Audit log di Google Cloud Armor

Questo documento descrive l'audit logging per Google Cloud Armor. I servizi Google Cloud generano audit log che registrano le attività amministrative e di accesso all'interno delle risorse Google Cloud. Per ulteriori informazioni su Cloud Audit Logs, consulta quanto segue:

• Tipi di audit log
• Struttura voce di log log
• Archiviazione e inoltro dei log di controllo
• Riepilogo dei prezzi di Cloud Logging
• Attivare gli audit log di accesso ai dati

Nome servizio

Gli audit log di Google Cloud Armor utilizzano il nome del servizio compute.googleapis.com. Filtra per questo servizio:

    protoPayload.serviceName="compute.googleapis.com"
  

Metodi per tipo di autorizzazione

Ogni autorizzazione IAM ha una proprietà type, il cui valore è un enum che può essere uno dei quattro valori: ADMIN_READ, ADMIN_WRITE, DATA_READ o DATA_WRITE. Quando chiami un metodo, Google Cloud Armor genera un audit log la cui categoria dipende dalla proprietà type dell'autorizzazione richiesta per eseguire il metodo. Metodi che richiedono un'autorizzazione IAM con il valore della proprietà type di DATA_READ, DATA_WRITE o ADMIN_READ generano Audit log di accesso ai dati. Metodi che richiedono un'autorizzazione IAM con il valore della proprietà type di ADMIN_WRITE generano Audit log delle attività di amministrazione.

Audit log dell'interfaccia API

Per informazioni su come e quali autorizzazioni vengono valutate per ogni metodo, consulta la documentazione di Identity and Access Management per Google Cloud Armor.

compute.v1.BackendServicesService

I seguenti log di controllo sono associati ai metodi appartenenti a compute.v1.BackendServicesService.

addSignedUrlKey

• Metodo: v1.compute.backendServices.addSignedUrlKey
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.backendServices.addSignedUrlKey - ADMIN_WRITE
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.backendServices.addSignedUrlKey"
  

aggregatedList

• Metodo: v1.compute.backendServices.aggregatedList
  
• Tipo di log di controllo: Accesso ai dati
  
• Autorizzazioni:
  • compute.backendServices.list - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in modalità flusso: N.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.backendServices.aggregatedList"
  

delete

• Metodo: v1.compute.backendServices.delete
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.backendServices.delete - ADMIN_WRITE
• Il metodo è un'operazione a lunga esecuzione o in modalità flusso: N.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.backendServices.delete"
  

deleteSignedUrlKey

• Metodo: v1.compute.backendServices.deleteSignedUrlKey
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.backendServices.deleteSignedUrlKey - ADMIN_WRITE
• Il metodo è un'operazione a lunga esecuzione o in modalità flusso: N.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.backendServices.deleteSignedUrlKey"
  

get

• Metodo: v1.compute.backendServices.get
  
• Tipo di log di controllo: Accesso ai dati
  
• Autorizzazioni:
  • compute.backendServices.get - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.backendServices.get"
  

getHealth

• Metodo: v1.compute.backendServices.getHealth
  
• Tipo di log di controllo: Accesso ai dati
  
• Autorizzazioni:
  • compute.backendServices.get - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in modalità flusso: N.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.backendServices.getHealth"
  

getIamPolicy

• Metodo: v1.compute.backendServices.getIamPolicy
  
• Tipo di log di controllo: Accesso ai dati
  
• Autorizzazioni:
  • compute.backendServices.getIamPolicy - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.backendServices.getIamPolicy"
  

insert

• Metodo: v1.compute.backendServices.insert
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.backendServices.create - ADMIN_WRITE
  • compute.instanceGroups.use - ADMIN_WRITE
• Il metodo è un'operazione a lunga esecuzione o in modalità flusso: N.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.backendServices.insert"
  

list

• Metodo: v1.compute.backendServices.list
  
• Tipo di log di controllo: Accesso ai dati
  
• Autorizzazioni:
  • compute.backendServices.list - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.backendServices.list"
  

patch

• Metodo: v1.compute.backendServices.patch
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.backendServices.get - ADMIN_READ
  • compute.backendServices.update - ADMIN_WRITE
  • compute.healthChecks.useReadOnly - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.backendServices.patch"
  

setEdgeSecurityPolicy

• Metodo: v1.compute.backendServices.setEdgeSecurityPolicy
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.backendServices.setSecurityPolicy - ADMIN_WRITE
  • compute.securityPolicies.use - ADMIN_WRITE
• Il metodo è un'operazione a lunga esecuzione o in modalità flusso: N.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.backendServices.setEdgeSecurityPolicy"
  

setIamPolicy

• Metodo: v1.compute.backendServices.setIamPolicy
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.backendServices.setIamPolicy - ADMIN_WRITE
• Il metodo è un'operazione a lunga esecuzione o in modalità flusso: N.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.backendServices.setIamPolicy"
  

setSecurityPolicy

• Metodo: v1.compute.backendServices.setSecurityPolicy
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.backendServices.setSecurityPolicy - ADMIN_WRITE
  • compute.securityPolicies.use - ADMIN_WRITE
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.backendServices.setSecurityPolicy"
  

testIamPermissions

• Metodo: v1.compute.backendServices.testIamPermissions
  
• Tipo di log di controllo: Accesso ai dati
  
• Autorizzazioni:
  • compute.backendServices.list - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in modalità flusso: N.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.backendServices.testIamPermissions"
  

update

• Metodo: v1.compute.backendServices.update
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.backendServices.update - ADMIN_WRITE
  • compute.healthChecks.useReadOnly - ADMIN_READ
  • compute.instanceGroups.use - ADMIN_WRITE
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.backendServices.update"
  

compute.v1.SecurityPoliciesService

I seguenti audit log sono associati a metodi appartenenti a compute.v1.SecurityPoliciesService.

addRule

• Metodo: v1.compute.securityPolicies.addRule
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.securityPolicies.update - ADMIN_WRITE
• Il metodo è un'operazione a lunga esecuzione o in modalità flusso: N.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.securityPolicies.addRule"
  

aggregatedList

• Metodo: v1.compute.securityPolicies.aggregatedList
  
• Tipo di log di controllo: Accesso ai dati
  
• Autorizzazioni:
  • compute.securityPolicies.list - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.securityPolicies.aggregatedList"
  

delete

• Metodo: v1.compute.securityPolicies.delete
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.securityPolicies.delete - ADMIN_WRITE
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.securityPolicies.delete"
  

get

• Metodo: v1.compute.securityPolicies.get
  
• Tipo di log di controllo: Accesso ai dati
  
• Autorizzazioni:
  • compute.securityPolicies.get - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.securityPolicies.get"
  

getRule

• Metodo: v1.compute.securityPolicies.getRule
  
• Tipo di log di controllo: Accesso ai dati
  
• Autorizzazioni:
  • compute.securityPolicies.get - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.securityPolicies.getRule"
  

insert

• Metodo: v1.compute.securityPolicies.insert
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.securityPolicies.create - ADMIN_WRITE
• Il metodo è un'operazione a lunga esecuzione o in modalità flusso: N.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.securityPolicies.insert"
  

list

• Metodo: v1.compute.securityPolicies.list
  
• Tipo di log di controllo: Accesso ai dati
  
• Autorizzazioni:
  • compute.securityPolicies.list - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.securityPolicies.list"
  

listPreconfiguredExpressionSets

• Metodo: v1.compute.securityPolicies.listPreconfiguredExpressionSets
  
• Tipo di log di controllo: Accesso ai dati
  
• Autorizzazioni:
  • compute.securityPolicies.list - ADMIN_READ
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.securityPolicies.listPreconfiguredExpressionSets"
  

patch

• Metodo: v1.compute.securityPolicies.patch
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.securityPolicies.update - ADMIN_WRITE
• Il metodo è un'operazione a lunga esecuzione o in modalità flusso: N.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.securityPolicies.patch"
  

patchRule

• Metodo: v1.compute.securityPolicies.patchRule
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.securityPolicies.update - ADMIN_WRITE
• Il metodo è un'operazione a lunga esecuzione o in modalità flusso: N.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.securityPolicies.patchRule"
  

removeRule

• Metodo: v1.compute.securityPolicies.removeRule
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.securityPolicies.update - ADMIN_WRITE
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.securityPolicies.removeRule"
  

setLabels

• Metodo: v1.compute.securityPolicies.setLabels
  
• Tipo di log di controllo: Attività di amministrazione
  
• Autorizzazioni:
  • compute.securityPolicies.setLabels - ADMIN_WRITE
• Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  
• Filtra per questo metodo: protoPayload.methodName="v1.compute.securityPolicies.setLabels"