Abilitazione degli audit log di Cloud

La pagina seguente descrive come abilitare Cloud Audit Logs per le tue risorse protette con Identity-Aware Proxy (IAP). L'abilitazione di Cloud Audit Logs consente di visualizzare una richiesta e vedere tutti i livelli di accesso di cui un utente ha o non ha soddisfatto.

Cloud Audit Logs non genererà mai log per le risorse pubbliche.

L'audit logging per gli utenti autenticati con un ID esterno non è disponibile.

Prima di iniziare

Prima di iniziare, devi disporre di:

  • Un'app web con IAP abilitato o una macchina virtuale accessibile tramite IAP per TCP.
  • Una versione aggiornata di Google Cloud SDK. Scarica Google Cloud SDK.

Attivazione di Cloud Audit Logs utilizzando Google Cloud SDK

L'abilitazione di Cloud Audit Logs per il tuo progetto protetto con IAP consente di visualizzare le richieste di accesso autorizzate e non autorizzate. Visualizza le richieste e tutti i livelli di accesso soddisfatti da un richiedente seguendo la procedura riportata di seguito:

  1. Scarica le impostazioni dei criteri di Identity and Access Management (IAM) per il progetto eseguendo il seguente comando a riga di comando gcloud: 
    gcloud projects get-iam-policy PROJECT_ID > policy.yaml
  2. Modifica il file policy.yaml che hai scaricato aggiungendo una sezione auditConfigs come segue. Assicurati di non modificare i valori etag. 
    auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_READ
  - logType: DATA_WRITE
  service: iap.googleapis.com
  3. Aggiorna le impostazioni dei criteri IAM con il file .yaml modificato eseguendo il seguente comando a riga di comando gcloud: 
    gcloud projects set-iam-policy PROJECT_ID policy.yaml

Tutte le richieste di accesso alle risorse del progetto genereranno audit log.

Abilitazione di Cloud Audit Logs utilizzando la console

  1. Nella console Google Cloud, seleziona IAM e amministrazione > Audit log:

    Vai agli audit log

  2. In Filter (Filtro), inserisci Identity-Aware Proxy.

  3. Seleziona API Cloud Identity-Aware Proxy, quindi seleziona o deseleziona i log che vuoi abilitare o disabilitare.

Visualizzazione degli audit log di Cloud

Per visualizzare i log di Cloud Audit Logs, segui il processo seguente:

  1. Vai alla pagina dei log della console Google Cloud per il tuo progetto.
    Vai alla pagina Log
  2. Nell'elenco a discesa del selettore di risorse, seleziona una risorsa. Le risorse protette con IAP si trovano in Applicazione GAE, Servizio di backend GCE e Istanza VM.
  3. Nell'elenco a discesa Nome log, seleziona data_access.
    1. Il nome del log data_access viene visualizzato solo se, dopo l'abilitazione di Cloud Audit Logs per IAP, c'è stato traffico verso la tua risorsa.
  4. Fai clic per espandere la data e l'ora dell'accesso che vuoi esaminare.
    1. L'accesso autorizzato ha un'icona blu i.
    2. L'accesso non autorizzato è contrassegnato da un'icona !! arancione.

I log contengono solo informazioni sui livelli di accesso soddisfatti da un utente. I livelli di accesso che hanno bloccato una richiesta non autorizzata non sono elencati nella voce di log. Per determinare quali condizioni sono necessarie per effettuare una richiesta corretta per una determinata risorsa, controlla i livelli di accesso per la risorsa.

Di seguito sono riportati importanti dettagli sui campi del log:

Campo Valore
authenticationInfo L'indirizzo email dell'utente che ha tentato di accedere alla risorsa come principalEmail. Queste informazioni non sono presenti nei log per le richieste non autenticate.
requestMetadata.callerIp L'indirizzo IP da cui ha avuto origine la richiesta.
requestMetadata.requestAttributes Il metodo di richiesta e l'URL.
authorizationInfo.resource La risorsa a cui si accede.
authorizationInfo.granted Un valore booleano che indica se IAP ha consentito l'accesso richiesto.

Tieni presente che UpdateIapSettings e ValidateIapAttributeExpression sono classificati come log data_access e vengono visualizzati solo dopo aver abilitato Cloud Audit Logs per il tuo progetto.

Passaggi successivi