Cloud 감사 로그 사용 설정

다음 페이지는 IAP(Identity-Aware Proxy) 보안 리소스에 대해 클라우드 감사 로그를 사용 설정하는 방법을 설명합니다. Cloud 감사 로그를 사용 설정하면 요청을 보고 사용자가 충족하거나 충족하지 못한 모든 액세스 수준을 볼 수 있습니다.

Cloud 감사 로그는 공개 리소스에 대한 로그를 생성하지 않습니다.

시작하기 전에

시작하기 전에 다음이 필요합니다.

  • Cloud 감사 로그를 사용 설정하려는 IAP가 사용 설정된 웹 앱 또는 가상 머신.
  • Cloud SDK의 최신 버전. Cloud SDK 가져오기.

Cloud SDK를 사용하여 Cloud 감사 로그 사용 설정

IAP 보안 프로젝트에 대해 Cloud 감사 로그를 사용 설정하면 승인 및 무단 액세스 요청을 확인할 수 있습니다. 아래 절차를 수행하여 요청자가 충족한 모든 액세스 수준 및 요청을 확인합니다.

  1. 다음 gcloud 명령줄 명령어를 실행하여 프로젝트에 대한 ID 및 액세스 관리(IAM) 정책 설정을 다운로드합니다.
    gcloud projects get-iam-policy PROJECT_ID > policy.yaml
  2. 다음과 같이 auditConfigs 섹션을 추가하여 다운로드한 policy.yaml 파일을 수정합니다. etag 값은 변경하지 마세요.
    auditConfigs:
    - auditLogConfigs:
      - logType: ADMIN_READ
      - logType: DATA_READ
      - logType: DATA_WRITE
      service: iap.googleapis.com
    
  3. 다음 gcloud 명령줄 명령어를 실행하여 수정된 .yaml 파일로 IAM 정책 설정을 업데이트합니다.
    gcloud projects set-iam-policy PROJECT_ID policy.yaml

프로젝트 리소스에 액세스하기 위한 모든 요청은 감사 로그를 생성합니다.

클라우드 감사 로그 보기

Cloud 감사 로그를 보려면 아래 절차를 따르세요.

  1. 프로젝트의 Cloud Console 로그 페이지로 이동합니다.
    로그 페이지로 이동
  2. 리소스 선택기 드롭다운 목록에서 리소스를 선택합니다. IAP 보안 리소스는 GAE 애플리케이션, GCE 백엔드 서비스GCE VM 인스턴스에 있습니다.
  3. 로그 유형 드롭다운 목록에서 data_access를 선택합니다.
    1. data_access 로그 유형은 IAP에 Cloud 감사 로그를 사용 설정한 후 리소스에 대한 트래픽이 발생한 경우에만 표시됩니다.
  4. 검토하려는 액세스 날짜 및 시간을 클릭하여 확장합니다.
    1. 승인된 액세스에는 파란색 i 아이콘이 있습니다.
    2. 승인되지 않은 액세스에는 주황색 !! 아이콘이 있습니다.

로그에는 사용자가 충족한 액세스 수준에 대한 정보만 포함됩니다. 승인되지 않은 요청을 차단한 액세스 수준은 로그 항목에 나열되지 않습니다. 주어진 리소스를 성공적으로 요청하기 위해 필요한 조건을 확인하려면 리소스의 액세스 수준을 확인합니다.

다음은 로그 필드에서 중요한 세부정보입니다.

필드
authenticationInfo principalEmail로 리소스에 액세스하려고 시도한 사용자의 이메일입니다.
requestMetadata.callerIp 요청이 시작된 IP 주소입니다.
requestMetadata.requestAttributes 요청 메소드 및 URL입니다.
authorizationInfo.resource 액세스 중인 리소스입니다.
authorizationInfo.granted IAP가 요청된 액세스를 허용했는지 여부를 나타내는 부울입니다.

다음 단계