Os nomes de alguns pacotes de controle do Assured Workloads estão mudando. Para saber mais sobre a mudança de nome, consulte Aviso de renomeação do pacote de controle.

Esta página foi traduzida pela API Cloud Translation.

Detalhes sobre os registros da transparência no acesso e como usá-los

Nesta página, você vai encontrar o conteúdo das entradas de registro da transparência no acesso e como visualizá-las e usá-las.

Acessar registros de transparência em detalhes

Os registros de transparência no acesso podem ser integrados às ferramentas atuais de informações de segurança e gerenciamento de eventos (SIEM, na sigla em inglês) para automatizar as auditorias da equipe do Google ao acessar seu conteúdo. Os registros de Transparência no acesso estão disponíveis no console Google Cloud junto com os registros de auditoria do Cloud.

As entradas de registro da transparência no acesso incluem os seguintes tipos de detalhes:

o recurso e a ação afetados;
a hora da ação;
Os motivos da ação , por exemplo: o número do caso associado a uma solicitação de suporte ao cliente
Dados sobre quem está agindo no conteúdo, como a localização da equipe do Google

Como ativar a transparência no acesso

Para informações sobre como ativar a transparência no acesso na sua organização do Google Cloud , consulte Como ativar a transparência no acesso.

Como visualizar registros da transparência no acesso

Depois de configurar a transparência no acesso para sua organização do Google Cloud, defina controles de quem pode acessar os registros da transparência no acesso atribuindo a um usuário ou grupo o papel de Visualizador de registros particulares. Consulte o Guia de controle de acesso do Cloud Logging para mais detalhes.

Para conferir os registros de transparência no acesso, use o seguinte filtro de geração de registros da observabilidade do Google Cloud.

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

Para saber como visualizar registros da transparência no acesso no Explorador de registros, consulte Como usar o Explorador de registros.

Também é possível monitorar os registros usando a API Cloud Monitoring ou as funções do Cloud Run. Para começar, consulte a documentação do Cloud Monitoring.

Opcional: crie uma métrica com base em registros e configure uma política de alertas para receber avisos rapidamentes sobre problemas encontrados por esses registros.

Exemplo de entrada de registro da transparência no acesso

Este é um exemplo de uma entrada de registro de transparência no acesso.

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

Descrições do campo de registro

Campo	Descrição
`insertId`	Identificador exclusivo para o registro.
`@type`	Identificador do registro de transparência no acesso.
`principalOfficeCountry`	Código do país ISO 3166-1 Alfa-2, em que o acessador tem um espaço de trabalho permanente, `??` se o local não estiver disponível, ou um identificador de continente de três caracteres onde a equipe do Google está em um país com um número baixo de habitantes.
`principalEmployingEntity`	A entidade que emprega a equipe do Google responsável pelo acesso (por exemplo, `Google LLC`).
`principalPhysicalLocationCountry`	Código do país ISO 3166-1 Alfa-2 onde o acesso foi feito, `??` se o local não estiver disponível, ou um identificador de continente de três caracteres onde a equipe do Google está em um país com um número baixo de habitantes.
`principalJobTitle`	A família de trabalho da equipe do Google que está fazendo o acesso.
`product`	Produto Google Cloud do cliente que foi acessado.
`reason:detail`	Detalhes do motivo, por exemplo, um ID do tíquete de suporte.
`reason:type`	Acesse tipo de motivo, por exemplo, `CUSTOMER_INITIATED_SUPPORT)`.
`accesses:methodName`	Que tipo de acesso foi feito. Por exemplo, `GoogleInternal.Read` Para mais informações sobre os métodos que podem aparecer no campo `methodName`, consulte Valores para o campo `accesses: methodName`.
`accesses:resourceName`	Nome do recurso que foi acessado.
`accessApprovals`	Inclui os nomes de recursos das solicitações de Aprovação de acesso que aprovaram o acesso. Essas solicitações estão sujeitas a exclusões e serviços compatíveis. Esse campo só é preenchido se a aprovação de acesso estiver ativada para os recursos acessados. Os registros de transparência no acesso publicados antes de 24 de março de 2021 não terão esse campo preenchido.
`logName`	Nome do local do registro.
`operation:id`	Código do cluster de registro.
`receiveTimestamp`	Hora em que o acesso foi recebido pelo canal da geração de registros.
`project_id`	Projeto associado ao recurso que foi acessado.
`type`	Tipo de recurso que foi acessado, por exemplo, `project`.
`eventId`	ID exclusivo do evento associado a uma única justificativa de evento de acesso (por exemplo, um único caso de suporte). Todos os acessos registrados na mesma justificativa têm o mesmo valor de `event_id`.
`severity`	Gravidade do registro.
`timestamp`	Hora em que o registro foi gravado

Valores do campo `accesses:methodNames`

Os seguintes métodos podem aparecer no campo accesses:methodNames nos registros da Transparência no Acesso:

Métodos padrão: são List, Get, Create, Update e Delete. Para mais informações, consulte Métodos padrão.
Métodos personalizados: referem-se a métodos de API além dos cinco métodos padrão. Os métodos personalizados comuns incluem Cancel, BatchGet, Move, Search e Undelete. Para mais informações, consulte Métodos personalizados.
Métodos GoogleInternal: estes são exemplos de métodos GoogleInternal que aparecem no campo accesses:methodNames:

Nome do método	Descrição	Exemplos
`GoogleInternal.Read`	Significa uma ação de leitura realizada no conteúdo do cliente com uma justificativa comercial válida. A ação de leitura ocorre usando uma API interna projetada especificamente para administrar serviços do Google Cloud . Esse método não altera o conteúdo do cliente.	Leitura de permissões do IAM.
`GoogleInternal.Write`	Significa uma ação de gravação realizada no conteúdo do cliente com uma justificativa comercial válida. A ação de gravação ocorre usando uma API interna projetada especificamente para administrar serviços do Google Cloud . Esse método pode atualizar o conteúdo e/ou as configurações do cliente.	Definir permissões do IAM para um recurso. Suspender uma instância do Compute Engine.
`GoogleInternal.Create`	Significa uma ação de criação realizada no conteúdo do cliente com uma justificativa comercial válida. A ação de criação ocorre usando uma API interna projetada especificamente para administrar serviços do Google Cloud . Esse método cria conteúdo novo para o cliente.	criação de um bucket do Cloud Storage Como criar um tópico do Pub/Sub.
`GoogleInternal.Delete`	Significa uma ação de exclusão realizada no conteúdo do cliente usando uma API interna projetada especificamente para administrar serviços do Google Cloud . Esse método muda o conteúdo e/ou as configurações do cliente.	Excluir um objeto do Cloud Storage. Excluir uma tabela do BigQuery.
`GoogleInternal.List`	Significa uma ação de lista realizada no conteúdo do cliente com uma justificativa comercial válida. A ação de listagem ocorre usando uma API interna projetada especificamente para administrar serviços do Google Cloud . Esse método não muda o conteúdo ou as configurações do cliente.	Listar as instâncias do Compute Engine de um cliente. Listar os jobs do Dataflow de um cliente.
`GoogleInternal.Update`	Significa uma modificação realizada no conteúdo do cliente com uma justificativa comercial válida. A ação de atualização ocorre usando uma API interna projetada especificamente para administrar serviços do Google Cloud . Esse método muda o conteúdo e/ou as configurações do cliente.	Atualizar chaves HMAC no Cloud Storage.
`GoogleInternal.Get`	Significa uma ação de recebimento realizada no conteúdo do cliente com uma justificativa comercial válida. A ação de recebimento ocorre usando uma API interna projetada especificamente para administrar serviços do Google Cloud . Esse método não muda o conteúdo ou as configurações do cliente.	Recuperando a política do IAM para um recurso. Recuperar um job do Dataflow de um cliente.
`GoogleInternal.Query`	Significa uma ação de consulta realizada no conteúdo do cliente com uma justificativa comercial válida. A ação de consulta ocorre usando uma API interna projetada especificamente para administrar serviços do Google Cloud . Esse método não muda o conteúdo ou as configurações do cliente.	Executar uma consulta do BigQuery. Pesquisa na console de depuração do AI Platform em conteúdo do cliente.

Os acessos ao GoogleInternal são estritamente restritos a pessoal autorizado para acesso justificado e auditável. A presença de um método não indica disponibilidade para todas as funções. As organizações que buscam controles aprimorados sobre o acesso administrativo em um projeto ou organização podem ativar a Aprovação de acesso para permitir ou negar acessos com base nos detalhes de acesso. Por exemplo, os usuários da Aprovação de acesso podem permitir apenas solicitações com a justificativa CUSTOMER_INITIATED_SUPPORT para solicitações feitas por um funcionário do Google. Para mais informações, consulte Visão geral da aprovação de acesso.

Se um evento atender aos critérios de acesso de emergência restrito, a aprovação de acesso poderá registrar esse acesso de emergência com o status auto approved. A transparência no acesso e a aprovação de acesso foram projetadas especificamente para incluir o registro ininterrupto em cenários de acesso de emergência.

Se você quiser mais controle de segurança de dados sobre suas cargas de trabalho, recomendamos usar o Assured Workloads. Os projetos do Assured Workloads oferecem funcionalidades aprimoradas, como residência de dados, controles soberanos e acesso a recursos como a computação confidencial no Compute Engine. Ele usa as justificativas de acesso à chave para chaves de criptografia gerenciadas externamente.

Códigos de motivo da justificativa

Motivo	Descrição
`CUSTOMER_INITIATED_SUPPORT`	Suporte iniciado pelo cliente, por exemplo, "Número do caso: ####".
`GOOGLE_INITIATED_SERVICE`	Refere-se ao acesso iniciado pelo Google para gerenciamento e solução de problemas do sistema. Os funcionários do Google podem fazer esse tipo de acesso pelos seguintes motivos: Para realizar a depuração técnica necessária para uma solicitação ou investigação de suporte complexa. Para corrigir problemas técnicos, como falha de armazenamento ou corrupção de dados. Suporte proativo das equipes de gerenciamento técnico de contas. Marcado com um detalhe de motivo "Suporte do TAM"
`THIRD_PARTY_DATA_REQUEST`	Acesso iniciado pelo Google em resposta a uma solicitação legal ou processo legal, inclusive ao responder a um processo legal do cliente que exija que o Google acesse os próprios dados do cliente.
`GOOGLE_INITIATED_REVIEW`	Acesso iniciado pelo Google para fins de segurança, fraude, abuso ou conformidade, incluindo o seguinte: Garantir a segurança e proteção das contas e dos dados do cliente. Confirmar se os dados são afetados por um evento que pode afetar a segurança da conta (por exemplo, infecções por malware). Confirmar se o cliente está usando serviços do Google em conformidade com os Termos de Serviço do Google. Investigar reclamações de outros usuários e clientes ou outros sinais de atividade abusiva. Confirmar se os serviços do Google estão sendo usados de maneira consistente com os regimes de conformidade relevantes, por exemplo, regulamentações contra lavagem de dinheiro.
`GOOGLE_RESPONSE_TO_PRODUCTION_ALERT`	Refere-se ao acesso iniciado pelo Google para manter a confiabilidade do sistema. Os funcionários do Google podem fazer esse tipo de acesso pelos seguintes motivos: Para investigar e confirmar que uma suspeita de interrupção do serviço não afeta o cliente. Para garantir o backup e a recuperação de interrupções e falhas do sistema.

Como monitorar registros da Transparência no acesso

É possível monitorar os registros da transparência no acesso usando a API Cloud Monitoring. Para começar, consulte a documentação do Cloud Monitoring.

É possível configurar uma métrica com base em registros e uma política de alertas para receber avisos rapidamente sobre problemas encontrados por esses registros. Por exemplo, é possível criar uma métrica com base em registros que capture os acessos de funcionários do Google ao seu conteúdo e, em seguida, criar uma política de alertas no Monitoring que informe se o número de acessos em um período específico exceder um limite especificado.

A seguir

Saiba como ver e entender os registros da transparência no acesso para serviços do Google Workspace.