Halaman berikut menjelaskan cara mengaktifkan Cloud Audit Logs untuk resource yang diamankan Identity-Aware Proxy (IAP) Anda. Dengan mengaktifkan Cloud Audit Logs, Anda dapat melihat permintaan dan melihat semua tingkat akses yang telah dan belum dipenuhi pengguna.
Cloud Audit Logs tidak akan pernah membuat log untuk resource publik.
Logging audit untuk pengguna yang diautentikasi dengan ID eksternal tidak tersedia.
Sebelum memulai
Sebelum memulai, Anda memerlukan hal berikut:
- Aplikasi web dengan IAP yang diaktifkan atau mesin virtual yang diakses melalui IAP untuk TCP.
- Versi terbaru Google Cloud SDK. Dapatkan Google Cloud SDK.
Mengaktifkan Cloud Audit Logs menggunakan Google Cloud SDK
Dengan mengaktifkan Cloud Audit Logs untuk project yang diamankan oleh IAP, Anda dapat melihat permintaan akses yang sah dan tidak sah. Permintaan tampilan dan semua tingkat akses yang dipenuhi pemohon dengan mengikuti proses di bawah ini:
-
Download setelan kebijakan Identity and Access Management (IAM) untuk project dengan menjalankan perintah command line gcloud berikut:
gcloud projects get-iam-policy PROJECT_ID > policy.yaml
-
Edit file
policy.yaml
yang telah Anda download dengan menambahkan bagianauditConfigs
seperti berikut. Pastikan Anda tidak mengubah nilai etag apa pun.auditConfigs: - auditLogConfigs: - logType: ADMIN_READ - logType: DATA_READ - logType: DATA_WRITE service: iap.googleapis.com
-
Perbarui setelan kebijakan IAM dengan file
.yaml
yang dimodifikasi, dengan menjalankan perintah command line gcloud berikut:gcloud projects set-iam-policy PROJECT_ID policy.yaml
Semua permintaan untuk mengakses resource project akan menghasilkan log audit.
Mengaktifkan Cloud Audit Logs menggunakan konsol
Dari Google Cloud Console, pilih IAM & Admin > Audit Logs:
Untuk Filter, masukkan Identity-Aware Proxy.
Pilih Cloud Identity-Aware Proxy API, lalu pilih atau batalkan pilihan log yang ingin Anda aktifkan atau nonaktifkan.
Melihat Log Audit Cloud
Untuk melihat log Cloud Audit Logs, ikuti proses di bawah ini:
- Buka halaman log konsol Google Cloud untuk project Anda.
Buka halaman Log - Di menu drop-down pemilih resource, pilih resource. Resource IAP yang diamankan berada di bagian Aplikasi GAE, Layanan Backend GTFS, dan Instance VM.
- Di menu drop-down Nama log, pilih data_access.
- Nama log data_access hanya muncul jika ada traffic ke resource Anda setelah Anda mengaktifkan Log Audit Cloud untuk IAP.
- Klik untuk meluaskan tanggal dan waktu akses yang ingin Anda tinjau.
- Akses yang diizinkan memiliki ikon
i
berwarna biru. - Akses yang tidak sah memiliki ikon
!!
oranye.
- Akses yang diizinkan memiliki ikon
Log hanya berisi informasi tentang tingkat akses yang telah dipenuhi pengguna. Tingkat akses yang memblokir permintaan tidak sah tidak tercantum dalam entri log. Untuk menentukan kondisi yang diperlukan agar berhasil membuat permintaan resource tertentu, periksa tingkat akses untuk resource tersebut.
Berikut adalah detail penting tentang kolom log:
Kolom | Nilai |
---|---|
authenticationInfo |
Email pengguna yang mencoba mengakses resource sebagai principalEmail . Informasi ini tidak ada dalam log untuk permintaan yang tidak diautentikasi. |
requestMetadata.callerIp |
Alamat IP tempat permintaan berasal. |
requestMetadata.requestAttributes |
Metode permintaan dan URL. |
authorizationInfo.resource |
Resource yang sedang diakses. |
authorizationInfo.granted |
Boolean yang menunjukkan apakah IAP mengizinkan akses yang diminta. |
Perhatikan bahwa UpdateIapSettings
dan ValidateIapAttributeExpression
diklasifikasikan sebagai log data_access, dan hanya muncul setelah mengaktifkan Cloud Audit Logs untuk project Anda.
Langkah selanjutnya
- Pelajari Log Audit Cloud lebih lanjut.