Registo de auditoria do Identity-Aware Proxy

Este documento descreve o registo de auditoria para o Identity-Aware Proxy.Os Google Cloud serviços Google Cloud geram registos de auditoria que registam as atividades administrativas e de acesso nos seus recursos. Para mais informações sobre os registos de auditoria do Cloud, consulte o seguinte:

Notas

A secção de campos descreve detalhes importantes sobre alguns campos no registo de auditoria.

Nome do serviço

Os registos de auditoria do Identity-Aware Proxy usam o nome do serviço iap.googleapis.com. Filtrar por este serviço: 

    protoPayload.serviceName="iap.googleapis.com"

Métodos por tipo de autorização

Cada autorização de IAM tem uma propriedade type, cujo valor é uma enumeração que pode ter um de quatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Quando chama um método, o Identity-Aware Proxy gera um registo de auditoria cuja categoria depende da propriedade type da autorização necessária para executar o método. Os métodos que requerem uma autorização da IAM com o valor da propriedade type de DATA_READ, DATA_WRITE ou ADMIN_READ geram registos de auditoria de acesso aos dados. Os métodos que requerem uma autorização do IAM com o valor da propriedade type de ADMIN_WRITE generate Admin Activity registam auditorias.

Tipo de autorização Métodos
ADMIN_READ google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy
ADMIN_WRITE google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy
DATA_READ google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup
google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups
DATA_WRITE google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup
google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup
google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings
google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup
google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression

Registos de auditoria da interface da API

Para ver informações sobre como e que autorizações são avaliadas para cada método, consulte a documentação de gestão de identidade e acesso para o Proxy com reconhecimento de identidade.

google.cloud.iap.v1.IdentityAwareProxyAdminService

Os seguintes registos de auditoria estão associados a métodos pertencentes a google.cloud.iap.v1.IdentityAwareProxyAdminService.

CreateTunnelDestGroup

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • iap.tunnelDestGroups.create - DATA_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup"

DeleteTunnelDestGroup

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • iap.tunnelDestGroups.delete - DATA_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup"

GetIamPolicy

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • iap.web.getIamPolicy - ADMIN_READ
    • iap.webServiceVersions.getIamPolicy - ADMIN_READ
    • iap.webServices.getIamPolicy - ADMIN_READ
    • iap.webTypes.getIamPolicy - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy"

GetIapSettings

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • iap.projects.getSettings - ADMIN_READ
    • iap.web.getSettings - ADMIN_READ
    • iap.webServiceVersions.getSettings - ADMIN_READ
    • iap.webServices.getSettings - ADMIN_READ
    • iap.webTypes.getSettings - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings"

GetTunnelDestGroup

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • iap.tunnelDestGroups.get - DATA_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup"

ListTunnelDestGroups

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • iap.tunnelDestGroups.list - DATA_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups"

SetIamPolicy

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • iap.web.setIamPolicy - ADMIN_WRITE
    • iap.webServiceVersions.setIamPolicy - ADMIN_WRITE
    • iap.webServices.setIamPolicy - ADMIN_WRITE
    • iap.webTypes.setIamPolicy - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy"

UpdateIapSettings

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • iap.projects.updateSettings - DATA_WRITE
    • iap.web.updateSettings - DATA_WRITE
    • iap.webServiceVersions.updateSettings - DATA_WRITE
    • iap.webServices.updateSettings - DATA_WRITE
    • iap.webTypes.updateSettings - DATA_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings"

UpdateTunnelDestGroup

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • iap.tunnelDestGroups.update - DATA_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup"

ValidateIapAttributeExpression

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • iap.projects.updateSettings - DATA_WRITE
    • iap.web.updateSettings - DATA_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression"

google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1

Os seguintes registos de auditoria estão associados a métodos pertencentes a google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.

GetIamPolicy

  • Método: google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy
  • Tipo de registo de auditoria: Acesso a dados
  • Autorizações:
    • iap.web.getIamPolicy - ADMIN_READ
    • iap.webServiceVersions.getIamPolicy - ADMIN_READ
    • iap.webServices.getIamPolicy - ADMIN_READ
    • iap.webTypes.getIamPolicy - ADMIN_READ
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy"

SetIamPolicy

  • Método: google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy
  • Tipo de registo de auditoria: Atividade do administrador
  • Autorizações:
    • iap.webServiceVersions.setIamPolicy - ADMIN_WRITE
    • iap.webServices.setIamPolicy - ADMIN_WRITE
    • iap.webTypes.setIamPolicy - ADMIN_WRITE
  • O método é uma operação de longa duração ou de streaming: Não.
  • Filtre por este método: protoPayload.methodName="google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy"

Métodos que não produzem registos de auditoria

Um método pode não produzir registos de auditoria por um ou mais dos seguintes motivos:

  • É um método de volume elevado que envolve custos significativos de geração e armazenamento de registos.
  • Tem um valor de auditoria baixo.
  • Outra auditoria ou registo da plataforma já fornece cobertura do método.

Os seguintes métodos não produzem registos de auditoria:

  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.CreateBrand
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.CreateIdentityAwareProxyClient
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.DeleteIdentityAwareProxyClient
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.GetBrand
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.GetIdentityAwareProxyClient
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.ListBrands
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.ListIdentityAwareProxyClients
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.ResetIdentityAwareProxyClientSecret
  • google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.TestIamPermissions

Campos

Os registos contêm apenas informações sobre os níveis de acesso que um utilizador atingiu. Os níveis de acesso que bloquearam um pedido não autorizado não são indicados na entrada do registo. Para determinar que condições são necessárias para fazer um pedido bem-sucedido de um determinado recurso, verifique os níveis de acesso do recurso.

Seguem-se detalhes importantes sobre alguns campos no registo:

Campo Valor
authenticationInfo O email do utilizador que tentou aceder ao recurso como principalEmail. Estas informações não estão presentes nos registos de pedidos não autenticados.
requestMetadata.callerIp O endereço IP de origem do pedido.
requestMetadata.requestAttributes O método de pedido e o URL.
authorizationInfo.resource O recurso ao qual está a aceder.
authorizationInfo.granted Um valor booleano que representa se o IAP permitiu o acesso pedido.