API Gateway-Audit-Logging

In diesem Dokument wird das Audit-Logging für API Gateway beschrieben. Google Cloud-Dienste generieren Audit-Logs, die Verwaltungs- und Zugriffsaktivitäten in Ihren Google Cloud-Ressourcen aufzeichnen. Weitere Informationen zu Cloud-Audit-Logs finden Sie hier:

• Arten von Audit-Logs
• Struktur von Audit-Logeinträgen
• Audit-Logs speichern und weiterleiten
• Preisübersicht für Cloud Logging
• Audit-Logs zum Datenzugriff aktivieren

Dienstname

Für API Gateway-Audit-Logs wird der Dienstname apigateway.googleapis.com verwendet. Nach diesem Dienst filtern:

    protoPayload.serviceName="apigateway.googleapis.com"
  

Methoden nach Berechtigungstyp

Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert ein Enum ist, der einen der folgenden vier Werte haben kann: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen, generiert API Gateway ein Audit-Log, dessen Kategorie vom Attribut type der Berechtigung abhängt, die für die Ausführung der Methode erforderlich ist. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.

Audit-Logs der API-Schnittstelle

Informationen dazu, wie und welche Berechtigungen für die einzelnen Methoden evaluiert werden, finden Sie in der Dokumentation zu Identity and Access Management für API Gateway.

google.cloud.apigateway.v1.ApiGatewayService

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.apigateway.v1.ApiGatewayService gehören.

CreateApi

• Methode: google.cloud.apigateway.v1.ApiGatewayService.CreateApi
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.apis.create - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1.ApiGatewayService.CreateApi"
  

CreateApiConfig

• Methode: google.cloud.apigateway.v1.ApiGatewayService.CreateApiConfig
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.apiconfigs.create - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1.ApiGatewayService.CreateApiConfig"
  

CreateGateway

• Methode: google.cloud.apigateway.v1.ApiGatewayService.CreateGateway
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.gateways.create - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1.ApiGatewayService.CreateGateway"
  

DeleteApi

• Methode: google.cloud.apigateway.v1.ApiGatewayService.DeleteApi
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.apis.delete - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1.ApiGatewayService.DeleteApi"
  

DeleteApiConfig

• Methode: google.cloud.apigateway.v1.ApiGatewayService.DeleteApiConfig
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.apiconfigs.delete - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1.ApiGatewayService.DeleteApiConfig"
  

DeleteGateway

• Methode: google.cloud.apigateway.v1.ApiGatewayService.DeleteGateway
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.gateways.delete - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1.ApiGatewayService.DeleteGateway"
  

GetApi

• Methode: google.cloud.apigateway.v1.ApiGatewayService.GetApi
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • apigateway.apis.get - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1.ApiGatewayService.GetApi"
  

GetApiConfig

• Methode: google.cloud.apigateway.v1.ApiGatewayService.GetApiConfig
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • apigateway.apiconfigs.get - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1.ApiGatewayService.GetApiConfig"
  

GetGateway

• Methode: google.cloud.apigateway.v1.ApiGatewayService.GetGateway
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • apigateway.gateways.get - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1.ApiGatewayService.GetGateway"
  

ListApiConfigs

• Methode: google.cloud.apigateway.v1.ApiGatewayService.ListApiConfigs
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • apigateway.apiconfigs.list - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1.ApiGatewayService.ListApiConfigs"
  

ListApis

• Methode: google.cloud.apigateway.v1.ApiGatewayService.ListApis
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • apigateway.apis.list - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1.ApiGatewayService.ListApis"
  

ListGateways

• Methode: google.cloud.apigateway.v1.ApiGatewayService.ListGateways
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • apigateway.gateways.list - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1.ApiGatewayService.ListGateways"
  

UpdateApi

• Methode: google.cloud.apigateway.v1.ApiGatewayService.UpdateApi
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.apis.update - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1.ApiGatewayService.UpdateApi"
  

UpdateApiConfig

• Methode: google.cloud.apigateway.v1.ApiGatewayService.UpdateApiConfig
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.apiconfigs.update - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1.ApiGatewayService.UpdateApiConfig"
  

UpdateGateway

• Methode: google.cloud.apigateway.v1.ApiGatewayService.UpdateGateway
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.gateways.update - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1.ApiGatewayService.UpdateGateway"
  

google.cloud.apigateway.v1beta.ApiGatewayService

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.apigateway.v1beta.ApiGatewayService gehören.

CreateApi

• Methode: google.cloud.apigateway.v1beta.ApiGatewayService.CreateApi
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.apis.create - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1beta.ApiGatewayService.CreateApi"
  

CreateApiConfig

• Methode: google.cloud.apigateway.v1beta.ApiGatewayService.CreateApiConfig
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.apiconfigs.create - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1beta.ApiGatewayService.CreateApiConfig"
  

CreateGateway

• Methode: google.cloud.apigateway.v1beta.ApiGatewayService.CreateGateway
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.gateways.create - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1beta.ApiGatewayService.CreateGateway"
  

DeleteApi

• Methode: google.cloud.apigateway.v1beta.ApiGatewayService.DeleteApi
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.apis.delete - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1beta.ApiGatewayService.DeleteApi"
  

DeleteApiConfig

• Methode: google.cloud.apigateway.v1beta.ApiGatewayService.DeleteApiConfig
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.apiconfigs.delete - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1beta.ApiGatewayService.DeleteApiConfig"
  

DeleteGateway

• Methode: google.cloud.apigateway.v1beta.ApiGatewayService.DeleteGateway
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.gateways.delete - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1beta.ApiGatewayService.DeleteGateway"
  

GetApi

• Methode: google.cloud.apigateway.v1beta.ApiGatewayService.GetApi
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • apigateway.apis.get - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1beta.ApiGatewayService.GetApi"
  

GetApiConfig

• Methode: google.cloud.apigateway.v1beta.ApiGatewayService.GetApiConfig
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • apigateway.apiconfigs.get - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1beta.ApiGatewayService.GetApiConfig"
  

GetGateway

• Methode: google.cloud.apigateway.v1beta.ApiGatewayService.GetGateway
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • apigateway.gateways.get - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1beta.ApiGatewayService.GetGateway"
  

ListApiConfigs

• Methode: google.cloud.apigateway.v1beta.ApiGatewayService.ListApiConfigs
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • apigateway.apiconfigs.list - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1beta.ApiGatewayService.ListApiConfigs"
  

ListApis

• Methode: google.cloud.apigateway.v1beta.ApiGatewayService.ListApis
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • apigateway.apis.list - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1beta.ApiGatewayService.ListApis"
  

ListGateways

• Methode: google.cloud.apigateway.v1beta.ApiGatewayService.ListGateways
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • apigateway.gateways.list - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1beta.ApiGatewayService.ListGateways"
  

UpdateApi

• Methode: google.cloud.apigateway.v1beta.ApiGatewayService.UpdateApi
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.apis.update - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1beta.ApiGatewayService.UpdateApi"
  

UpdateApiConfig

• Methode: google.cloud.apigateway.v1beta.ApiGatewayService.UpdateApiConfig
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.apiconfigs.update - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1beta.ApiGatewayService.UpdateApiConfig"
  

UpdateGateway

• Methode: google.cloud.apigateway.v1beta.ApiGatewayService.UpdateGateway
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.gateways.update - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Vorgang mit langer Ausführungszeit
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.apigateway.v1beta.ApiGatewayService.UpdateGateway"
  

google.iam.v1.IAMPolicy

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.iam.v1.IAMPolicy gehören.

GetIamPolicy

• Methode: GetIamPolicy
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • apigateway.apis.getIamPolicy - ADMIN_READ
  • apigateway.gateways.getIamPolicy - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="GetIamPolicy"
  

SetIamPolicy

• Methode: SetIamPolicy
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.apiconfigs.setIamPolicy - ADMIN_WRITE
  • apigateway.apis.setIamPolicy - ADMIN_WRITE
  • apigateway.gateways.setIamPolicy - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="SetIamPolicy"
  

google.longrunning.Operations

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.longrunning.Operations gehören.

CancelOperation

• Methode: google.longrunning.Operations.CancelOperation
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.operations.cancel - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.longrunning.Operations.CancelOperation"
  

DeleteOperation

• Methode: google.longrunning.Operations.DeleteOperation
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • apigateway.operations.delete - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.longrunning.Operations.DeleteOperation"
  

GetOperation

• Methode: google.longrunning.Operations.GetOperation
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • apigateway.operations.get - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.longrunning.Operations.GetOperation"
  

ListOperations

• Methode: google.longrunning.Operations.ListOperations
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • apigateway.operations.list - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.longrunning.Operations.ListOperations"
  

Methoden, die keine Audit-Logs generieren

Eine Methode kann aus folgenden Gründen keine Audit-Logs erstellen:

• Dies ist eine Methode mit hohem Volumen, die erhebliche Loggenerierungs- und Speicherkosten mit sich bringt.
• Sie hat einen geringen Prüfwert.
• Ein anderes Audit- oder Plattformlog bietet bereits eine Methodenabdeckung.

Die folgenden Methoden generieren keine Audit-Logs:

• google.cloud.location.Locations.GetLocation
• google.cloud.location.Locations.ListLocations
• google.longrunning.Operations.WaitOperation