Cloud 監査ログの有効化

次のページでは、Identity-Aware Proxy（IAP）で保護されたリソースで Cloud 監査ログを有効にする方法について説明します。Cloud 監査ログを有効にすると、リクエストだけでなく、ユーザーに関するすべてのアクセスレベル（付与されている権限と付与されていない権限）を確認できます。

Cloud 監査ログはパブリック リソースのログを生成しません。

外部 ID で認証されたユーザーの監査ロギングは使用できません。

準備

始める前に、次のものが必要になります。

• IAP が有効になっているウェブアプリ、または TCP 転送での IAP の使用を介してアクセスする仮想マシン。
• Google Cloud SDK の最新バージョン。 Google Cloud SDK を入手してください。

Google Cloud SDK を使用した Cloud 監査ログの有効化

IAP で保護されたプロジェクトで Cloud Audit Logs を有効にすると、承認されたアクセス リクエストと承認されなかったアクセス リクエストを確認できます。リクエストとリクエスト送信者のすべてのアクセスレベルを確認するには、次の操作を行います。

1. 次の gcloud コマンドライン コマンドを実行して、プロジェクトの Identity Access Management（IAM）ポリシー設定をダウンロードします。

   gcloud projects get-iam-policy PROJECT_ID > policy.yaml

2. ダウンロードした policy.yaml ファイルを編集し、次のように auditConfigs セクションを追加します。etag 値は変更しないでください。

   auditConfigs:
   - auditLogConfigs:
     - logType: ADMIN_READ
     - logType: DATA_READ
     - logType: DATA_WRITE
     service: iap.googleapis.com
   

3. 次の gcloud コマンドライン コマンドを実行して、変更済みの .yaml ファイルで IAM ポリシー設定を更新します。

   gcloud projects set-iam-policy PROJECT_ID policy.yaml

プロジェクト リソースにアクセスするすべてのリクエストに対して監査ログが生成されます。

コンソールを使用して Cloud 監査ログを有効にする

1. Google Cloud コンソール で、[IAM と管理] > [監査ログ] を選択します。

   監査ログに移動

2. [フィルタ] に「Identity-Aware Proxy」と入力します。

3. [Cloud Identity-Aware Proxy API] を選択し、有効または無効にするログを選択または選択解除します。

Cloud 監査ログの表示

Cloud 監査ログを表示するには、次の手順を行います。

1. Google Cloud コンソールでプロジェクトのログページに移動します。
   [ログ] ページに移動
2. リソース セレクタのプルダウン リストからリソースを選択します。IAP で保護されたリソースは、GAE アプリケーション、GCE バックエンド サービス、GCE VM インスタンスの下にあります。
3. [ログ名] プルダウン リストで、[data_access] を選択します。
   1. data_access ログ名は、IAP で Cloud 監査ログを有効にした後にリソースへのトラフィックがあった場合にのみ表示されます。
4. クリックして、確認するアクセスの日時を展開します。
   1. 承認済みのアクセスには、青色の i アイコンが表示されます。
   2. 未承認のアクセスには、オレンジ色の !! アイコンが表示されます。

ログには、ユーザーが満たしたアクセスレベルに関する情報のみが記録されます。未承認のリクエストをブロックしたアクセスレベルは、ログエントリには表示されません。特定のリソースに対するリクエストを成功させるための条件を確認するには、リソースのアクセスレベルを確認します。

ログのフィールドに関する重要な情報を次に示します。

フィールド	値
authenticationInfo	principalEmail としてリソースにアクセスしようとしたユーザーのメールアドレス。この情報は、未認証リクエストのログには存在しません。
requestMetadata.callerIp	リクエストの送信元 IP アドレス。
requestMetadata.requestAttributes	リクエスト メソッドと URL。
authorizationInfo.resource	アクセスされているリソース。
authorizationInfo.granted	リクエストされたアクセスを IAP が許可したかどうかを表すブール値。

UpdateIapSettings と ValidateIapAttributeExpression は data_access ログに分類され、プロジェクト用の Cloud Audit Logs を有効にした後にのみ表示されます。

次のステップ

• Cloud 監査ログの詳細を確認する。