In diesem Dokument wird das Audit-Logging für die Kubernetes Metadata API beschrieben, mit der die Methoden Audit-Logs generieren, Details zu den Audit-Logs jeder Methode und welche Methoden ggf. keine Audit-Logs generieren. Google Cloud generiert Audit-Logs, in denen Verwaltungs- und Zugriffsaktivitäten in Ihren Google Cloud-Ressourcen aufgezeichnet werden. Weitere Informationen finden Sie unter Cloud-Audit-Logs – Übersicht.
Dienstname
Audit-Logs der Kubernetes Metadata API verwenden den Dienstnamen kubernetesmetadata.googleapis.com
.
Methoden nach Berechtigungstyp
Methoden, die die Berechtigungen DATA_READ
, DATA_WRITE
und ADMIN_READ
prüfen, generieren Logs, die als Datenzugriffs-Audit-Logs kategorisiert sind.
Methoden zur Prüfung von ADMIN_WRITE
-Berechtigungen generieren Logs, die als Audit-Logs zur Administratoraktivität kategorisiert sind.
Berechtigungstyp | Methoden |
---|---|
ADMIN_READ |
google.cloud.kubernetesmetadata.v1.MetadataPublisher.RetrieveCollectorConfig |
DATA_WRITE |
google.cloud.kubernetesmetadata.v1.MetadataPublisher.PublishMetadata google.cloud.kubernetesmetadata.v1.MetadataPublisher.UploadSnapshot |
Audit-Logs für jede API-Schnittstelle
Informationen dazu, wie und welche Berechtigungen für jede Methode ausgewertet werden, finden Sie in der Dokumentation zu Identity and Access Management für die Kubernetes Metadata API.
google.cloud.kubernetesmetadata.v1.MetadataPublisher
Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.cloud.kubernetesmetadata.v1.MetadataPublisher
gehören.
PublishMetadata
- Methode:
google.cloud.kubernetesmetadata.v1.MetadataPublisher.PublishMetadata
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
kubernetesmetadata.metadata.publish - DATA_WRITE
- Methode ist ein lang andauernder oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.kubernetesmetadata.v1.MetadataPublisher.PublishMetadata"
RetrieveCollectorConfig
- Methode:
google.cloud.kubernetesmetadata.v1.MetadataPublisher.RetrieveCollectorConfig
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
kubernetesmetadata.metadata.config - ADMIN_READ
- Methode ist ein lang andauernder oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.kubernetesmetadata.v1.MetadataPublisher.RetrieveCollectorConfig"
UploadSnapshot
- Methode:
google.cloud.kubernetesmetadata.v1.MetadataPublisher.UploadSnapshot
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
kubernetesmetadata.metadata.snapshot - DATA_WRITE
- Methode ist ein lang andauernder oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.kubernetesmetadata.v1.MetadataPublisher.UploadSnapshot"