Log di controllo delle autorità di certificazione pubbliche

Questo documento descrive la registrazione degli audit per le autorità di certificazione pubbliche. Google Cloud I servizi generano audit log che registrano le attività amministrative e di accesso all'interno delle tue Google Cloud risorse. Per ulteriori informazioni sugli audit log di Cloud, consulta quanto segue:

Nome servizio

I log di controllo dell'autorità di certificazione pubblica utilizzano il nome del servizio publicca.googleapis.com. Filtra per questo servizio:

    protoPayload.serviceName="publicca.googleapis.com"
  

Metodi per tipo di autorizzazione

Ogni autorizzazione IAM ha una proprietà type, il cui valore è un enum che può essere uno dei quattro valori: ADMIN_READ, ADMIN_WRITE, DATA_READ o DATA_WRITE. Quando chiami un metodo, Public Certificate Authority genera un log di controllo la cui categoria dipende dalla proprietà type dell'autorizzazione richiesta per eseguire il metodo. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type corrispondente a DATA_READ, DATA_WRITE o ADMIN_READ generano log di controllo Accesso ai dati. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type ADMIN_WRITE generano log di controllo per le attività amministrative.

Tipo di autorizzazione Metodi
DATA_WRITE google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKey
google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKey
google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey

Audit log dell'interfaccia API

Per informazioni su come e quali autorizzazioni vengono valutate per ciascun metodo, consulta la documentazione di Identity and Access Management per l'autorità di certificazione pubblica.

google.cloud.security.publicca.v1.PublicCertificateAuthorityService

I seguenti log di controllo sono associati ai metodi appartenenti a google.cloud.security.publicca.v1.PublicCertificateAuthorityService.

CreateExternalAccountKey

  • Metodo: google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKey
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • publicca.externalAccountKeys.create - DATA_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKey"

google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService

I seguenti log di controllo sono associati ai metodi appartenenti a google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.

CreateExternalAccountKey

  • Metodo: google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKey
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • publicca.externalAccountKeys.create - DATA_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKey"

google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService

I seguenti log di controllo sono associati ai metodi appartenenti a google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.

CreateExternalAccountKey

  • Metodo: google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey
  • Tipo di log di controllo: Accesso ai dati
  • Autorizzazioni:
    • publicca.externalAccountKeys.create - DATA_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: No.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey"

Log di controllo disponibili

Per le autorità di certificazione pubbliche sono disponibili i seguenti tipi di log di controllo:

  • Audit log degli accessi ai dati

    Sono inclusi i dati "data write" che scrivono i dati forniti dall'utente.

    Per ricevere gli audit log di accesso ai dati, devi attivarli esplicitamente.

Per descrizioni più complete dei tipi di log di controllo, consulta Tipi di log di controllo.

Formato degli audit log

Le voci dei log di controllo includono i seguenti oggetti:

  • La voce di log stessa, che è un oggetto di tipo LogEntry. Di seguito vengono riportati alcuni campi utili:

    • logName contiene l'ID risorsa e il tipo di log di controllo.
    • resource contiene il target dell'operazione sottoposta ad audit.
    • timeStamp contiene l'ora dell'operazione sottoposta ad audit.
    • protoPayload contiene le informazioni sottoposte a verifica.
  • I dati di registrazione degli audit, che sono un oggetto AuditLog contenuto nel campo protoPayload della voce di log.

  • Informazioni di audit facoltative e specifiche del servizio, che sono un oggetto specifico del servizio. Per le integrazioni precedenti, questo oggetto è contenuto nel campo serviceData dell'oggetto AuditLog; le integrazioni successive utilizzano il campo metadata.

Per informazioni sugli altri campi in questi oggetti e su come interpretarli, consulta Comprendere i log di controllo.

Nome log

I nomi dei log di Audit log di Cloud includono identificatori delle risorse che indicano il progetto Google Cloud o un'altra entità Google Cloud proprietaria degli audit log, oltre a specificare se il log contiene dati di audit logging per attività di amministrazione, accesso ai dati, rifiuto delle norme o eventi di sistema.

Di seguito sono riportati i nomi dei log di controllo, incluse le variabili per gli identificatori delle risorse:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Abilitazione degli audit log

Gli audit log per le attività di amministrazione sono sempre abilitati; non puoi disabilitarli.

Gli audit log di accesso ai dati sono disabilitati per impostazione predefinita e non vengono scritti a meno che non vengano abilitati esplicitamente (fa eccezione gli audit log di accesso ai dati per BigQuery, che non possono essere disattivati).

Per informazioni su come attivare alcuni o tutti gli audit log di accesso ai dati, consulta Attivare gli audit log di accesso ai dati.

Visualizza audit log

Puoi eseguire query su tutti i log di controllo o su log specifici in base al nome del log di controllo. Il nome dell'audit log include l'identificatore della risorsa del progetto, della cartella, dell'account di fatturazione o dell'organizzazione Google Cloud per cui vuoi visualizzare le informazioni di log di controllo. Le query possono specificare campi LogEntry indicizzati e, se utilizzi la pagina Analisi dei log, che supporta le query SQL, puoi visualizzare i risultati della query sotto forma di grafico.

Per ulteriori informazioni su come eseguire query sui log, consulta le seguenti pagine:

Puoi visualizzare gli audit log in Cloud Logging utilizzando la console Google Cloud, Google Cloud CLI o l'API Logging.

Console

Nella console Google Cloud, puoi utilizzare Esplora log per recuperare le voci degli audit log per il progetto, la cartella o l'organizzazione Google Cloud:

  1. Nella console Google Cloud, vai alla pagina Esplora log:

    Vai a Esplora log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Seleziona un progetto, una cartella o un'organizzazione Google Cloud esistente.

  3. Per visualizzare tutti i log di controllo, inserisci una delle seguenti query nel campo dell'editor di query e poi fai clic su Esegui query:

    logName:"cloudaudit.googleapis.com"
    
    protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
    
  4. Per visualizzare gli audit log per una risorsa e un tipo di audit log specifici, nel riquadro Query Builder:

    • In Tipo di risorsa, seleziona la Google Cloud risorsa di cui vuoi visualizzare gli audit log.

    • In Nome log, seleziona il tipo di log di controllo da visualizzare:

      • Per gli audit log delle attività di amministrazione, seleziona activity.
      • Per gli audit log di accesso ai dati, seleziona data_access.
      • Per gli audit log degli eventi di sistema, seleziona system_event.
      • Per gli audit log di accesso negato in base ai criteri, seleziona policy.
    • Fai clic su Esegui query.

    Se non visualizzi queste opzioni, vuol dire che non sono disponibili audit log di questo tipo nel progetto, nella cartella o nell'organizzazione Google Cloud.

    Se riscontri problemi quando provi a visualizzare i log in Esplora log, consulta le informazioni sulla risoluzione dei problemi.

    Per ulteriori informazioni su come eseguire query utilizzando Esplora log, consulta Creare query in Esplora log. Per informazioni su come riepilogare le voci di log in Esplora log utilizzando Gemini, consulta Riepilogare le voci di log con l'assistenza di Gemini.

gcloud

Google Cloud CLI fornisce un'interfaccia a riga di comando per l'API Logging. Fornisci un identificatore della risorsa valido in ciascuno dei nomi del log. Ad esempio, se la query include un PROJECT_ID, l'identificatore del progetto fornito deve fare riferimento al progetto Google Cloud attualmente selezionato.

Per leggere le voci dei log di controllo a livello di progetto Google Cloud, esegui il seguente comando:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Per leggere le voci dei log di controllo a livello di cartella, esegui il seguente comando:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Per leggere le voci degli audit log a livello di organizzazione, esegui il seguente comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Per leggere le voci del log di controllo a livello di account di fatturazione Cloud, esegui il seguente comando:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Aggiungi il flag --freshness al comando per leggere i log risalenti a più di un giorno prima.

Per ulteriori informazioni sull'utilizzo dell'interfaccia a riga di comando gcloud, consulta gcloud logging read.

API

Quando crei le query, fornisci un identificatore di risorse valido in ciascuno delle denominazioni dei log. Ad esempio, se la query include un PROJECT_ID, l'identificatore del progetto fornito deve fare riferimento al progetto Google Cloud selezionato al momento.

Ad esempio, per utilizzare l'API Logging per visualizzare le voci di audit log a livello di progetto:

  1. Vai alla sezione Prova questa API nella documentazione del metodo entries.list.

  2. Inserisci quanto segue nella sezione Corpo della richiesta del modulo Prova questa API. Se fai clic su questo modulo precompilato, il corpo della richiesta viene compilato automaticamente, ma devi fornire un valore PROJECT_ID valido in ciascuno dei nomi dei log.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Fai clic su Execute (Esegui).