Connect Gateway-Audit-Logging

In diesem Dokument wird das Audit-Logging für Connect Gateway beschrieben. Google Cloud-Dienste schreiben Audit-Logs, in denen administrative Aktivitäten und Zugriffe in Ihren Google Cloud-Ressourcen aufgezeichnet werden. Weitere Informationen finden Sie unter Cloud-Audit-Logs – Übersicht.

Diese Seite wurde zuletzt am 23.05.2024 um 18:50:50 UTC generiert.

Dienstname

Connect Gateway-Audit-Logs verwenden den Dienstnamen connectgateway.googleapis.com.

Methoden nach Berechtigungstyp

Connect Gateway-Audit-Logs werden durch die Aktivierung von Audit-Logging für gkehub.googleapis.com aktiviert.

Methoden, die die Berechtigungstypen DATA_READ, DATA_WRITE und ADMIN_READ prüfen, sind Audit-Logs für den Datenzugriff. Methoden, die Berechtigungstypen vom Typ ADMIN_WRITE prüfen, sind Audit-Logs zu Administratoraktivitäten.

Berechtigungstyp Methoden
ADMIN_READ google.cloud.gkeconnect.gateway.v1beta1.GatewayService.GetResource
ADMIN_WRITE google.cloud.gkeconnect.gateway.v1beta1.GatewayService.DeleteResource
google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PatchResource
google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PostResource
google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PutResource

Audit-Logs pro API-Schnittstelle

Informationen dazu, welche Berechtigungen wie für die einzelnen Methoden evaluiert werden finden Sie in der Dokumentation zu Identity and Access Management für Connect Gateway.

google.cloud.gkeconnect.gateway.v1beta1.GatewayService

Details zu Audit-Logs für Methoden, die zu google.cloud.gkeconnect.gateway.v1beta1.GatewayService gehören.

google.cloud.gkeconnect.gateway.v1beta1.GatewayService.DeleteResource

  • Methode: google.cloud.gkeconnect.gateway.v1beta1.GatewayService.DeleteResource
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • gkehub.gateway.delete - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.gkeconnect.gateway.v1beta1.GatewayService.DeleteResource"

google.cloud.gkeconnect.gateway.v1beta1.GatewayService.GetResource

  • Methode: google.cloud.gkeconnect.gateway.v1beta1.GatewayService.GetResource
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • gkehub.gateway.get - ADMIN_READ
  • Die Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming: Streaming-RPC
  • Filter für diese Methode: protoPayload.methodName="google.cloud.gkeconnect.gateway.v1beta1.GatewayService.GetResource"

google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PatchResource

  • Methode: google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PatchResource
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • gkehub.gateway.patch - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PatchResource"

google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PostResource

  • Methode: google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PostResource
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • gkehub.gateway.post - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PostResource"

google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PutResource

  • Methode: google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PutResource
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • gkehub.gateway.put - ADMIN_WRITE
  • Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PutResource"

Kubernetes-Audit-Logging

Zusätzlich zu Cloud-Audit-Logging bietet Kubernetes-Audit-Logging eine Möglichkeit für Administratoren, Ereignisse in registrierten Clustern aufzubewahren, abzufragen, zu verarbeiten und Benachrichtigungen auszugeben. Sie können anhand der Loginformationen forensische Analysen ausführen, Benachrichtigungen in Echtzeit senden oder die Verwendung einer Reihe von Clustern unter Angabe des Zwecks und des Nutzers katalogisieren.

Der Connect-Agent kommuniziert mit dem lokalen API-Server, der im registrierten Cluster ausgeführt wird, und jeder Cluster hat eigene Kubernetes-Audit-Logs. Alle Aktionen, die Nutzer in der Benutzeroberfläche über Connect ausführen, werden von diesem Cluster protokolliert.