In diesem Dokument wird das Audit-Logging für Identity-Aware Proxy und die damit verbundenen Methoden beschrieben. Generieren von Audit-Logs, Details zu den Audit-Logs, die jede Methode erzeugt, und welche Methoden ggf. keine Audit-Logs generieren. Google Cloud generiert Audit-Logs, die die Verwaltungs- und Zugriffsaktivitäten innerhalb Ihrer Google Cloud-Ressourcen loggen. Weitere Informationen finden Sie unter Cloud-Audit-Logs enthält diese Seite Informationen Audit-Logs aufrufen, wie sie gespeichert und weitergeleitet werden, und vieles mehr.
Hinweise
Der Abschnitt „Felder“ enthält wichtige Details zu einigen Feldern im Audit-Log.
Dienstname
Audit-Logs von Identity-Aware Proxy verwenden den Dienstnamen iap.googleapis.com.
Nach diesem Dienst filtern:
protoPayload.serviceName="iap.googleapis.com"
Methoden nach Berechtigungstyp
Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert ein Enum-Wert ist.
kann einer der folgenden vier Werte sein: ADMIN_READ, ADMIN_WRITE,
DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen,
Identity-Aware Proxy generiert ein Audit-Log, dessen Kategorie vom
type-Eigenschaft der Berechtigung, die zum Ausführen der Methode erforderlich ist.
Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff.
Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.
| Berechtigungstyp | Methoden |
|---|---|
ADMIN_READ |
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicygoogle.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettingsgoogle.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy |
ADMIN_WRITE |
google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicygoogle.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy |
DATA_READ |
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroupgoogle.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups |
DATA_WRITE |
google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroupgoogle.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroupgoogle.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettingsgoogle.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroupgoogle.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression |
Audit-Logs der API-Schnittstelle
Weitere Informationen darüber, wie und welche Berechtigungen für die einzelnen Methoden ausgewertet werden, finden Sie in der Dokumentation zu Identity and Access Management für Identity-Aware Proxy.
google.cloud.iap.v1.IdentityAwareProxyAdminService
Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.cloud.iap.v1.IdentityAwareProxyAdminService gehören.
CreateTunnelDestGroup
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup - Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.tunnelDestGroups.create - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup"
DeleteTunnelDestGroup
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup - Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.tunnelDestGroups.delete - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup"
GetIamPolicy
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy - Audit-Logtyp: Datenzugriff
- Berechtigungen: Informationen zu Berechtigungen finden Sie in der IAM-Dokumentation.
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy"
GetIapSettings
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings - Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.projects.getSettings - ADMIN_READiap.web.getSettings - ADMIN_READiap.webServiceVersions.getSettings - ADMIN_READiap.webServices.getSettings - ADMIN_READiap.webTypes.getSettings - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings"
GetTunnelDestGroup
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup - Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.tunnelDestGroups.get - DATA_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup"
ListTunnelDestGroups
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups - Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.tunnelDestGroups.list - DATA_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups"
SetIamPolicy
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy - Audit-Logtyp: Administratoraktivität
- Berechtigungen: Informationen zu Berechtigungen finden Sie in der IAM-Dokumentation.
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy"
UpdateIapSettings
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings - Audit-Logtyp: Datenzugriff
- Berechtigungen: Informationen zu Berechtigungen finden Sie in der IAM-Dokumentation.
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings"
UpdateTunnelDestGroup
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup - Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.tunnelDestGroups.update - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup"
ValidateIapAttributeExpression
- Methode:
google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression - Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.web.updateSettings - ADMIN_WRITEiap.web.updateSettings - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression"
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1
Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1 gehören.
GetIamPolicy
- Methode:
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy - Audit-Logtyp: Datenzugriff
- Berechtigungen:
iap.web.getIamPolicy - ADMIN_READiap.webServiceVersions.getIamPolicy - ADMIN_READiap.webServices.getIamPolicy - ADMIN_READiap.webTypes.getIamPolicy - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy"
SetIamPolicy
- Methode:
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy - Audit-Logtyp: Administratoraktivität
- Berechtigungen: Informationen zu Berechtigungen finden Sie in der IAM-Dokumentation.
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy"
Methoden, die keine Audit-Logs generieren
Eine Methode kann aus folgenden Gründen keine Audit-Logs erstellen:
- Dies ist eine Methode mit hohem Volumen, die erhebliche Loggenerierungs- und Speicherkosten mit sich bringt.
- Sie hat einen geringen Prüfwert.
- Ein anderes Audit- oder Plattformlog bietet bereits eine Methodenabdeckung.
Die folgenden Methoden generieren keine Audit-Logs:
google.cloud.iap.v1.IdentityAwareProxyOAuthService.CreateBrandgoogle.cloud.iap.v1.IdentityAwareProxyOAuthService.CreateIdentityAwareProxyClientgoogle.cloud.iap.v1.IdentityAwareProxyOAuthService.DeleteIdentityAwareProxyClientgoogle.cloud.iap.v1.IdentityAwareProxyOAuthService.GetBrandgoogle.cloud.iap.v1.IdentityAwareProxyOAuthService.GetIdentityAwareProxyClientgoogle.cloud.iap.v1.IdentityAwareProxyOAuthService.ListBrandsgoogle.cloud.iap.v1.IdentityAwareProxyOAuthService.ListIdentityAwareProxyClientsgoogle.cloud.iap.v1.IdentityAwareProxyOAuthService.ResetIdentityAwareProxyClientSecretgoogle.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.TestIamPermissions
Felder
Die Logs enthalten nur Informationen über die Zugriffsebenen, die ein Nutzer erfüllt hat. Zugriffsebenen, die eine nicht autorisierte Anfrage blockiert haben, werden nicht im Logeintrag aufgeführt. Prüfen Sie die Zugriffsebenen für die Ressource, damit ermittelt werden kann, welche Bedingungen erforderlich sind, um eine Anfrage für eine bestimmte Ressource erfolgreich auszuführen.
Im Folgenden finden Sie wichtige Details zu einigen Feldern im Log:
| Feld | Wert |
|---|---|
authenticationInfo |
Die E-Mail-Adresse des Nutzers, der versucht hat, als principalEmail auf die Ressource zuzugreifen. Diese Informationen sind in Logs für nicht authentifizierte Anfragen nicht vorhanden. |
requestMetadata.callerIp |
Die IP-Adresse, von der die Anfrage stammt. |
requestMetadata.requestAttributes |
Die Anfragemethode und die URL. |
authorizationInfo.resource |
Die Ressource, auf die zugegriffen wird. |
authorizationInfo.granted |
Ein boolescher Wert, der angibt, ob IAP den angeforderten Zugriff zugelassen hat. |