瞭解和使用資料存取透明化控管機制記錄檔

本頁面說明資料存取透明化控管機制記錄項目的內容，以及如何查看及使用這些記錄項目。

資料存取透明化控管機制記錄的詳細資訊

資料存取透明化控管機制記錄可與現有安全性資訊與事件管理 (SIEM) 工具整合，來自動化 Google 人員存取您內容時的稽核程序。您可以在 Google Cloud 主控台中查看資料存取透明化控管機制記錄，以及 Cloud 稽核記錄。

資料存取透明化控管機制記錄項目包含下列類型的詳細資訊：

受影響的資源與動作。
動作的時間。
動作的原因 (例如，與客戶服務要求有關的支援記錄編號)。
處理內容的人員相關資料 (例如，Google 人員的位置)。

啟用資料存取透明化控管機制

如要瞭解如何為 Google Cloud 機構啟用資料存取透明化控管機制，請參閱「啟用資料存取透明化控管機制」。

查看資料存取透明化控管機制記錄

為 Google Cloud機構設定資料存取透明化控管機制後，您可以指派私密記錄檢視者角色給使用者或群組，藉此設定可存取資料存取透明化控管機制記錄的人員。詳情請參閱 Cloud Logging 存取權控管指南。

如要查看資料存取透明化控管機制記錄，請使用下列 Google Cloud Observability 記錄篩選器。

logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"

如要瞭解如何在記錄檔探索工具中查看資料存取透明化控管機制記錄，請參閱「使用記錄檔探索工具」。

您也可以使用 Cloud Monitoring API 或 Cloud Run 函式監控記錄。如要開始使用，請參閱 Cloud Monitoring 說明文件。

選用：建立記錄指標，然後設定快訊政策，方便您即時瞭解這些記錄顯現的問題。

資料存取透明化控管機制記錄項目範例

以下是資料存取透明化控管機制記錄項目的範例：

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  principalJobTitle: "Engineering"
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  eventId: "asdfg12345asdfg12345asdfg12345"
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
  accessApprovals: [
   0: "projects/123/approvalRequests/abcdef12345"
  ]
 }
 logName:  "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

記錄欄位說明

欄位	說明
`insertId`	記錄的不重複 ID。
`@type`	資料存取透明化控管機制記錄 ID。
`principalOfficeCountry`	存取者擁有常設辦公地點之國家/地區的 ISO 3166-1 alpha-2 國家/地區代碼，若位置資訊不明，則為 `??`；如果 Google 人員位於低人口國家/地區，則為 3 個字元的洲別 ID。
`principalEmployingEntity`	雇用執行存取作業的 Google 人員的實體 (例如 `Google LLC`)。
`principalPhysicalLocationCountry`	執行存取的位置所屬國家/地區的 ISO 3166-1 alpha-2 國家/地區代碼，若位置資訊不明，則為「`??`」；若 Google 人員位於低人口國家/地區，則為 3 個字元的洲別 ID。
`principalJobTitle`	執行存取權的 Google 人員工作群組。
`product`	已存取的客戶 Google Cloud 產品。
`reason:detail`	原因的詳細資料，例如支援票證 ID。
`reason:type`	存取原因類型 (例如 `CUSTOMER_INITIATED_SUPPORT)`)。
`accesses:methodName`	執行的存取類型。例如，`GoogleInternal.Read`。如要進一步瞭解可顯示在 `methodName` 欄位的值，請參閱「`accesses: methodName` 欄位的值」。
`accesses:resourceName`	存取的資源名稱。
`accessApprovals`	包含核准存取權的存取權核准要求資源名稱。這些要求會受到排除條件和支援的服務的限制。只有在已為存取的資源啟用存取權核准功能時，系統才會填入這個欄位。在 2021 年 3 月 24 日之前發布的資料存取透明化控管機制記錄檔，不會填入這個欄位。
`logName`	記錄位置的名稱。
`operation:id`	記錄叢集 ID。
`receiveTimestamp`	記錄管道獲得存取權的時間。
`project_id`	與存取的資源相關的專案。
`type`	存取的資源類型 (例如 `project`)。
`eventId`	與單一存取事件理由 (例如單一支援案件) 相關的專屬事件 ID。所有以相同理由記錄的存取作業都會具有相同的 `event_id` 值。
`severity`	記錄嚴重性。
`timestamp`	寫入記錄的時間。

`accesses:methodNames` 欄位的值

下列方法可能會顯示在資料存取透明化控管機制記錄的 accesses:methodNames 欄位中：

標準方法：這些方法為 List、Get、Create、Update 和 Delete。詳情請參閱「標準方法」。
自訂方法：自訂方法是 5 種標準方法以外的 API 方法，常見的自訂方法包括 Cancel、BatchGet、Move、Search 和 Undelete。詳情請參閱「自訂方法」。
GoogleInternal 方法：以下是 accesses:methodNames 欄位中顯示的 GoogleInternal 方法範例：

方法名稱	說明	範例
`GoogleInternal.Read`	表示對客戶內容執行讀取動作，且有正當業務理由。讀取動作會使用專門用於管理 Google Cloud 服務的內部 API 執行。這個方法不會變更客戶內容。	讀取身分與存取權管理權限。
`GoogleInternal.Write`	表示對客戶內容執行寫入動作，且有正當業務理由。寫入動作會使用專門用於管理 Google Cloud 服務的內部 API 執行。這個方法可更新客戶內容和/或設定。	設定資源的 IAM 權限。暫停 Compute Engine 執行個體。
`GoogleInternal.Create`	表示在客戶內容上執行的建立動作，且有正當業務理由。建立動作會使用專門用於管理 Google Cloud 服務的內部 API 執行。這個方法會建立新的客戶內容。	建立 Cloud Storage 值區。建立 Pub/Sub 主題。
`GoogleInternal.Delete`	表示使用專門用於管理 Google Cloud 服務的內部 API，對客戶內容執行刪除動作。這個方法會變更客戶內容和/或設定。	刪除 Cloud Storage 物件。刪除 BigQuery 資料表。
`GoogleInternal.List`	表示在有正當業務理由的情況下，對客戶內容執行清單動作。列出動作會使用專門用於管理 Google Cloud 服務的內部 API 執行。這個方法不會變更客戶內容或設定。	列出客戶的 Compute Engine 執行個體。列出客戶的 Dataflow 工作。
`GoogleInternal.Update`	表示對客戶內容進行修改，且有正當業務理由。更新動作會使用專門用於管理 Google Cloud 服務的內部 API 執行。這個方法會變更客戶內容和/或設定。	更新 Cloud Storage 中的 HMAC 金鑰。
`GoogleInternal.Get`	表示對客戶內容執行取得動作，且有正當業務理由。取得動作會使用專門用於管理 Google Cloud 服務的內部 API 執行。這個方法不會變更客戶內容或設定。	擷取資源的身分與存取權管理政策。擷取客戶的 Dataflow 工作。
`GoogleInternal.Query`	表示對客戶內容執行查詢動作，且有正當業務理由。查詢動作會使用專門用於管理 Google Cloud 服務的內部 API 執行。這個方法不會變更客戶內容或設定。	執行 BigQuery 查詢。 AI Platform 偵錯主控台查詢客戶內容。

GoogleInternal 存取權僅限於授權人員，且必須具備正當理由和可稽核的存取權。方法的存在並非表示所有角色皆可使用。如果機構希望強化專案或機構的管理員存取權控管機制，可以啟用存取權核准功能，根據存取權詳細資料核准或拒絕存取權。舉例來說，如果 Google 員工提出存取要求，Access Approval 使用者可以選擇只允許附上 CUSTOMER_INITIATED_SUPPORT 說明的申請。詳情請參閱「存取權核准總覽」。

如果事件符合嚴格的緊急存取條件，存取權核准功能可以使用 auto approved 狀態記錄該緊急存取行為。資料存取透明化控管機制和 Access Approval 專門設計用於緊急存取情境，可持續記錄相關資訊。

如果您想進一步掌控工作負載的資料安全性，建議您使用 Assured Workloads。Assured Workloads 專案提供進階功能，例如資料落地、主權控管，以及存取 Compute Engine 中的機密運算等功能。此功能會針對外部代管的加密金鑰使用金鑰存取依據。

原因代碼

原因	說明
`CUSTOMER_INITIATED_SUPPORT`	客戶發起的客服要求，例如「Case Number: ####」。
`GOOGLE_INITIATED_SERVICE`	指的是 Google 為了管理系統和排解問題而發起的存取權。Google 人員可基於下列原因提供這類存取權：針對複雜的支援要求或調查進行必要的技術偵錯。修復技術問題，例如儲存空間故障或資料損毀。
`THIRD_PARTY_DATA_REQUEST`	Google 為了回應法律案件申請或法律函狀而發起的存取要求，包括回覆來自客戶的法律函狀，且需要 Google 存取客戶資料的情況。
`GOOGLE_INITIATED_REVIEW`	Google 基於安全、詐欺、濫用或法規遵循等方面的考量而發起的存取，包括：確保客戶帳戶與資料的安全。確認資料是否受到可能影響帳戶安全性的事件影響 (例如遭到惡意軟體感染)。確認客戶是否在遵循 Google 服務條款的情況下使用 Google 服務。調查其他使用者與客戶的申訴，或其他濫用活動的徵兆。檢查 Google 服務是否與相關法規遵循制度一致 (例如反洗錢條例)。
`GOOGLE_RESPONSE_TO_PRODUCTION_ALERT`	指的是 Google 為了維持系統穩定性而發起的存取行動。Google 人員可基於下列原因提供這類存取權：調查並確認疑似服務中斷事件並未影響客戶。確保在服務中斷和系統故障時，備份並復原資料。

監控資料存取透明化控管機制記錄

您可以使用 Cloud Monitoring API 監控資料存取透明化控管機制記錄。如要開始使用，請參閱 Cloud Monitoring 說明文件。

您可以設定記錄指標，然後設定快訊政策，方便您即時瞭解這些記錄顯示的問題。舉例來說，您可以建立記錄指標，擷取 Google 人員存取內容的次數，然後在監控中建立快訊政策，讓您瞭解特定期間的存取次數是否超過指定門檻。

後續步驟

瞭解如何查看及解讀 Google Workspace 服務的資料存取透明化控管機制記錄。