Cloud 監査ログの有効化

次のページでは、Identity-Aware Proxy(IAP)で保護されたリソースで Cloud 監査ログを有効にする方法について説明します。Cloud 監査ログを有効にすると、リクエストだけでなく、ユーザーに関するすべてのアクセスレベル(付与されている権限と付与されていない権限)を確認できます。

Cloud 監査ログはパブリック リソースのログを生成しません。

始める前に

始める前に、次のものが必要になります。

  • Cloud 監査ログを有効にするウェブアプリまたは仮想マシン(IAP が有効になっている必要があります)。
  • Cloud SDK の最新バージョン。Cloud SDK を入手してください

Cloud SDK を使用した Cloud 監査ログの有効化

IAP で保護されたプロジェクトで Cloud Audit Logs を有効にすると、承認されたアクセス リクエストと承認されなかったアクセス リクエストを確認できます。リクエストとリクエスト送信者のすべてのアクセスレベルを確認するには、次の操作を行います。

  1. 次の gcloud コマンドライン コマンドを実行して、プロジェクトの Identity Access Management(IAM)ポリシー設定をダウンロードします。
    gcloud projects get-iam-policy PROJECT_ID > policy.yaml
  2. ダウンロードした policy.yaml ファイルを編集し、次のように auditConfigs セクションを追加します。etag 値は変更しないでください。
    auditConfigs:
    - auditLogConfigs:
      - logType: ADMIN_READ
      - logType: DATA_READ
      - logType: DATA_WRITE
      service: iap.googleapis.com
    
  3. 次の gcloud コマンドライン コマンドを実行して、変更済みの .yaml ファイルで IAM ポリシー設定を更新します。
    gcloud projects set-iam-policy PROJECT_ID policy.yaml

プロジェクト リソースにアクセスするすべてのリクエストに対して監査ログが生成されます。

Cloud 監査ログの表示

Cloud 監査ログを表示するには、次の手順を行います。

  1. Cloud Console でプロジェクトのログページに移動します。
    [ログ] ページに移動
  2. リソース セレクタのプルダウン リストからリソースを選択します。IAP で保護されたリソースは、GAE アプリケーションGCE バックエンド サービスGCE VM インスタンスの下にあります。
  3. [logs type] プルダウン リストで data_access を選択します。
    1. data_access ログタイプは、IAP で Cloud 監査ログを有効にした後にリソースへのトラフィックがあった場合にのみ表示されます。
  4. クリックして、確認するアクセスの日時を展開します。
    1. 承認済みのアクセスには、青色の i アイコンが表示されます。
    2. 未承認のアクセスには、オレンジ色の !! アイコンが表示されます。

ログには、ユーザーが満たしたアクセスレベルに関する情報のみが記録されます。未承認のリクエストをブロックしたアクセスレベルは、ログエントリには表示されません。特定のリソースに対するリクエストを成功させるための条件を確認するには、リソースのアクセスレベルを確認します。

ログのフィールドに関する重要な情報を次に示します。

フィールド
authenticationInfo principalEmail としてリソースにアクセスしようとしたユーザーのメールアドレス。
requestMetadata.callerIp リクエストの送信元 IP アドレス。
requestMetadata.requestAttributes リクエスト メソッドと URL。
authorizationInfo.resource アクセスされているリソース。
authorizationInfo.granted リクエストされたアクセスを IAP が許可したかどうかを表すブール値。

次のステップ