In diesem Dokument wird das Audit-Logging für Identity-Aware Proxy und die damit verbundenen Methoden beschrieben. Generieren von Audit-Logs, Details zu den Audit-Logs, die jede Methode erzeugt, und welche Methoden ggf. keine Audit-Logs generieren. Google Cloud generiert Audit-Logs, die die Verwaltungs- und Zugriffsaktivitäten innerhalb Ihrer Google Cloud-Ressourcen loggen. Weitere Informationen finden Sie unter Cloud-Audit-Logs enthält diese Seite Informationen Audit-Logs aufrufen, wie sie gespeichert und weitergeleitet werden, und vieles mehr.
Hinweise
Der Abschnitt „Felder“ enthält wichtige Details zu einigen Feldern im Audit-Log.
Dienstname
Audit-Logs von Identity-Aware Proxy verwenden den Dienstnamen iap.googleapis.com
.
Nach diesem Dienst filtern:
protoPayload.serviceName="iap.googleapis.com"
Methoden nach Berechtigungstyp
Jede IAM-Berechtigung hat ein type
-Attribut, dessen Wert ein Enum-Wert ist.
kann einer der folgenden vier Werte sein: ADMIN_READ
, ADMIN_WRITE
,
DATA_READ
oder DATA_WRITE
. Wenn Sie eine Methode aufrufen,
Identity-Aware Proxy generiert ein Audit-Log, dessen Kategorie vom
type
-Eigenschaft der Berechtigung, die zum Ausführen der Methode erforderlich ist.
Methoden, die eine IAM-Berechtigung mit dem type
-Attributwert DATA_READ
, DATA_WRITE
oder ADMIN_READ
erfordern, generieren Audit-Logs zum Datenzugriff.
Methoden, die eine IAM-Berechtigung mit dem type
-Attributwert ADMIN_WRITE
erfordern, generieren Audit-Logs zur Administratoraktivität.
Berechtigungstyp | Methoden |
---|---|
ADMIN_READ |
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy |
ADMIN_WRITE |
google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy |
DATA_READ |
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups |
DATA_WRITE |
google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression |
Audit-Logs der API-Schnittstelle
Weitere Informationen darüber, wie und welche Berechtigungen für die einzelnen Methoden ausgewertet werden, finden Sie in der Dokumentation zu Identity and Access Management für Identity-Aware Proxy.
google.cloud.iap.v1.IdentityAwareProxyAdminService
Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.cloud.iap.v1.IdentityAwareProxyAdminService
gehören.
CreateTunnelDestGroup
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.tunnelDestGroups.create - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup"
DeleteTunnelDestGroup
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.tunnelDestGroups.delete - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup"
GetIamPolicy
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy
- Audit-Logtyp: Datenzugriff
- Berechtigungen: Informationen zu Berechtigungen finden Sie in der IAM-Dokumentation.
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy"
GetIapSettings
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.projects.getSettings - ADMIN_READ
iap.web.getSettings - ADMIN_READ
iap.webServiceVersions.getSettings - ADMIN_READ
iap.webServices.getSettings - ADMIN_READ
iap.webTypes.getSettings - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings"
GetTunnelDestGroup
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.tunnelDestGroups.get - DATA_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup"
ListTunnelDestGroups
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.tunnelDestGroups.list - DATA_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups"
SetIamPolicy
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy
- Audit-Logtyp: Administratoraktivität
- Berechtigungen: Informationen zu Berechtigungen finden Sie in der IAM-Dokumentation.
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy"
UpdateIapSettings
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings
- Audit-Logtyp: Datenzugriff
- Berechtigungen: Informationen zu Berechtigungen finden Sie in der IAM-Dokumentation.
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings"
UpdateTunnelDestGroup
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.tunnelDestGroups.update - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup"
ValidateIapAttributeExpression
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.web.updateSettings - ADMIN_WRITE
iap.web.updateSettings - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression"
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1
Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1
gehören.
GetIamPolicy
- Methode:
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy
- Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.web.getIamPolicy - ADMIN_READ
iap.webServiceVersions.getIamPolicy - ADMIN_READ
iap.webServices.getIamPolicy - ADMIN_READ
iap.webTypes.getIamPolicy - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy"
SetIamPolicy
- Methode:
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy
- Audit-Logtyp: Administratoraktivität
- Berechtigungen: Informationen zu Berechtigungen finden Sie in der IAM-Dokumentation.
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy"
Methoden, die keine Audit-Logs generieren
Eine Methode kann aus folgenden Gründen keine Audit-Logs erstellen:
- Dies ist eine Methode mit hohem Volumen, die erhebliche Loggenerierungs- und Speicherkosten mit sich bringt.
- Sie hat einen geringen Prüfwert.
- Ein anderes Audit- oder Plattformlog bietet bereits eine Methodenabdeckung.
Die folgenden Methoden generieren keine Audit-Logs:
google.cloud.iap.v1.IdentityAwareProxyOAuthService.CreateBrand
google.cloud.iap.v1.IdentityAwareProxyOAuthService.CreateIdentityAwareProxyClient
google.cloud.iap.v1.IdentityAwareProxyOAuthService.DeleteIdentityAwareProxyClient
google.cloud.iap.v1.IdentityAwareProxyOAuthService.GetBrand
google.cloud.iap.v1.IdentityAwareProxyOAuthService.GetIdentityAwareProxyClient
google.cloud.iap.v1.IdentityAwareProxyOAuthService.ListBrands
google.cloud.iap.v1.IdentityAwareProxyOAuthService.ListIdentityAwareProxyClients
google.cloud.iap.v1.IdentityAwareProxyOAuthService.ResetIdentityAwareProxyClientSecret
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.TestIamPermissions
Felder
Die Logs enthalten nur Informationen über die Zugriffsebenen, die ein Nutzer erfüllt hat. Zugriffsebenen, die eine nicht autorisierte Anfrage blockiert haben, werden nicht im Logeintrag aufgeführt. Prüfen Sie die Zugriffsebenen für die Ressource, damit ermittelt werden kann, welche Bedingungen erforderlich sind, um eine Anfrage für eine bestimmte Ressource erfolgreich auszuführen.
Im Folgenden finden Sie wichtige Details zu einigen Feldern im Log:
Feld | Wert |
---|---|
authenticationInfo |
Die E-Mail-Adresse des Nutzers, der versucht hat, als principalEmail auf die Ressource zuzugreifen. Diese Informationen sind in Logs für nicht authentifizierte Anfragen nicht vorhanden. |
requestMetadata.callerIp |
Die IP-Adresse, von der die Anfrage stammt. |
requestMetadata.requestAttributes |
Die Anfragemethode und die URL. |
authorizationInfo.resource |
Die Ressource, auf die zugegriffen wird. |
authorizationInfo.granted |
Ein boolescher Wert, der angibt, ob IAP den angeforderten Zugriff zugelassen hat. |