Journaux d'audit Identity-Aware Proxy

<ph type="x-smartling-placeholder">

Ce document décrit les journaux d'audit pour Identity-Aware Proxy, ainsi que les méthodes générer des journaux d'audit, en savoir plus sur les journaux d'audit produits par chaque méthode ; les méthodes qui ne génèrent pas de journaux d'audit, le cas échéant. Google Cloud génère des journaux d'audit qui enregistrent les activités d'administration et d'accès au sein de vos ressources Google Cloud. Pour en savoir plus, consultez Présentation de Cloud Audit Logs cette page contient des informations sur comment afficher les journaux d'audit, comment les stocker et les acheminer, et plus encore.

Remarques

La section Champs contient des informations importantes sur certains champs du journal d'audit.

Nom du service

Les journaux d'audit Identity-Aware Proxy utilisent le nom de service iap.googleapis.com. Filtrer pour ce service: 

    protoPayload.serviceName="iap.googleapis.com"

Méthodes par type d'autorisation

Chaque autorisation IAM possède une propriété type, dont la valeur est une énumération pouvant être l'une des quatre valeurs suivantes: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Lorsque vous appelez une méthode, Identity-Aware Proxy génère un journal d'audit dont la catégorie dépend du type de l'autorisation requise pour exécuter la méthode. Les méthodes nécessitant une autorisation IAM avec la valeur de la propriété type de DATA_READ, DATA_WRITE ou ADMIN_READ génèrent des journaux d'audit pour l'accès aux données. Les méthodes nécessitant une autorisation IAM avec la valeur de propriété type de ADMIN_WRITE génèrent des journaux d'audit pour les activités d'administration.

Type d'autorisation Méthodes
ADMIN_READ google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy
ADMIN_WRITE google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy
DATA_READ google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup
google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups
DATA_WRITE google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup
google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup
google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings
google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup
google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression

Journaux d'audit d'interface API

Pour savoir comment et quelles autorisations sont évaluées pour chaque méthode, consultez la documentation Identity and Access Management sur Identity-Aware Proxy.

google.cloud.iap.v1.IdentityAwareProxyAdminService

La section suivante contient des informations sur les journaux d'audit associés aux méthodes appartenant à google.cloud.iap.v1.IdentityAwareProxyAdminService.

CreateTunnelDestGroup

  • Méthode : google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • iap.tunnelDestGroups.create - DATA_WRITE
  • La méthode est une opération de longue durée ou en flux continu: Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup"

DeleteTunnelDestGroup

  • Méthode : google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • iap.tunnelDestGroups.delete - DATA_WRITE
  • La méthode est une opération de longue durée ou en flux continu: Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup"

GetIamPolicy

  • Méthode : google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy
  • Type de journal d'audit : Accès aux données
  • Autorisations: consultez la documentation IAM pour en savoir plus sur les autorisations.
  • La méthode est une opération de longue durée ou en flux continu: Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy"

GetIapSettings

  • Méthode : google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • iap.projects.getSettings - ADMIN_READ
    • iap.web.getSettings - ADMIN_READ
    • iap.webServiceVersions.getSettings - ADMIN_READ
    • iap.webServices.getSettings - ADMIN_READ
    • iap.webTypes.getSettings - ADMIN_READ
  • La méthode est une opération de longue durée ou en flux continu: Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings"

GetTunnelDestGroup

  • Méthode : google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • iap.tunnelDestGroups.get - DATA_READ
  • La méthode est une opération de longue durée ou en flux continu: Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup"

ListTunnelDestGroups

  • Méthode : google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • iap.tunnelDestGroups.list - DATA_READ
  • La méthode est une opération de longue durée ou en flux continu: Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups"

SetIamPolicy

  • Méthode : google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy
  • Type de journal d'audit: Activité d'administration
  • Autorisations: consultez la documentation IAM pour en savoir plus sur les autorisations.
  • La méthode est une opération de longue durée ou en flux continu: Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy"

UpdateIapSettings

  • Méthode : google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings
  • Type de journal d'audit : Accès aux données
  • Autorisations: consultez la documentation IAM pour en savoir plus sur les autorisations.
  • La méthode est une opération de longue durée ou en flux continu: Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings"

UpdateTunnelDestGroup

  • Méthode : google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • iap.tunnelDestGroups.update - DATA_WRITE
  • La méthode est une opération de longue durée ou en flux continu: Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup"

ValidateIapAttributeExpression

  • Méthode : google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • iap.web.updateSettings - ADMIN_WRITE
    • iap.web.updateSettings - DATA_WRITE
  • La méthode est une opération de longue durée ou en flux continu: Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression"

google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1

La section suivante contient des informations sur les journaux d'audit associés aux méthodes appartenant à google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.

GetIamPolicy

  • Méthode : google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • iap.web.getIamPolicy - ADMIN_READ
    • iap.webServiceVersions.getIamPolicy - ADMIN_READ
    • iap.webServices.getIamPolicy - ADMIN_READ
    • iap.webTypes.getIamPolicy - ADMIN_READ
  • La méthode est une opération de longue durée ou en flux continu: Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy"

SetIamPolicy

  • Méthode : google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy
  • Type de journal d'audit: Activité d'administration
  • Autorisations: consultez la documentation IAM pour en savoir plus sur les autorisations.
  • La méthode est une opération de longue durée ou en flux continu: Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy"

Méthodes ne produisant pas de journaux d'audit

Une méthode peut ne pas produire de journaux d'audit pour une ou plusieurs des raisons suivantes :

  • Il s'agit d'une méthode à volume élevé impliquant des coûts significatifs de génération de journaux et de stockage.
  • Sa valeur d'audit est faible.
  • Un autre journal d'audit ou de plate-forme fournit déjà une couverture des méthodes.

Les méthodes suivantes ne génèrent pas de journaux d'audit :

  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.CreateBrand
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.CreateIdentityAwareProxyClient
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.DeleteIdentityAwareProxyClient
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.GetBrand
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.GetIdentityAwareProxyClient
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.ListBrands
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.ListIdentityAwareProxyClients
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.ResetIdentityAwareProxyClientSecret
  • google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.TestIamPermissions

Champs

Les journaux ne contiennent que des informations sur les niveaux d'accès qu'un utilisateur a atteints. Les niveaux d'accès ayant bloqué une requête non autorisée ne sont pas répertoriés dans l'entrée de journal. Pour déterminer les conditions nécessaires à la réussite d'une requête pour une ressource donnée, vérifiez les niveaux d'accès de cette ressource.

Vous trouverez ci-dessous des informations importantes sur certains champs du journal:

Champ Value
authenticationInfo Adresse e-mail de l'utilisateur qui a tenté d'accéder à la ressource (principalEmail). Ces informations ne sont pas présentes dans les journaux des requêtes non authentifiées.
requestMetadata.callerIp Adresse IP d'origine de la requête.
requestMetadata.requestAttributes Méthode de la requête et URL.
authorizationInfo.resource Ressource concernée par l'accès.
authorizationInfo.granted Valeur booléenne indiquant si IAP a autorisé ou non l'accès demandé.