Registro de auditoria do Identity-Aware Proxy

Este documento descreve o registro de auditoria do Identity-Aware Proxy. Os serviços do Google Cloud geram registros de auditoria que registram atividades administrativas e de acesso nos recursos do Google Cloud. Para mais informações sobre os Registros de auditoria do Cloud, consulte:

Observações

A seção de campos descreve detalhes importantes sobre alguns campos no registro de auditoria.

Nome do serviço

Os registros de auditoria do Identity-Aware Proxy usam o nome de serviço iap.googleapis.com. Filtrar por este serviço: 

    protoPayload.serviceName="iap.googleapis.com"

Métodos por tipo de permissão

Cada permissão do IAM tem uma propriedade type, que tem o valor de um tipo enumerado que pode ser um dos quatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Quando você chama um método, Identity-Aware Proxy gera um registro de auditoria com categoria dependente da propriedade type da permissão necessária para executar o método. Métodos que exigem uma permissão do IAM com o valor da propriedade type de DATA_READ, DATA_WRITE ou ADMIN_READ geram registros de auditoria de acesso aos dados. Métodos que exigem uma permissão do IAM com o valor da propriedade type de ADMIN_WRITE geram registros de auditoria de Atividade do administrador.

Tipo de permissão Métodos
ADMIN_READ google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy
ADMIN_WRITE google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy
google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy
DATA_READ google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup
google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups
DATA_WRITE google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup
google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup
google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings
google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup

Registros de auditoria da interface da API

Para informações sobre como e quais permissões são avaliadas para cada método, consulte a documentação do Identity and Access Management para o Identity-Aware Proxy.

google.cloud.iap.v1.IdentityAwareProxyAdminService

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.cloud.iap.v1.IdentityAwareProxyAdminService.

CreateTunnelDestGroup

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iap.tunnelDestGroups.create - DATA_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup"

DeleteTunnelDestGroup

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iap.tunnelDestGroups.delete - DATA_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup"

GetIamPolicy

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iap.web.getIamPolicy - ADMIN_READ
    • iap.webServiceVersions.getIamPolicy - ADMIN_READ
    • iap.webServices.getIamPolicy - ADMIN_READ
    • iap.webTypes.getIamPolicy - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy"

GetIapSettings

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iap.projects.getSettings - ADMIN_READ
    • iap.web.getSettings - ADMIN_READ
    • iap.webServiceVersions.getSettings - ADMIN_READ
    • iap.webServices.getSettings - ADMIN_READ
    • iap.webTypes.getSettings - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings"

GetTunnelDestGroup

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iap.tunnelDestGroups.get - DATA_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup"

ListTunnelDestGroups

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iap.tunnelDestGroups.list - DATA_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups"

SetIamPolicy

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • iap.web.setIamPolicy - ADMIN_WRITE
    • iap.webServiceVersions.setIamPolicy - ADMIN_WRITE
    • iap.webServices.setIamPolicy - ADMIN_WRITE
    • iap.webTypes.setIamPolicy - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy"

UpdateIapSettings

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iap.projects.updateSettings - DATA_WRITE
    • iap.web.updateSettings - ADMIN_WRITE
    • iap.webServiceVersions.updateSettings - DATA_WRITE
    • iap.webServices.updateSettings - DATA_WRITE
    • iap.webTypes.updateSettings - DATA_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings"

UpdateTunnelDestGroup

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iap.tunnelDestGroups.update - DATA_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup"

ValidateIapAttributeExpression

  • Método: google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • iap.web.updateSettings - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression"

google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.

GetIamPolicy

  • Método: google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • iap.web.getIamPolicy - ADMIN_READ
    • iap.webServiceVersions.getIamPolicy - ADMIN_READ
    • iap.webServices.getIamPolicy - ADMIN_READ
    • iap.webTypes.getIamPolicy - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy"

SetIamPolicy

  • Método: google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • iap.webServiceVersions.setIamPolicy - ADMIN_WRITE
    • iap.webServices.setIamPolicy - ADMIN_WRITE
    • iap.webTypes.setIamPolicy - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy"

Métodos que não produzem registros de auditoria

Um método pode não produzir registros de auditoria para um ou mais dos seguintes itens motivos:

  • É um método de alto volume que envolve geração e armazenamento de registros significativos custos.
  • Tem baixo valor de auditoria.
  • Outro registro de auditoria ou plataforma já oferece cobertura de método.

Os métodos a seguir não produzem registros de auditoria:

  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.CreateBrand
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.CreateIdentityAwareProxyClient
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.DeleteIdentityAwareProxyClient
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.GetBrand
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.GetIdentityAwareProxyClient
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.ListBrands
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.ListIdentityAwareProxyClients
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.ResetIdentityAwareProxyClientSecret
  • google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.TestIamPermissions

Campos

Os registros somente contêm informações sobre os níveis de acesso que um usuário alcançou. Os níveis de acesso que bloquearam uma solicitação não autorizada não são listados na entrada de registro. Para determinar quais condições são necessárias para fazer uma solicitação bem-sucedida para um determinado recurso, verifique os níveis de acesso do recurso.

Confira a seguir detalhes importantes sobre alguns campos no registro:

Campo Valor
authenticationInfo O e-mail do usuário que tentou acessar o recurso como principalEmail. Essas informações não estão presentes nos registros de solicitações não autenticadas.
requestMetadata.callerIp O endereço IP de origem da solicitação.
requestMetadata.requestAttributes O método de solicitação e o URL.
authorizationInfo.resource O recurso que está sendo acessado.
authorizationInfo.granted Um booleano que representa se o IAP permitiu o acesso solicitado.