Auf der folgenden Seite wird gezeigt, wie Sie Cloud-Audit-Logging für Ihre mit Identity-Aware Proxy (IAP) gesicherten Ressourcen aktivieren. Mit den Logs von Cloud-Audit-Logging können Sie Anfragen prüfen und die Zugriffsebenen ermitteln, die ein Nutzer erfüllt oder nicht erfüllt hat.
Cloud-Audit-Logging generiert keine Logs für öffentliche Ressourcen.
Für Nutzer, die mit einer externen ID authentifiziert wurden, ist kein Audit-Logging verfügbar.
Hinweise
Für den Start ist Folgendes erforderlich:
- Eine Webanwendung mit aktiviertem IAP oder eine virtuelle Maschine, auf die über IAP für TCP zugegriffen wird.
- Eine aktuelle Version des Google Cloud SDK. Laden Sie das Google Cloud SDK herunter.
Cloud-Audit-Logs mit dem Google Cloud SDK aktivieren
Durch Aktivieren von Cloud-Audit-Logging für Ihr mit IAP gesichertes Projekt können Sie feststellen, welche autorisierten und nicht autorisierten Zugriffsanfragen gesendet wurden. Prüfen Sie mit den zugehörigen Audit-Logs die Anfragen und alle Zugriffsebenen, die ein Anfragender erfüllt hat. Führen Sie hierzu folgende Schritte aus:
-
Laden Sie die Richtlinieneinstellungen für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) für das Projekt herunter. Führen Sie dazu den folgenden gcloud-Befehl aus:
gcloud projects get-iam-policy PROJECT_ID > policy.yaml
-
Bearbeiten Sie die heruntergeladene Datei
policy.yaml
und fügen Sie wie im Folgenden aufgeführt einen AbschnittauditConfigs
hinzu. Ändern Sie auf keinen Fall die etag-Werte.auditConfigs: - auditLogConfigs: - logType: ADMIN_READ - logType: DATA_READ - logType: DATA_WRITE service: iap.googleapis.com
-
Aktualisieren Sie die IAM-Richtlinieneinstellungen mit der geänderten Datei
.yaml
. Führen Sie dazu den folgenden gcloud-Befehl aus:gcloud projects set-iam-policy PROJECT_ID policy.yaml
Alle Anfragen, die auf die Projektressourcen zugreifen, führen zur Erzeugung von Audit-Logs.
Cloud-Audit-Logs über die Console aktivieren
Wählen Sie in der Google Cloud Console IAM und Verwaltung > Audit-Logs aus:
Geben Sie unter Filter den Wert Identity-Aware Proxy ein.
Wählen Sie Cloud Identity-Aware Proxy API aus und wählen Sie dann die Logs aus, die Sie aktivieren oder deaktivieren möchten.
Cloud-Audit-Logs aufrufen
So rufen Sie die Logs von Cloud-Audit-Logs auf:
- Rufen Sie in der Google Cloud Console die Seite mit den Logs für Ihr Projekt auf.
Zur Seite "Logs" - Wählen Sie in der Drop-down-Liste Ressourcenauswahl eine Ressource aus. Mit IAP gesicherte Ressourcen befinden sich unter GAE-Anwendung, GCE-Back-End-Dienst und VM-Instanz.
- Wählen Sie in der Drop-down-Liste Logname die Option data_access aus.
- Der Logname data_access wird nur angezeigt, wenn nach dem Aktivieren von Cloud-Audit-Logs für IAP Traffic zu Ihrer Ressource gesendet wurde.
- Maximieren Sie das Datum und die Uhrzeit des Zugriffs, den Sie untersuchen möchten.
- Autorisierte Zugriffe sind mit einem blauen
i
-Symbol gekennzeichnet. - Nicht autorisierte Zugriffe haben ein orangefarbenes
!!
-Symbol.
- Autorisierte Zugriffe sind mit einem blauen
Die Logs enthalten nur Informationen über die Zugriffsebenen, die ein Nutzer erfüllt hat. Zugriffsebenen, die eine nicht autorisierte Anfrage blockiert haben, werden nicht im Logeintrag aufgeführt. Prüfen Sie die Zugriffsebenen für die Ressource, damit ermittelt werden kann, welche Bedingungen erforderlich sind, um eine Anfrage für eine bestimmte Ressource erfolgreich auszuführen.
Im Folgenden finden Sie wichtige Details zu den Logfeldern:
Feld | Wert |
---|---|
authenticationInfo |
Die E-Mail-Adresse des Nutzers, der versucht hat, als principalEmail auf die Ressource zuzugreifen. Diese Informationen sind in Logs für nicht authentifizierte Anfragen nicht vorhanden. |
requestMetadata.callerIp |
Die IP-Adresse, von der die Anfrage stammt. |
requestMetadata.requestAttributes |
Die Anfragemethode und die URL. |
authorizationInfo.resource |
Die Ressource, auf die zugegriffen wird. |
authorizationInfo.granted |
Ein boolescher Wert, der angibt, ob IAP den angeforderten Zugriff zugelassen hat. |
Beachten Sie, dass UpdateIapSettings
und ValidateIapAttributeExpression
als data_access-Log klassifiziert sind und erst angezeigt werden, nachdem Sie Cloud-Audit-Logs für Ihr Projekt aktiviert haben.