Mengaktifkan Cloud Audit Logs

Halaman berikut menjelaskan cara mengaktifkan Cloud Audit Logs untuk resource yang diamankan Identity-Aware Proxy (IAP) Anda. Dengan mengaktifkan Cloud Audit Logs, Anda dapat melihat permintaan dan melihat semua tingkat akses yang telah dan belum dipenuhi pengguna.

Cloud Audit Logs tidak akan pernah membuat log untuk resource publik.

Logging audit untuk pengguna yang diautentikasi dengan ID eksternal tidak tersedia.

Sebelum memulai

Sebelum memulai, Anda memerlukan hal berikut:

  • Aplikasi web dengan IAP yang diaktifkan atau mesin virtual yang diakses melalui IAP untuk TCP.
  • Versi terbaru Google Cloud SDK. Dapatkan Google Cloud SDK.

Mengaktifkan Cloud Audit Logs menggunakan Google Cloud SDK

Dengan mengaktifkan Cloud Audit Logs untuk project yang diamankan oleh IAP, Anda dapat melihat permintaan akses yang sah dan tidak sah. Permintaan tampilan dan semua tingkat akses yang dipenuhi pemohon dengan mengikuti proses di bawah ini:

  1. Download setelan kebijakan Identity and Access Management (IAM) untuk project dengan menjalankan perintah command line gcloud berikut:
    gcloud projects get-iam-policy PROJECT_ID > policy.yaml
  2. Edit file policy.yaml yang telah Anda download dengan menambahkan bagian auditConfigs seperti berikut. Pastikan Anda tidak mengubah nilai etag apa pun.
    auditConfigs:
    - auditLogConfigs:
      - logType: ADMIN_READ
      - logType: DATA_READ
      - logType: DATA_WRITE
      service: iap.googleapis.com
    
  3. Perbarui setelan kebijakan IAM dengan file .yaml yang dimodifikasi, dengan menjalankan perintah command line gcloud berikut:
    gcloud projects set-iam-policy PROJECT_ID policy.yaml

Semua permintaan untuk mengakses resource project akan menghasilkan log audit.

Mengaktifkan Cloud Audit Logs menggunakan konsol

  1. Dari Google Cloud Console, pilih IAM & Admin > Audit Logs:

    Buka Log Audit

  2. Untuk Filter, masukkan Identity-Aware Proxy.

  3. Pilih Cloud Identity-Aware Proxy API, lalu pilih atau batalkan pilihan log yang ingin Anda aktifkan atau nonaktifkan.

Melihat Log Audit Cloud

Untuk melihat log Cloud Audit Logs, ikuti proses di bawah ini:

  1. Buka halaman log konsol Google Cloud untuk project Anda.
    Buka halaman Log
  2. Di menu drop-down pemilih resource, pilih resource. Resource IAP yang diamankan berada di bagian Aplikasi GAE, Layanan Backend GTFS, dan Instance VM.
  3. Di menu drop-down Nama log, pilih data_access.
    1. Nama log data_access hanya muncul jika ada traffic ke resource Anda setelah Anda mengaktifkan Log Audit Cloud untuk IAP.
  4. Klik untuk meluaskan tanggal dan waktu akses yang ingin Anda tinjau.
    1. Akses yang diizinkan memiliki ikon i berwarna biru.
    2. Akses yang tidak sah memiliki ikon !! oranye.

Log hanya berisi informasi tentang tingkat akses yang telah dipenuhi pengguna. Tingkat akses yang memblokir permintaan tidak sah tidak tercantum dalam entri log. Untuk menentukan kondisi yang diperlukan agar berhasil membuat permintaan resource tertentu, periksa tingkat akses untuk resource tersebut.

Berikut adalah detail penting tentang kolom log:

Kolom Nilai
authenticationInfo Email pengguna yang mencoba mengakses resource sebagai principalEmail. Informasi ini tidak ada dalam log untuk permintaan yang tidak diautentikasi.
requestMetadata.callerIp Alamat IP tempat permintaan berasal.
requestMetadata.requestAttributes Metode permintaan dan URL.
authorizationInfo.resource Resource yang sedang diakses.
authorizationInfo.granted Boolean yang menunjukkan apakah IAP mengizinkan akses yang diminta.

Perhatikan bahwa UpdateIapSettings dan ValidateIapAttributeExpression diklasifikasikan sebagai log data_access, dan hanya muncul setelah mengaktifkan Cloud Audit Logs untuk project Anda.

Langkah selanjutnya