La pagina seguente descrive come abilitare Cloud Audit Logs per le tue risorse protette con Identity-Aware Proxy (IAP). L'abilitazione di Cloud Audit Logs consente di visualizzare una richiesta e vedere tutti i livelli di accesso di cui un utente ha o non ha soddisfatto.
Cloud Audit Logs non genererà mai log per le risorse pubbliche.
L'audit logging per gli utenti autenticati con un ID esterno non è disponibile.
Prima di iniziare
Prima di iniziare, devi disporre di:
- Un'app web con IAP abilitato o una macchina virtuale accessibile tramite IAP per TCP.
- Una versione aggiornata di Google Cloud SDK. Scarica Google Cloud SDK.
Attivazione di Cloud Audit Logs utilizzando Google Cloud SDK
L'abilitazione di Cloud Audit Logs per il tuo progetto protetto con IAP consente di visualizzare le richieste di accesso autorizzate e non autorizzate. Visualizza le richieste e tutti i livelli di accesso soddisfatti da un richiedente seguendo la procedura riportata di seguito:
-
Scarica le impostazioni dei criteri di Identity and Access Management (IAM) per il progetto eseguendo il seguente comando a riga di comando gcloud:
gcloud projects get-iam-policy PROJECT_ID > policy.yaml
-
Modifica il file
policy.yaml
che hai scaricato aggiungendo una sezioneauditConfigs
come segue. Assicurati di non modificare i valori etag.auditConfigs: - auditLogConfigs: - logType: ADMIN_READ - logType: DATA_READ - logType: DATA_WRITE service: iap.googleapis.com
-
Aggiorna le impostazioni dei criteri IAM con il file
.yaml
modificato eseguendo il seguente comando a riga di comando gcloud:gcloud projects set-iam-policy PROJECT_ID policy.yaml
Tutte le richieste di accesso alle risorse del progetto genereranno audit log.
Abilitazione di Cloud Audit Logs utilizzando la console
Nella console Google Cloud, seleziona IAM e amministrazione > Audit log:
In Filter (Filtro), inserisci Identity-Aware Proxy.
Seleziona API Cloud Identity-Aware Proxy, quindi seleziona o deseleziona i log che vuoi abilitare o disabilitare.
Visualizzazione degli audit log di Cloud
Per visualizzare i log di Cloud Audit Logs, segui il processo seguente:
- Vai alla pagina dei log della console Google Cloud per il tuo progetto.
Vai alla pagina Log - Nell'elenco a discesa del selettore di risorse, seleziona una risorsa. Le risorse protette con IAP si trovano in Applicazione GAE, Servizio di backend GCE e Istanza VM.
- Nell'elenco a discesa Nome log, seleziona data_access.
- Il nome del log data_access viene visualizzato solo se, dopo l'abilitazione di Cloud Audit Logs per IAP, c'è stato traffico verso la tua risorsa.
- Fai clic per espandere la data e l'ora dell'accesso che vuoi esaminare.
- L'accesso autorizzato ha un'icona blu
i
. - L'accesso non autorizzato è contrassegnato da un'icona
!!
arancione.
- L'accesso autorizzato ha un'icona blu
I log contengono solo informazioni sui livelli di accesso soddisfatti da un utente. I livelli di accesso che hanno bloccato una richiesta non autorizzata non sono elencati nella voce di log. Per determinare quali condizioni sono necessarie per effettuare una richiesta corretta per una determinata risorsa, controlla i livelli di accesso per la risorsa.
Di seguito sono riportati importanti dettagli sui campi del log:
Campo | Valore |
---|---|
authenticationInfo |
L'indirizzo email dell'utente che ha tentato di accedere alla risorsa come principalEmail . Queste informazioni non sono presenti nei log per le richieste non autenticate. |
requestMetadata.callerIp |
L'indirizzo IP da cui ha avuto origine la richiesta. |
requestMetadata.requestAttributes |
Il metodo di richiesta e l'URL. |
authorizationInfo.resource |
La risorsa a cui si accede. |
authorizationInfo.granted |
Un valore booleano che indica se IAP ha consentito l'accesso richiesto. |
Tieni presente che UpdateIapSettings
e ValidateIapAttributeExpression
sono classificati come log data_access e vengono visualizzati solo dopo aver abilitato Cloud Audit Logs per il tuo progetto.
Passaggi successivi
- Scopri di più su Cloud Audit Logs.