Questo documento descrive il logging di controllo per Identity-Aware Proxy, inclusi i metodi generare audit log, i dettagli sugli audit log prodotti da ciascun metodo quali metodi non producono audit log, se presenti. Google Cloud genera di audit log che registrano le attività amministrative e di accesso all'interno del tuo dell'accesso a specifiche risorse Google Cloud. Per ulteriori informazioni, vedi Panoramica di Cloud Audit Logs, questa pagina include informazioni come visualizzare gli audit log, come archiviarli e indirizzarli, e altro ancora.
Note
La sezione dei campi contiene informazioni importanti su alcuni campi dell'audit log.
Nome servizio
Gli audit log di Identity-Aware Proxy utilizzano il nome del servizio iap.googleapis.com.
Filtra per questo servizio:
protoPayload.serviceName="iap.googleapis.com"
Metodi per tipo di autorizzazione
Ogni autorizzazione IAM ha una proprietà type, il cui valore è un'enumerazione
che può essere uno dei quattro valori: ADMIN_READ, ADMIN_WRITE,
DATA_READ o DATA_WRITE. Quando chiami un metodo,
Identity-Aware Proxy genera un audit log la cui categoria dipende dal
Proprietà type dell'autorizzazione richiesta per eseguire il metodo.
Metodi che richiedono un'autorizzazione IAM con il valore della proprietà type
di DATA_READ, DATA_WRITE o ADMIN_READ generano
Audit log di accesso ai dati.
Metodi che richiedono un'autorizzazione IAM con il valore della proprietà type
di ADMIN_WRITE generano
Audit log delle attività di amministrazione.
| Tipo di autorizzazione | Metodi |
|---|---|
ADMIN_READ |
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicygoogle.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettingsgoogle.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy |
ADMIN_WRITE |
google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicygoogle.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy |
DATA_READ |
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroupgoogle.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups |
DATA_WRITE |
google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroupgoogle.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroupgoogle.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettingsgoogle.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroupgoogle.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression |
Audit log dell'interfaccia API
Per informazioni su come e quali autorizzazioni vengono valutate per ogni metodo, consulta la documentazione di Identity and Access Management per Identity-Aware Proxy.
google.cloud.iap.v1.IdentityAwareProxyAdminService
La sezione seguente contiene i dettagli sugli audit log associati a
metodi appartenenti a google.cloud.iap.v1.IdentityAwareProxyAdminService.
CreateTunnelDestGroup
- Metodo:
google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup - Tipo di log di controllo: Accesso ai dati
- Autorizzazioni:
iap.tunnelDestGroups.create - DATA_WRITE
- Il metodo è un'operazione a lunga esecuzione o in modalità flusso:
N.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup"
DeleteTunnelDestGroup
- Metodo:
google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup - Tipo di log di controllo: Accesso ai dati
- Autorizzazioni:
iap.tunnelDestGroups.delete - DATA_WRITE
- Il metodo è un'operazione a lunga esecuzione o in modalità flusso:
N.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup"
GetIamPolicy
- Metodo:
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy - Tipo di log di controllo: Accesso ai dati
- Autorizzazioni: consulta la documentazione di IAM per le autorizzazioni.
- Il metodo è un'operazione a lunga esecuzione o in modalità flusso:
N.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy"
GetIapSettings
- Metodo:
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings - Tipo di log di controllo: Accesso ai dati
- Autorizzazioni:
iap.projects.getSettings - ADMIN_READiap.web.getSettings - ADMIN_READiap.webServiceVersions.getSettings - ADMIN_READiap.webServices.getSettings - ADMIN_READiap.webTypes.getSettings - ADMIN_READ
- Il metodo è un'operazione a lunga esecuzione o in modalità flusso:
N.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings"
GetTunnelDestGroup
- Metodo:
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup - Tipo di log di controllo: Accesso ai dati
- Autorizzazioni:
iap.tunnelDestGroups.get - DATA_READ
- Il metodo è un'operazione a lunga esecuzione o in modalità flusso:
N.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup"
ListTunnelDestGroups
- Metodo:
google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups - Tipo di log di controllo: Accesso ai dati
- Autorizzazioni:
iap.tunnelDestGroups.list - DATA_READ
- Il metodo è un'operazione a lunga esecuzione o in modalità flusso:
N.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups"
SetIamPolicy
- Metodo:
google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy - Tipo di log di controllo: Attività di amministrazione
- Autorizzazioni: consulta la documentazione di IAM per le autorizzazioni.
- Il metodo è un'operazione a lunga esecuzione o in modalità flusso:
N.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy"
UpdateIapSettings
- Metodo:
google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings - Tipo di log di controllo: Accesso ai dati
- Autorizzazioni: consulta la documentazione di IAM per le autorizzazioni.
- Il metodo è un'operazione a lunga esecuzione o in modalità flusso:
N.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings"
UpdateTunnelDestGroup
- Metodo:
google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup - Tipo di log di controllo: Accesso ai dati
- Autorizzazioni:
iap.tunnelDestGroups.update - DATA_WRITE
- Il metodo è un'operazione a lunga esecuzione o in modalità flusso:
N.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup"
ValidateIapAttributeExpression
- Metodo:
google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression - Tipo di log di controllo: Accesso ai dati
- Autorizzazioni:
iap.web.updateSettings - ADMIN_WRITEiap.web.updateSettings - DATA_WRITE
- Il metodo è un'operazione a lunga esecuzione o in modalità flusso:
N.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression"
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1
La sezione seguente contiene i dettagli sugli audit log associati a
metodi appartenenti a google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.
GetIamPolicy
- Metodo:
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy - Tipo di log di controllo: Accesso ai dati
- Autorizzazioni:
iap.web.getIamPolicy - ADMIN_READiap.webServiceVersions.getIamPolicy - ADMIN_READiap.webServices.getIamPolicy - ADMIN_READiap.webTypes.getIamPolicy - ADMIN_READ
- Il metodo è un'operazione a lunga esecuzione o in modalità flusso:
N.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy"
SetIamPolicy
- Metodo:
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy - Tipo di log di controllo: Attività di amministrazione
- Autorizzazioni: consulta la documentazione di IAM per le autorizzazioni.
- Il metodo è un'operazione a lunga esecuzione o in modalità flusso:
N.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy"
Metodi che non producono audit log
Un metodo potrebbe non generare audit log per uno o più dei seguenti elementi motivi:
- Si tratta di un metodo ad alto volume che implica la generazione e l'archiviazione di log significativi costi aggiuntivi.
- Ha un valore di controllo basso.
- La copertura dei metodi è già fornita da un altro log di controllo o di piattaforma.
I seguenti metodi non producono audit log:
google.cloud.iap.v1.IdentityAwareProxyOAuthService.CreateBrandgoogle.cloud.iap.v1.IdentityAwareProxyOAuthService.CreateIdentityAwareProxyClientgoogle.cloud.iap.v1.IdentityAwareProxyOAuthService.DeleteIdentityAwareProxyClientgoogle.cloud.iap.v1.IdentityAwareProxyOAuthService.GetBrandgoogle.cloud.iap.v1.IdentityAwareProxyOAuthService.GetIdentityAwareProxyClientgoogle.cloud.iap.v1.IdentityAwareProxyOAuthService.ListBrandsgoogle.cloud.iap.v1.IdentityAwareProxyOAuthService.ListIdentityAwareProxyClientsgoogle.cloud.iap.v1.IdentityAwareProxyOAuthService.ResetIdentityAwareProxyClientSecretgoogle.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.TestIamPermissions
Campi
I log contengono solo informazioni sui livelli di accesso incontrato da un utente. I livelli di accesso che hanno bloccato una richiesta non autorizzata non sono elencato nella voce di log. Per determinare quali sono le condizioni necessarie per richiesta per una determinata risorsa, controlla i livelli di accesso risorsa.
Di seguito sono riportati i dettagli importanti su alcuni campi del log:
| Campo | Valore |
|---|---|
authenticationInfo |
L'indirizzo email dell'utente che ha tentato di accedere alla risorsa come principalEmail. Queste informazioni non sono presenti nei log per le richieste non autenticate. |
requestMetadata.callerIp |
L'indirizzo IP da cui ha avuto origine la richiesta. |
requestMetadata.requestAttributes |
Il metodo di richiesta e l'URL. |
authorizationInfo.resource |
La risorsa a cui si accede. |
authorizationInfo.granted |
Un valore booleano che rappresenta se IAP ha consentito l'accesso richiesto. |