Cloud-Audit-Logging für Audit-Logs aktivieren

Auf der folgenden Seite wird gezeigt, wie Sie Cloud-Audit-Logging für Ihre mit Identity-Aware Proxy (IAP) gesicherten Ressourcen aktivieren. Mit den Logs von Cloud-Audit-Logging können Sie Anfragen prüfen und die Zugriffsebenen ermitteln, die ein Nutzer erfüllt oder nicht erfüllt hat.

Cloud-Audit-Logging generiert keine Logs für öffentliche Ressourcen.

Vorbereitung

Für den Start ist Folgendes erforderlich:

  • Eine Webanwendung oder virtuelle Maschine mit aktiviertem IAP, für die Cloud-Audit-Logging aktiviert werden soll.
  • Eine aktuelle Version des Cloud SDK. Cloud SDK herunterladen

Cloud-Audit-Logging mit dem Cloud SDK aktivieren

Durch Aktivieren von Cloud-Audit-Logging für Ihr mit IAP gesichertes Projekt können Sie feststellen, welche autorisierten und nicht autorisierten Zugriffsanfragen gesendet wurden. Prüfen Sie mit den zugehörigen Audit-Logs die Anfragen und alle Zugriffsebenen, die ein Anfragender erfüllt hat. Führen Sie hierzu folgende Schritte aus:

  1. Laden Sie die IAM-Richtlinieneinstellungen (Identity and Access Management) für das Projekt herunter. Führen Sie dazu im gcloud-Befehlszeilentool den folgenden Befehl aus:
    gcloud projects get-iam-policy PROJECT_ID > policy.yaml
  2. Bearbeiten Sie die heruntergeladene Datei policy.yaml und fügen Sie wie im Folgenden aufgeführt einen Abschnitt auditConfigs hinzu. Ändern Sie auf keinen Fall die etag-Werte.
    auditConfigs:
    - auditLogConfigs:
      - logType: ADMIN_READ
      - logType: DATA_READ
      - logType: DATA_WRITE
      service: iap.googleapis.com
    
  3. Aktualisieren Sie die IAM-Richtlinieneinstellungen mit der geänderten .yaml-Datei. Führen Sie dazu mit dem gcloud-Befehlszeilentool den folgenden Befehl aus:
    gcloud projects set-iam-policy PROJECT_ID policy.yaml

Alle Anfragen, die auf die Projektressourcen zugreifen, führen zur Erzeugung von Audit-Logs.

Cloud-Audit-Logging aufrufen

So rufen Sie die Logs von Cloud-Audit-Logging auf:

  1. Rufen Sie in der Cloud Console die Seite Logs für Ihr Projekt auf.
    Zur Seite "Logs"
  2. Wählen Sie in der Drop-down-Liste Ressourcenauswahl eine Ressource aus. Mit IAP gesicherte Ressourcen befinden sich unter GAE-Anwendung, GCE-Back-End-Dienst und GCE-VM-Instanz.
  3. Wählen Sie in der Drop-down-Liste Logtyp die Option data_access aus.
    1. Der Logtyp data_access wird nur angezeigt, wenn nach dem Aktivieren von Cloud-Audit-Logging für IAP Traffic zu Ihrer Ressource gesendet wurde.
  4. Klicken Sie, um Details zum Datum und zur Uhrzeit des Zugriffs, den Sie prüfen möchten, aufzurufen.
    1. Autorisierte Zugriffe sind mit einem blauen i-Symbol gekennzeichnet.
    2. Nicht autorisierte Zugriffe haben ein orangefarbenes !!-Symbol.

Die Logs enthalten nur Informationen über die Zugriffsebenen, die ein Nutzer erfüllt hat. Zugriffsebenen, die eine nicht autorisierte Anfrage blockiert haben, werden nicht im Logeintrag aufgeführt. Prüfen Sie die Zugriffsebenen für die Ressource, damit ermittelt werden kann, welche Bedingungen erforderlich sind, um eine Anfrage für eine bestimmte Ressource erfolgreich auszuführen.

Im Folgenden finden Sie wichtige Details zu den Logfeldern:

Feld Wert
authenticationInfo Die E-Mail-Adresse des Nutzers, der versucht hat, als principalEmail auf die Ressource zuzugreifen.
requestMetadata.callerIp Die IP-Adresse, von der die Anfrage stammt.
requestMetadata.requestAttributes Die Anfragemethode und die URL.
authorizationInfo.resource Die Ressource, auf die zugegriffen wird.
authorizationInfo.granted Ein boolescher Wert, der angibt, ob IAP den angeforderten Zugriff zugelassen hat.

Nächste Schritte