Memahami dan menggunakan log Transparansi Akses

Halaman ini menjelaskan konten dalam entri log Transparansi Akses dan cara melihat serta menggunakannya.

Log Transparansi Akses secara mendetail

Log Transparansi Akses dapat diintegrasikan dengan alat informasi keamanan dan pengelolaan peristiwa (SIEM) yang sudah ada untuk mengotomatiskan audit Anda atas personel Google saat mereka mengakses konten Anda. Log Transparansi Akses tersedia di konsol bersama dengan Cloud Audit Logs Anda. Google Cloud

Entri log Transparansi Akses mencakup jenis detail berikut:

  • Tindakan dan resource yang terpengaruh.
  • Waktu tindakan.
  • Alasan tindakan tersebut diambil (misalnya, nomor kasus yang terkait dengan permintaan dukungan pelanggan).
  • Data tentang siapa yang bertindak atas konten tersebut (misalnya, lokasi personel Google).

Mengaktifkan Transparansi Akses

Untuk mengetahui informasi tentang cara mengaktifkan Transparansi Akses bagi Google Cloud organisasi Anda, lihat Mengaktifkan Transparansi Akses.

Melihat log Transparansi Akses

Setelah mengonfigurasi Transparansi Akses untuk organisasi Google Cloud Anda, Anda dapat menetapkan kontrol untuk menentukan siapa yang dapat mengakses log Transparansi Akses dengan memberi pengguna atau grup peran Private Logs Viewer. Lihat panduan kontrol akses Cloud Logging untuk mengetahui detailnya.

Untuk melihat log Transparansi Akses, gunakan filter logging Google Cloud Observability berikut.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Untuk mempelajari cara melihat log Transparansi Akses di Logs Explorer, lihat Menggunakan Logs Explorer.

Anda juga dapat memantau log menggunakan Cloud Monitoring API atau menggunakan fungsi Cloud Run. Untuk memulai, lihat dokumentasi Cloud Monitoring.

Opsional: Buat metrik berbasis log, lalu siapkan kebijakan pemberitahuan untuk memberi Anda informasi tepat waktu tentang masalah yang muncul dari log ini.

Contoh entri log Transparansi Akses

Berikut adalah contoh entri log Transparansi Akses:

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Deskripsi kolom log

Kolom Deskripsi
insertId ID unik untuk log.
@type ID log Transparansi Akses.
principalOfficeCountry Kode negara ISO 3166-1 alpha-2 tempat pengakses memiliki kantor permanen, ?? jika lokasi tidak tersedia, atau ID benua 3 karakter tempat personel Google berada di negara dengan populasi rendah.
principalEmployingEntity Entitas yang mempekerjakan personel Google yang melakukan akses (misalnya, Google LLC).
principalPhysicalLocationCountry Kode negara ISO 3166-1 alpha-2 dari negara tempat akses dilakukan, ?? jika lokasi tidak tersedia, atau ID benua 3 karakter tempat personel Google berada di negara dengan populasi rendah.
principalJobTitle Kategori pekerjaan staf Google yang melakukan akses.
product Produk Google Cloud pelanggan yang diakses.
reason:detail Detail alasan, misalnya, ID tiket dukungan.
reason:type Akses jenis alasan (misalnya, CUSTOMER_INITIATED_SUPPORT).
accesses:methodName Jenis akses yang dilakukan. Misalnya, GoogleInternal.Read. Untuk mengetahui informasi selengkapnya tentang metode yang dapat muncul di kolom methodName, lihat Nilai untuk kolom accesses: methodName.
accesses:resourceName Nama resource yang diakses.
accessApprovals Mencakup nama resource permintaan Persetujuan Akses yang menyetujui akses. Permintaan ini tunduk pada pengecualian dan layanan yang didukung.

Kolom ini hanya diisi jika Persetujuan Akses diaktifkan untuk resource yang diakses. Log Transparansi Akses yang dipublikasikan sebelum 24 Maret 2021 tidak akan memiliki kolom ini.
logName Nama lokasi log.
operation:id ID cluster log.
receiveTimestamp Waktu akses diterima oleh pipeline logging.
project_id Project yang terkait dengan resource yang diakses.
type Jenis resource yang diakses (misalnya, project).
eventId ID peristiwa unik yang terkait dengan satu pembenaran peristiwa akses (misalnya, satu kasus dukungan). Semua akses yang dicatat ke justifikasi yang sama memiliki nilai event_id yang sama.
severity Tingkat keparahan log.
timestamp Waktu penulisan log.

Nilai untuk kolom accesses:methodNames

Metode berikut dapat muncul di kolom accesses:methodNames dalam log Transparansi Akses:

  • Metode standar: Metode ini adalah List, Get, Create, Update, dan Delete. Untuk mengetahui informasi selengkapnya, lihat Metode standar.
  • Metode kustom: Metode kustom mengacu pada metode API selain 5 metode standar. Metode kustom umum mencakup Cancel, BatchGet, Move, Search, dan Undelete. Untuk mengetahui informasi selengkapnya, lihat Metode kustom.
  • Metode GoogleInternal: Berikut adalah contoh metode GoogleInternal yang muncul di kolom accesses:methodNames:
Nama metode Deskripsi Contoh
GoogleInternal.Read Menandakan tindakan baca yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan baca terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud . Metode ini tidak mengubah konten pelanggan. Membaca izin IAM.
GoogleInternal.Write Menandakan tindakan penulisan yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan tulis terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud . Metode ini dapat memperbarui konten dan/atau konfigurasi pelanggan.
  • Menetapkan izin IAM untuk resource.
  • Menangguhkan instance Compute Engine.
GoogleInternal.Create Menandakan tindakan pembuatan yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan pembuatan terjadi menggunakan API internal yang dirancang khusus untuk mengelola Google Cloud layanan. Metode ini membuat konten pelanggan baru.
  • Membuat bucket Cloud Storage.
  • Membuat topik Pub/Sub.
GoogleInternal.Delete Menandakan tindakan penghapusan yang dilakukan pada konten pelanggan menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud . Metode ini mengubah konten dan/atau konfigurasi pelanggan.
  • Menghapus objek Cloud Storage.
  • Menghapus tabel BigQuery.
GoogleInternal.List Menandakan tindakan daftar yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan pencantuman terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud . Metode ini tidak mengubah konten atau konfigurasi pelanggan.
  • Mencantumkan instance Compute Engine pelanggan.
  • Mencantumkan tugas Dataflow pelanggan.
GoogleInternal.Update Menandakan modifikasi yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan update terjadi menggunakan API internal yang dirancang khusus untuk mengelola Google Cloud layanan. Metode ini mengubah konten dan/atau konfigurasi pelanggan. Memperbarui kunci HMAC di Cloud Storage.
GoogleInternal.Get Menandakan tindakan pengambilan yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan get terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud . Metode ini tidak mengubah konten atau konfigurasi pelanggan.
  • Mengambil kebijakan IAM untuk resource.
  • Mengambil tugas Dataflow pelanggan.
GoogleInternal.Query Menandakan tindakan kueri yang dilakukan pada konten pelanggan dengan justifikasi bisnis yang valid. Tindakan kueri terjadi menggunakan API internal yang dirancang khusus untuk mengelola layanan Google Cloud . Metode ini tidak mengubah konten atau konfigurasi pelanggan.
  • Menjalankan kueri BigQuery.
  • Pencarian konsol penelusuran AI Platform pada konten pelanggan.

Akses GoogleInternal dibatasi secara ketat untuk personel yang berwenang dengan akses yang dapat diaudit dan memiliki justifikasi. Keberadaan metode tidak menunjukkan ketersediaan untuk semua peran. Organisasi yang menginginkan kontrol yang lebih baik atas akses administratif di project atau organisasi dapat mengaktifkan Persetujuan Akses untuk mengizinkan atau menolak akses berdasarkan detail akses. Misalnya, pengguna Persetujuan Akses dapat memilih untuk hanya mengizinkan permintaan dengan justifikasi CUSTOMER_INITIATED_SUPPORT untuk permintaan yang dibuat oleh karyawan Google. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Persetujuan Akses.

Jika suatu peristiwa memenuhi kriteria akses darurat yang ketat, Persetujuan Akses dapat mencatat akses darurat tersebut dengan status auto approved. Transparansi Akses dan Persetujuan Akses dirancang khusus untuk menyertakan logging tanpa gangguan untuk skenario akses darurat.

Jika Anda mencari kontrol keamanan data yang lebih besar atas workload Anda, sebaiknya gunakan Assured Workloads. Project Assured Workloads menawarkan fungsi yang ditingkatkan seperti residensi data, kontrol berdaulat, dan akses ke fitur seperti confidential computing di Compute Engine. Fitur ini memanfaatkan Alasan Akses Kunci untuk kunci enkripsi yang dikelola secara eksternal.

Kode alasan justifikasi

Alasan Deskripsi
CUSTOMER_INITIATED_SUPPORT Dukungan yang dimulai pelanggan, misalnya, "Nomor Kasus: ####".
GOOGLE_INITIATED_SERVICE

Mengacu pada akses yang dimulai Google untuk pengelolaan dan pemecahan masalah sistem. Personel Google dapat memberikan jenis akses ini karena alasan berikut:

  • Untuk melakukan proses debug teknis yang diperlukan untuk permintaan dukungan atau investigasi yang kompleks.
  • Untuk memperbaiki masalah teknis, seperti kegagalan penyimpanan atau kerusakan data.
  • Dukungan proaktif oleh tim Technical Account Management. **Ditandai dengan detail alasan "Dukungan TAM"**
THIRD_PARTY_DATA_REQUEST Akses yang dimulai Google sebagai respons terhadap permintaan hukum atau proses hukum, termasuk saat menanggapi proses hukum dari pelanggan yang mengharuskan Google mengakses data milik pelanggan.
GOOGLE_INITIATED_REVIEW Akses yang dimulai Google untuk tujuan terkait keamanan, penipuan, penyalahgunaan, atau kepatuhan, termasuk:
  • Memastikan keamanan dan keselamatan akun serta data pelanggan.
  • Mengonfirmasi apakah data terdampak oleh peristiwa yang dapat memengaruhi keamanan akun (misalnya, infeksi malware).
  • Mengonfirmasi apakah pelanggan menggunakan layanan Google sesuai dengan Persyaratan Layanan Google.
  • Menyelidiki keluhan oleh pengguna dan pelanggan lain, atau tanda-tanda lainnya terkait aktivitas penyalahgunaan.
  • Memeriksa apakah layanan Google digunakan sesuai dengan sistem kepatuhan yang relevan (misalnya, peraturan anti-pencucian uang).
GOOGLE_RESPONSE_TO_PRODUCTION_ALERT

Mengacu pada akses yang dimulai Google untuk menjaga keandalan sistem. Personel Google dapat memberikan jenis akses ini karena alasan berikut:

  • Untuk menyelidiki dan mengonfirmasi bahwa dugaan pemadaman layanan tidak memengaruhi pelanggan.
  • Untuk memastikan pencadangan dan pemulihan dari pemadaman layanan dan kegagalan sistem.

Memantau log Transparansi Akses

Anda dapat memantau log Transparansi Akses menggunakan Cloud Monitoring API. Untuk memulai, lihat dokumentasi Cloud Monitoring.

Anda dapat menyiapkan metrik berbasis log, lalu menyiapkan kebijakan pemberitahuan untuk memberi Anda informasi tepat waktu tentang masalah yang muncul dari log ini. Misalnya, Anda dapat membuat metrik berbasis log yang mencatat akses personel Google ke konten Anda, lalu membuat kebijakan pemberitahuan di Monitoring yang memberi tahu Anda jika jumlah akses dalam jangka waktu tertentu melebihi nilai minimum yang ditentukan.

Langkah berikutnya