Cloud 감사 로그 사용 설정

다음 페이지는 IAP(Identity-Aware Proxy) 보안 리소스에 대해 클라우드 감사 로그를 사용 설정하는 방법을 설명합니다. Cloud 감사 로그를 사용 설정하면 요청을 보고 사용자가 충족하거나 충족하지 못한 모든 액세스 수준을 볼 수 있습니다.

Cloud 감사 로그는 공개 리소스에 대한 로그를 생성하지 않습니다.

외부 ID로 인증된 사용자의 감사 로깅은 사용할 수 없습니다.

시작하기 전에

시작하기 전에 다음이 필요합니다.

IAP 보안 프로젝트에 대해 Cloud 감사 로그를 사용 설정하면 승인 및 무단 액세스 요청을 확인할 수 있습니다. 아래 절차를 수행하여 요청자가 충족한 모든 액세스 수준 및 요청을 확인합니다.

다음 gcloud 명령줄 명령어를 실행하여 프로젝트에 대한 Identity and Access Management(IAM) 정책 설정을 다운로드합니다.
```
gcloud projects get-iam-policy PROJECT_ID > policy.yaml
```
다음과 같이 auditConfigs 섹션을 추가하여 다운로드한 policy.yaml 파일을 수정합니다. etag 값은 변경하지 마세요.
```
auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_READ
  - logType: DATA_WRITE
  service: iap.googleapis.com
```
다음 gcloud 명령줄 명령어를 실행하여 수정된 .yaml 파일로 IAM 정책 설정을 업데이트합니다.
```
gcloud projects set-iam-policy PROJECT_ID policy.yaml
```

프로젝트 리소스에 액세스하기 위한 모든 요청은 감사 로그를 생성합니다.

Google Cloud 콘솔에서 IAM 및 관리자 > 감사 로그를 선택합니다.

감사 로그로 이동
필터에 IAP(Identity-Aware Proxy)를 입력합니다.
Cloud Identity-Aware Proxy API를 선택한 다음 사용 설정 또는 사용 중지하려는 로그를 선택하거나 선택 해제합니다.

Cloud 감사 로그를 보려면 아래 절차를 따르세요.

프로젝트의 Google Cloud 콘솔 로그 페이지로 이동합니다.
로그 페이지로 이동
리소스 선택기 드롭다운 목록에서 리소스를 선택합니다. IAP 보안 리소스는 GAE 애플리케이션, GCE 백엔드 서비스 및 VM 인스턴스에 있습니다.
로그 이름 드롭다운 목록에서 data_access를 선택합니다.
1. data_access 로그 이름은 IAP에 Cloud 감사 로그를 사용 설정한 후 리소스에 대한 트래픽이 발생한 경우에만 표시됩니다.
검토하려는 액세스 날짜 및 시간을 클릭하여 확장합니다.
1. 승인된 액세스에는 파란색 i 아이콘이 있습니다.
2. 승인되지 않은 액세스에는 주황색 !! 아이콘이 있습니다.

로그에는 사용자가 충족한 액세스 수준에 대한 정보만 포함됩니다. 승인되지 않은 요청을 차단한 액세스 수준은 로그 항목에 나열되지 않습니다. 주어진 리소스를 성공적으로 요청하기 위해 필요한 조건을 확인하려면 리소스의 액세스 수준을 확인합니다.

다음은 로그 필드에서 중요한 세부정보입니다.

필드	값
`authenticationInfo`	`principalEmail`로 리소스에 액세스하려고 시도한 사용자의 이메일입니다. 이 정보는 인증되지 않은 요청의 로그에 없습니다.
`requestMetadata.callerIp`	요청이 시작된 IP 주소입니다.
`requestMetadata.requestAttributes`	요청 메소드 및 URL입니다.
`authorizationInfo.resource`	액세스 중인 리소스입니다.
`authorizationInfo.granted`	IAP가 요청된 액세스를 허용했는지 여부를 나타내는 부울입니다.

UpdateIapSettings 및 ValidateIapAttributeExpression은 data_access 로그로 분류되며 프로젝트의 Cloud 감사 로그를 사용 설정해야만 표시됩니다.