Cloud-Audit-Logs aktivieren

Auf der folgenden Seite wird gezeigt, wie Sie Cloud-Audit-Logging für Ihre mit Identity-Aware Proxy (IAP) gesicherten Ressourcen aktivieren. Mit den Logs von Cloud-Audit-Logging können Sie Anfragen prüfen und die Zugriffsebenen ermitteln, die ein Nutzer erfüllt oder nicht erfüllt hat.

Cloud-Audit-Logging generiert keine Logs für öffentliche Ressourcen.

Für Nutzer, die mit einer externen ID authentifiziert wurden, ist kein Audit-Logging verfügbar.

Hinweise

Für den Start ist Folgendes erforderlich:

• Eine Webanwendung mit aktiviertem IAP oder eine virtuelle Maschine, auf die über IAP für TCP zugegriffen wird.
• Eine aktuelle Version des Google Cloud SDK. Laden Sie das Google Cloud SDK herunter.

Cloud-Audit-Logs mit dem Google Cloud SDK aktivieren

Durch Aktivieren von Cloud-Audit-Logging für Ihr mit IAP gesichertes Projekt können Sie feststellen, welche autorisierten und nicht autorisierten Zugriffsanfragen gesendet wurden. Prüfen Sie mit den zugehörigen Audit-Logs die Anfragen und alle Zugriffsebenen, die ein Anfragender erfüllt hat. Führen Sie hierzu folgende Schritte aus:

1. Laden Sie die Richtlinieneinstellungen für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) für das Projekt herunter. Führen Sie dazu den folgenden gcloud-Befehl aus:

   gcloud projects get-iam-policy PROJECT_ID > policy.yaml

2. Bearbeiten Sie die heruntergeladene Datei policy.yaml und fügen Sie wie im Folgenden aufgeführt einen Abschnitt auditConfigs hinzu. Ändern Sie auf keinen Fall die etag-Werte.

   auditConfigs:
   - auditLogConfigs:
     - logType: ADMIN_READ
     - logType: DATA_READ
     - logType: DATA_WRITE
     service: iap.googleapis.com
   

3. Aktualisieren Sie die IAM-Richtlinieneinstellungen mit der geänderten Datei .yaml. Führen Sie dazu den folgenden gcloud-Befehl aus:

   gcloud projects set-iam-policy PROJECT_ID policy.yaml

Alle Anfragen, die auf die Projektressourcen zugreifen, führen zur Erzeugung von Audit-Logs.

Cloud-Audit-Logs über die Console aktivieren

1. Wählen Sie in der Google Cloud Console IAM und Verwaltung > Audit-Logs aus:

   Zu den Audit-Logs

2. Geben Sie unter Filter den Wert Identity-Aware Proxy ein.

3. Wählen Sie Cloud Identity-Aware Proxy API aus und wählen Sie dann die Logs aus, die Sie aktivieren oder deaktivieren möchten.

Cloud-Audit-Logs aufrufen

So rufen Sie die Logs von Cloud-Audit-Logs auf:

1. Rufen Sie in der Google Cloud Console die Seite mit den Logs für Ihr Projekt auf.
   Zur Seite "Logs"
2. Wählen Sie in der Drop-down-Liste Ressourcenauswahl eine Ressource aus. Mit IAP gesicherte Ressourcen befinden sich unter GAE-Anwendung, GCE-Back-End-Dienst und VM-Instanz.
3. Wählen Sie in der Drop-down-Liste Logname die Option data_access aus.
   1. Der Logname data_access wird nur angezeigt, wenn nach dem Aktivieren von Cloud-Audit-Logs für IAP Traffic zu Ihrer Ressource gesendet wurde.
4. Maximieren Sie das Datum und die Uhrzeit des Zugriffs, den Sie untersuchen möchten.
   1. Autorisierte Zugriffe sind mit einem blauen i-Symbol gekennzeichnet.
   2. Nicht autorisierte Zugriffe haben ein orangefarbenes !!-Symbol.

Die Logs enthalten nur Informationen über die Zugriffsebenen, die ein Nutzer erfüllt hat. Zugriffsebenen, die eine nicht autorisierte Anfrage blockiert haben, werden nicht im Logeintrag aufgeführt. Prüfen Sie die Zugriffsebenen für die Ressource, damit ermittelt werden kann, welche Bedingungen erforderlich sind, um eine Anfrage für eine bestimmte Ressource erfolgreich auszuführen.

Im Folgenden finden Sie wichtige Details zu den Logfeldern:

Feld	Wert
authenticationInfo	Die E-Mail-Adresse des Nutzers, der versucht hat, als principalEmail auf die Ressource zuzugreifen. Diese Informationen sind in Logs für nicht authentifizierte Anfragen nicht vorhanden.
requestMetadata.callerIp	Die IP-Adresse, von der die Anfrage stammt.
requestMetadata.requestAttributes	Die Anfragemethode und die URL.
authorizationInfo.resource	Die Ressource, auf die zugegriffen wird.
authorizationInfo.granted	Ein boolescher Wert, der angibt, ob IAP den angeforderten Zugriff zugelassen hat.

Beachten Sie, dass UpdateIapSettings und ValidateIapAttributeExpression als data_access-Log klassifiziert sind und erst angezeigt werden, nachdem Sie Cloud-Audit-Logs für Ihr Projekt aktiviert haben.

Nächste Schritte

• Cloud-Audit-Logs