启用 Cloud Audit Logs

下一页介绍如何为受 Identity-Aware Proxy (IAP) 保护的资源启用 Cloud Audit Logs。启用 Cloud Audit Logs 后,您可以查看请求以及用户已达到和未达到的所有访问权限级别

Cloud Audit Logs 绝不会为公开资源生成日志。

对于使用外部 ID 进行身份验证的用户,审核日志记录不可用。

准备工作

在开始之前,您需要做好以下准备:

  • 启用了 IAP 的 Web 应用,或通过适用于 TCP 的 IAP 访问虚拟机。
  • Google Cloud SDK 的最新版本。获取 Google Cloud SDK

使用 Google Cloud SDK 启用 Cloud Audit Logs

为受 IAP 保护的项目启用 Cloud Audit Logs 后,您可以查看已获授权和未经授权的访问请求。如需查看请求及请求者符合的所有访问权限级别,请按照以下流程操作:

  1. 运行以下 gcloud 命令行命令,下载项目的 Identity and Access Management (IAM) 政策设置:
    gcloud projects get-iam-policy PROJECT_ID > policy.yaml
  2. 通过添加 auditConfigs 部分(如下所示),修改您下载的 policy.yaml 文件。切勿更改任何 etagetag 值。
    auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_READ
  - logType: DATA_WRITE
  service: iap.googleapis.com
  3. 运行以下 gcloud 命令行命令,使用修改后的 .yaml 文件更新 IAM 政策设置:
    gcloud projects set-iam-policy PROJECT_ID policy.yaml

所有访问项目资源的请求都将生成审核日志。

使用控制台启用 Cloud Audit Logs

  1. Google Cloud 控制台中,选择 IAM 和管理 > 审核日志

    转到“审核日志”

  2. 对于过滤,请输入 Identity-Aware Proxy

  3. 选择 Cloud Identity-Aware Proxy API,然后选择或取消选择要启用或停用的日志。

查看 Cloud Audit Logging 审核日志

要查看 Cloud Audit Logs 日志,请按照以下流程操作:

  1. 转到项目的 Google Cloud 控制台日志页面。
    转到“日志”页面
  2. 资源选择器下拉列表中,选择一个资源。受 IAP 保护的资源位于 GAE 应用GCE 后端服务虚拟机实例下。
  3. 日志名称下拉列表中,选择 data_access
    1. 只有在为 IAP 启用 Cloud Audit Logs 后已有流量流向您的资源的情况下,data_access 日志名称才会显示。
  4. 点击以展开要查看的访问所对应的日期和时间。
    1. 已获授权的访问带有一个蓝色 i 图标。
    2. 未经授权的访问带有一个橙色 !! 图标。

日志仅包含有关用户已达到的访问权限级别的信息。阻止未经授权请求的访问权限级别未列在日志条目中。如需确定针对给定资源成功发出请求所需的条件,请检查该资源的访问权限级别。

以下是有关日志字段的重要详细信息:

字段
authenticationInfo 尝试以 principalEmail 身份访问资源的用户的电子邮件地址。对于未经身份验证的请求,日志中不会显示此信息。
requestMetadata.callerIp 发出请求的 IP 地址。
requestMetadata.requestAttributes 请求方法和网址。
authorizationInfo.resource 要访问的资源。
authorizationInfo.granted 一个布尔值,表示 IAP 是否允许请求的访问。

请注意,UpdateIapSettingsValidateIapAttributeExpression 被归类为 data_access 日志,它们仅在为项目启用 Cloud Audit Logs 后才会显示。

后续步骤