In diesem Dokument wird das Audit-Logging für Connect Gateway beschrieben. Google Cloud-Dienste schreiben Audit-Logs, in denen administrative Aktivitäten und Zugriffe in Ihren Google Cloud-Ressourcen aufgezeichnet werden. Weitere Informationen finden Sie unter Cloud-Audit-Logs – Übersicht.
Diese Seite wurde zuletzt am 23.05.2024 um 18:50:50 UTC generiert.
Dienstname
Connect Gateway-Audit-Logs verwenden den Dienstnamen connectgateway.googleapis.com
.
Methoden nach Berechtigungstyp
Connect Gateway-Audit-Logs werden durch die Aktivierung von Audit-Logging für gkehub.googleapis.com
aktiviert.
Methoden, die die Berechtigungstypen DATA_READ
, DATA_WRITE
und ADMIN_READ
prüfen, sind Audit-Logs für den Datenzugriff. Methoden, die Berechtigungstypen vom Typ ADMIN_WRITE
prüfen, sind Audit-Logs zu Administratoraktivitäten.
Berechtigungstyp | Methoden |
---|---|
ADMIN_READ | google.cloud.gkeconnect.gateway.v1beta1.GatewayService.GetResource |
ADMIN_WRITE |
google.cloud.gkeconnect.gateway.v1beta1.GatewayService.DeleteResource google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PatchResource google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PostResource google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PutResource |
Audit-Logs pro API-Schnittstelle
Informationen dazu, welche Berechtigungen wie für die einzelnen Methoden evaluiert werden finden Sie in der Dokumentation zu Identity and Access Management für Connect Gateway.
google.cloud.gkeconnect.gateway.v1beta1.GatewayService
Details zu Audit-Logs für Methoden, die zu google.cloud.gkeconnect.gateway.v1beta1.GatewayService
gehören.
google.cloud.gkeconnect.gateway.v1beta1.GatewayService.DeleteResource
-
Methode: google.cloud.gkeconnect.gateway.v1beta1.GatewayService.DeleteResource
-
Audit-Logtyp: Administratoraktivität
- Berechtigungen:
gkehub.gateway.delete - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
-
Filter für diese Methode:
protoPayload.methodName="google.cloud.gkeconnect.gateway.v1beta1.GatewayService.DeleteResource"
google.cloud.gkeconnect.gateway.v1beta1.GatewayService.GetResource
- Methode: google.cloud.gkeconnect.gateway.v1beta1.GatewayService.GetResource
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
gkehub.gateway.get - ADMIN_READ
-
Die Methode ist ein Vorgang mit langer Ausführungszeit oder Streaming:
Streaming-RPC
-
Filter für diese Methode:
protoPayload.methodName="google.cloud.gkeconnect.gateway.v1beta1.GatewayService.GetResource"
google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PatchResource
- Methode: google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PatchResource
-
Audit-Logtyp: Administratoraktivität
- Berechtigungen:
gkehub.gateway.patch - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
-
Filter für diese Methode:
protoPayload.methodName="google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PatchResource"
google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PostResource
- Methode: google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PostResource
-
Audit-Logtyp: Administratoraktivität
- Berechtigungen:
gkehub.gateway.post - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
-
Filter für diese Methode:
protoPayload.methodName="google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PostResource"
google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PutResource
- Methode: google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PutResource
-
Audit-Logtyp: Administratoraktivität
- Berechtigungen:
gkehub.gateway.put - ADMIN_WRITE
- Methode ist ein Vorgang oder ein Streaming mit langer Ausführungszeit: Nein.
-
Filter für diese Methode:
protoPayload.methodName="google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PutResource"
Kubernetes-Audit-Logging
Zusätzlich zu Cloud-Audit-Logging bietet Kubernetes-Audit-Logging eine Möglichkeit für Administratoren, Ereignisse in registrierten Clustern aufzubewahren, abzufragen, zu verarbeiten und Benachrichtigungen auszugeben. Sie können anhand der Loginformationen forensische Analysen ausführen, Benachrichtigungen in Echtzeit senden oder die Verwendung einer Reihe von Clustern unter Angabe des Zwecks und des Nutzers katalogisieren.
Der Connect-Agent kommuniziert mit dem lokalen API-Server, der im registrierten Cluster ausgeführt wird, und jeder Cluster hat eigene Kubernetes-Audit-Logs. Alle Aktionen, die Nutzer in der Benutzeroberfläche über Connect ausführen, werden von diesem Cluster protokolliert.