启用 Cloud Audit Logs

下一页介绍如何为受 Identity-Aware Proxy (IAP) 保护的资源启用 Cloud Audit Logs。启用 Cloud Audit Logs 后,您可以查看请求以及用户已达到和未达到的所有访问权限级别

Cloud Audit Logs 绝不会为公开资源生成日志。

准备工作

在开始之前,您需要做好以下准备:

  • 已启用 IAP 并且要启用 Cloud Audit Logs 的 Web 应用或虚拟机。
  • Cloud SDK 的最新版本。下载 Cloud SDK

使用 Cloud SDK 启用 Cloud Audit Logs

为受 IAP 保护的项目启用 Cloud Audit Logs 后,您可以查看已获授权和未经授权的访问请求。如需查看请求及请求者符合的所有访问权限级别,请按照以下流程操作:

  1. 运行以下 gcloud 命令行命令,下载项目的身份和访问权限管理 (IAM) 政策设置:
    gcloud projects get-iam-policy PROJECT_ID > policy.yaml
  2. 通过添加 auditConfigs 部分(如下所示),修改您下载的 policy.yaml 文件。切勿更改任何 etag 值。
    auditConfigs:
    - auditLogConfigs:
      - logType: ADMIN_READ
      - logType: DATA_READ
      - logType: DATA_WRITE
      service: iap.googleapis.com
    
  3. 通过运行以下 gcloud 命令行命令,使用修改后的 .yaml 文件更新 IAM 政策设置:
    gcloud projects set-iam-policy PROJECT_ID policy.yaml

所有访问项目资源的请求都将生成审核日志。

查看 Cloud Audit Logs

要查看 Cloud Audit Logs 日志,请按照以下流程操作:

  1. 转到项目的 Cloud Console“日志”页面
    转到“日志”页面
  2. 资源选择器下拉列表中,选择一个资源。受 IAP 保护的资源位于 GAE 应用GCE 后端服务GCE 虚拟机实例下。
  3. 日志类型下拉列表中,选择 data_access
    1. 只有在为 IAP 启用 Cloud Audit Logs 后已有流量流向您的资源的情况下,data_access 日志类型才会显示。
  4. 点击以展开要查看的访问所对应的日期和时间。
    1. 已获授权的访问带有一个蓝色 i 图标。
    2. 未经授权的访问带有一个橙色 !! 图标。

日志仅包含有关用户已达到的访问权限级别的信息。阻止未经授权请求的访问权限级别未列在日志条目中。如需确定针对给定资源成功发出请求所需的条件,请检查该资源的访问权限级别。

以下是有关日志字段的重要详细信息:

字段
authenticationInfo 尝试以 principalEmail 身份访问资源的用户的电子邮件。
requestMetadata.callerIp 发出请求的 IP 地址。
requestMetadata.requestAttributes 请求方法和网址。
authorizationInfo.resource 要访问的资源。
authorizationInfo.granted 一个布尔值,表示 IAP 是否允许请求的访问。

后续步骤