瞭解和使用資料存取透明化控管機制記錄檔

本頁面說明資料存取透明化控管機制記錄項目的內容,以及如何查看及使用這些項目。

資料存取透明化控管機制記錄的詳細資訊

資料存取透明化控管機制記錄可與現有安全性資訊與事件管理 (SIEM) 工具整合,來自動化稽核 Google 人員存取您內容的動作。資料存取透明化控管機制記錄可與 Cloud 稽核記錄一起在 Google Cloud 控制台中取得。

資料存取透明化控管機制記錄項目包含下列類型的詳細資訊:

  • 受影響的資源與動作。
  • 動作的時間。
  • 動作的原因 (例如,與客戶服務要求有關的客服案件編號)。
  • 處理內容的人員相關資料 (例如,Google 人員的位置)。

啟用資料存取透明化控管機制

如要瞭解如何為 Google Cloud 機構啟用資料存取透明化控管機制,請參閱「啟用資料存取透明化控管機制」。

查看資料存取透明化控管機制記錄

為機構設定資料存取透明化控管機制後,您可以為使用者或群組指派「私密記錄檢視者」 Google Cloud角色,控管哪些人可以存取資料存取透明化控管機制記錄。詳情請參閱 Cloud Logging 存取權控管指南

如要查看資料存取透明化控管機制記錄,請使用下列 Google Cloud Observability 記錄篩選器。

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

如要瞭解如何在記錄檔探索工具中查看資料存取透明化控管機制記錄,請參閱使用記錄檔探索工具一文。

您也可以使用 Cloud Monitoring API 或 Cloud Run 函式監控記錄。如要開始使用,請參閱 Cloud Monitoring 說明文件

選用:建立記錄指標,然後設定快訊政策,方便您即時瞭解這些記錄顯現的問題。

資料存取透明化控管機制記錄項目範例

以下是資料存取透明化控管機制記錄項目的範例:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  permissionDetails:[
    0: {
     permissionType: "DATA_READ"
     logAccessed: false
   }
   1: {
     permissionType: "ADMIN_READ"
     logAccessed: true
    }
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

記錄欄位說明

欄位 說明
insertId 記錄的不重複 ID。
@type 資料存取透明化控管機制記錄 ID。
principalOfficeCountry 存取者擁有常設辦公地點之國家/地區的 ISO 3166-1 alpha-2 國家/地區代碼,若位置資訊不明,則為 ??,若 Google 員工位於低人口國家/地區,則為 3 個字元的洲別 ID。
principalEmployingEntity 雇用執行存取人員的 Google 實體 (例如 Google LLC)。
principalPhysicalLocationCountry 執行存取的位置所屬國家/地區的 ISO 3166-1 alpha-2 國家/地區代碼,??若位置資訊不明,則為「??」,若 Google 員工位於低人口國家/地區,則為 3 個字元的洲別 ID。
principalJobTitle 執行存取作業的 Google 人員所屬的職位類別。
product 存取的客戶 Google Cloud 產品。
reason:detail 原因的詳細資料,例如支援票證 ID。
reason:type 存取原因類型 (例如 CUSTOMER_INITIATED_SUPPORT)
permissionDetails 與存取權相關的權限詳細資料。最多可顯示兩項 permissionType 詳細資料。詳情請參閱 權限詳細資料的值
accesses:methodName 執行的存取類型。例如,GoogleInternal.Read。如要進一步瞭解 methodName 欄位中可能顯示的方法,請參閱「accesses: methodName 欄位的值」
accesses:resourceName 存取的資源名稱
accessApprovals 包括核准存取要求的 Access Approval 資源名稱。這些要求須符合排除條件支援的服務

只有在存取資源啟用存取權核准時,系統才會填入這個欄位。如果資料存取透明化控管機制記錄檔的發布日期早於 2021 年 3 月 24 日,則不會填入這個欄位。
logName 記錄位置的名稱。
operation:id 記錄叢集 ID。
receiveTimestamp 記錄管道獲得存取權的時間。
project_id 與存取的資源相關的專案。
type 存取的資源類型 (例如 project)。
eventId 與單一存取事件理由相關聯的專屬事件 ID (例如單一支援案件)。記錄在相同理由中的所有存取權,都會有相同的 event_id 值。
severity 記錄嚴重性。
timestamp 寫入記錄的時間。

permissionDetails 欄位的值

資料存取透明化控管機制記錄會提供下列權限詳細資料:

  • permissionType:指出與 Google 管理員存取資料相關的Identity and Access Management (IAM) 權限類型。舉例來說,您可以在 SQL 說明文件中,找到 Cloud SQL 各項公開 API 方法的權限類型。權限類型會指出可用的最高權限,即使使用較低的權限類型也能存取,系統仍會顯示最高權限。-- test
  • is_log_access:此欄位表示管理員或資料讀取存取權是否僅限於記錄存取權。舉例來說,如果資料讀取權限是針對 Log Analytics 記錄檔,則「is_log_access = true」會一併顯示,表示資料讀取權限僅限於記錄檔資料。
IAM 權限類型 說明 範例
「管理員」 存取權限僅限於設定和中繼資料。
admin_read 表示讀取存取權僅限於設定、記錄或類似資料。 詳情請參閱「IAM 權限類型」。
admin_write 表示讀取或寫入存取權僅限於設定、記錄或類似資料。 詳情請參閱「IAM 權限類型」。
「資料」 可能包含存取使用者提供資料的權限。
data_read 表示可能包含「客戶資料」的讀取權限。如果存取權類型為 data_read,表示管理員有權存取客戶資料,但這不代表客戶資料遭到存取。 詳情請參閱「IAM 權限類型」。
data_write 表示可能包含客戶資料的讀取或寫入存取權。如果存取權類型為「data_write」,表示管理員可能有權修改客戶資料,但這不代表管理員已存取或修改客戶資料。此外,如果無法驗證權限類型,存取權會記錄為 data_write。 詳情請參閱「IAM 權限類型」。
is_log_access 說明
true 表示只能讀取記錄資料。這個屬性會擴充 permissionType 欄位。標示為 true 的存取權表示只能存取記錄資料,無法直接存取資料。
false 表示存取權不限於讀取記錄。

accesses:methodNames」欄位的值

資料存取透明化控管機制記錄的 accesses:methodNames 欄位中可能會顯示下列方法:

  • 標準方法:這些方法包括 ListGetCreateUpdateDelete。詳情請參閱標準方法
  • 自訂方法:自訂方法是 5 種標準方法以外的 API 方法,常見的自訂方法包括 CancelBatchGetMoveSearchUndelete。詳情請參閱「自訂方法」。
  • GoogleInternal 方法:以下是 accesses:methodNames 欄位中顯示的 GoogleInternal 方法範例:
方法名稱 說明 範例
GoogleInternal.Read 表示對客戶內容執行讀取動作,且有正當業務理由。讀取動作是透過專為管理服務設計的內部 API 執行。 Google Cloud 這個方法不會變動顧客內容。 讀取 IAM 權限。
GoogleInternal.Write 表示對顧客內容執行寫入動作,且有正當的業務理由。寫入動作是透過專為管理 Google Cloud 服務設計的內部 API 進行。這個方法可以更新顧客內容和/或設定。
  • 為資源設定 IAM 權限。
  • 暫停 Compute Engine 執行個體。
GoogleInternal.Create 表示對客戶內容執行建立動作,且有正當業務理由。建立動作是透過專門用於管理 Google Cloud 服務的內部 API 進行。這個方法會建立新的顧客內容。
  • 建立 Cloud Storage 值區。
  • 建立 Pub/Sub 主題。
GoogleInternal.Delete 表示使用專為管理 Google Cloud 服務設計的內部 API,對客戶內容執行刪除動作。這個方法會變更客戶內容和/或設定。
  • 刪除 Cloud Storage 物件。
  • 刪除 BigQuery 資料表。
GoogleInternal.List 表示對顧客內容執行清單動作,且有正當業務理由。這項列出動作是透過專為管理服務設計的內部 API 執行。 Google Cloud 這個方法不會變更客戶內容或設定。
  • 列出客戶的 Compute Engine 執行個體。
  • 列出客戶的 Dataflow 工作。
GoogleInternal.Update 表示已根據正當業務理由修改顧客內容。更新動作是透過專為管理服務設計的內部 API 執行。 Google Cloud 這個方法會變更客戶內容和/或設定。 更新 Cloud Storage 中的 HMAC 金鑰。
GoogleInternal.Get 表示對客戶內容執行「取得」動作,且有正當業務理由。系統會使用專為管理 Google Cloud 服務設計的內部 API 執行 get 動作。這個方法不會變更客戶內容或設定。
  • 擷取資源的身分與存取權管理政策。
  • 擷取顧客的 Dataflow 工作。
GoogleInternal.Query 表示對客戶內容執行的查詢動作,且有正當業務理由。查詢動作是透過專為管理 Google Cloud 服務設計的內部 API 執行。這個方法不會變更客戶內容或設定。
  • 執行 BigQuery 查詢。
  • 在客戶內容中查詢 AI Platform 偵錯控制台。

只有授權人員才能存取 GoogleInternal,且存取作業必須有正當理由並可供稽核。方法存在並不代表所有角色都能使用。如果機構想加強控管專案或機構的管理員存取權,可以啟用存取核准功能,根據存取詳細資料核准或拒絕存取要求。舉例來說,Access Approval 使用者可以選擇只允許 Google 員工提出要求時附上 CUSTOMER_INITIATED_SUPPORT 理由。詳情請參閱「存取權核准總覽」。

如果事件符合嚴格的緊急存取條件,Access Approval 可以記錄該緊急存取行為,並將狀態設為 auto approved。資料存取透明化控管機制和 Access Approval 專為緊急存取情境設計,可不間斷地記錄相關資訊。

如要進一步控管工作負載的資料安全性,建議使用 Assured Workloads。Assured Workloads 專案提供強化功能,例如資料駐留、主權控制,以及存取 Compute Engine 中的機密運算等功能。這項功能會針對外部代管的加密金鑰,運用金鑰存取依據

原因代碼

原因 說明
CUSTOMER_INITIATED_SUPPORT 客戶發起的支援,例如「案件編號:####」。
GOOGLE_INITIATED_SERVICE

指 Google 為進行系統管理和疑難排解而發起的存取行動。Google 人員可能基於下列原因進行這類存取:

  • 針對複雜的支援要求或調查進行必要的技術偵錯。
  • 修復儲存空間故障或資料損毀等技術問題。
  • 客戶技術管理團隊主動提供支援。 **標記原因詳細資料為「客戶技術顧問支援」**
THIRD_PARTY_DATA_REQUEST Google 為了回應法律要求或法律函狀而發起的存取要求,包括回覆來自客戶的法律函狀,且需要 Google 存取客戶資料的情況。
GOOGLE_INITIATED_REVIEW Google 基於安全、詐欺、濫用或法規遵循等方面的考量而發起的存取行動,包括:
  • 確保客戶帳戶與資料的安全。
  • 在發生可能影響帳戶安全性的事件時 (例如遭到惡意軟體感染),確認資料是否也受到影響。
  • 確認客戶是否在遵循 Google 服務條款的情況下使用 Google 服務。
  • 調查其他使用者與客戶的申訴,或其他濫用活動的徵兆。
  • 檢查 Google 服務是否與相關法規遵循制度一致 (例如反洗錢條例)。
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

指 Google 為維持系統穩定而發起的存取行動。Google 人員可能基於下列原因進行這類存取:

  • 調查並確認疑似服務中斷不會影響客戶。
  • 確保在服務中斷和系統故障時,備份並復原資料。

監控資料存取透明化控管機制記錄

您可以使用 Cloud Monitoring API 監控資料存取透明化控管機制記錄。如要開始使用,請參閱 Monitoring 說明文件

您可以設定記錄指標,然後設定快訊政策,以便即時瞭解這些記錄顯現的問題。舉例來說,您可以建立記錄指標,擷取 Google 人員存取您內容的記錄,然後在 Monitoring 中建立快訊政策,在指定時間範圍內的存取次數超過指定門檻時收到通知。

後續步驟