이 페이지에서는 BeyondCorp Enterprise에서 Google Cloud Console과 Google Cloud API를 보호할 때 감사 로깅이 작동하는 방식을 설명합니다.
BeyondCorp Enterprise는 기본적으로 보안 정책 위반으로 인해 거부된 Google Cloud Console 및 Google Cloud API에 대한 모든 액세스 요청을 Cloud Logging에 로깅합니다. 감사 로그 레코드는 Google 인프라에 안전하게 저장되며 추후 분석에 사용할 수 있습니다. 감사 로그의 콘텐츠는 Google Cloud Console에서 조직별로 사용할 수 있습니다. BeyondCorp Enterprise 감사 로그는 '감사를 받은 리소스' 로깅 스트림에 기록되며 Cloud Logging에서 사용될 수 있습니다.
로그 레코드 콘텐츠 감사
각 감사 로그 레코드에 포함된 정보는 원래 호출에 대한 정보와 보안 정책 위반에 대한 정보라는 두 가지 범주로 크게 나눌 수 있습니다. 이는 다음과 같이 채워집니다.
| 감사 로그 필드 | 의미 |
logName
|
조직 식별 및 감사 로그 유형 |
serviceName
|
이 감사 레코드를 생성한 호출 contextawareaccess.googleapis.com을 처리한 서비스의 이름
|
authenticationInfo.principal_email
|
원래 호출을 실행한 사용자의 이메일 주소 |
timestamp
|
타겟팅된 작업의 시간 |
resource
|
감사 작업의 대상 |
resourceName
|
이 감사 레코드를 수신하려는 조직 |
requestMetadata.callerIp
|
호출이 시작된 IP 주소 |
requestMetadata.requestAttributes.auth.accessLevels
|
요청에 따라 충족된 활성 액세스 수준 |
status
|
이 레코드에 설명된 작업의 전반적인 처리 상태 |
metadata
|
google.cloud.audit.ContextAwareAccessAuditMetadata protobuf 유형의 인스턴스로, JSON 구조체로 직렬화됩니다. 'unsatalAccessLevels' 필드에는 요청이 이행하지 못한 액세스 수준 목록이 포함됩니다.
|
감사 로그 액세스
감사 로그의 콘텐츠는 Google Cloud Console에서 조직별로 사용할 수 있습니다. BeyondCorp Enterprise 감사 로그는 '감사를 받은 리소스' 로깅 스트림에 기록되며 Cloud Logging에서 사용될 수 있습니다.
다음 단계
- Cloud 감사 로그에 대해 자세히 알아보기
- IAP(Identity-Aware Proxy)에서 Cloud 감사 로그 사용 설정에 대해 자세히 알아보기
- VPC 서비스 제어에서 감사 로깅에 대해 자세히 알아보기