos do Assured Workloads oferecem funcionalidades melhoradas, como residência dos dados, controlos soberanos e acesso a funcionalidades como a computação confidencial no Compute Engine. Tira partido das justificações de acesso a chaves para chaves de encriptação geridas externamente.

Códigos de motivos de justificação

Motivo Descrição
CUSTOMER_INITIATED_SUPPORT Apoio técnico iniciado pelo cliente, por exemplo, "Número do registo: ####".
GOOGLE_INITIATED_SERVICE

Refere-se ao acesso iniciado pela Google para gestão do sistema e resolução de problemas. O pessoal da Google pode conceder este tipo de acesso pelos seguintes motivos:

  • Para realizar a depuração técnica necessária para um pedido de apoio técnico complexo ou uma investigação.
  • Para corrigir problemas técnicos, como falhas de armazenamento ou corrupção de dados.
  • Apoio técnico proativo das equipas de gestão técnica de contas. **Etiquetado com o detalhe do motivo "Apoio técnico do GAC"**
THIRD_PARTY_DATA_REQUEST Acesso iniciado pela Google em resposta a uma solicitação legal ou a um processo legal, incluindo quando responde a um processo legal do cliente que exige que a Google aceda aos dados do próprio cliente.
GOOGLE_INITIATED_REVIEW Acesso iniciado pela Google para fins de segurança, fraudes, abusos ou conformidade, incluindo:
  • Garantir a segurança das contas e dos dados dos clientes.
  • Confirmar se os dados são afetados por um evento que possa afetar a segurança da conta (por exemplo, infeções por software malicioso).
  • Confirmar se o cliente está a usar os serviços Google em conformidade com os Termos de Utilização da Google.
  • Investigar queixas de outros utilizadores e clientes, ou outros sinais de atividade abusiva.
  • Verificar se os serviços Google estão a ser usados de forma consistente com os regimes de conformidade relevantes (por exemplo, regulamentos contra o branqueamento de capitais).
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Refere-se ao acesso iniciado pela Google para manter a fiabilidade do sistema. O pessoal da Google pode conceder este tipo de acesso pelos seguintes motivos:

  • Para investigar e confirmar que uma suspeita de indisponibilidade do serviço não afeta o cliente.
  • Para garantir a cópia de segurança e a recuperação de falhas de energia e do sistema.

Monitorizar registos da Transparência de acesso

Pode monitorizar os registos da Transparência de acesso através da API Cloud Monitoring. Para começar, consulte a documentação de monitorização.

Pode configurar uma métrica baseada em registos e, em seguida, configurar uma política de alertas para receber informações atempadas sobre os problemas apresentados por estes registos. Por exemplo, pode criar uma métrica baseada em registos que capture os acessos do pessoal da Google ao seu conteúdo e, em seguida, criar uma política de alerta na monitorização que lhe permita saber se o número de acessos num determinado período excede um limite especificado.

O que se segue?