下一页介绍如何为受 Identity-Aware Proxy (IAP) 保护的资源启用 Cloud Audit Logs。启用 Cloud Audit Logs 后,您可以查看请求以及用户已达到和未达到的所有访问权限级别。
Cloud Audit Logs 绝不会为公开资源生成日志。
对于使用外部 ID 进行身份验证的用户,审核日志记录不可用。
准备工作
在开始之前,您需要做好以下准备:
- 启用了 IAP 的 Web 应用,或通过适用于 TCP 的 IAP 访问虚拟机。
- Google Cloud SDK 的最新版本。获取 Google Cloud SDK。
使用 Google Cloud SDK 启用 Cloud Audit Logs
为受 IAP 保护的项目启用 Cloud Audit Logs 后,您可以查看已获授权和未经授权的访问请求。如需查看请求及请求者符合的所有访问权限级别,请按照以下流程操作:
-
运行以下 gcloud 命令行命令,下载项目的 Identity and Access Management (IAM) 政策设置:
gcloud projects get-iam-policy PROJECT_ID > policy.yaml
-
通过添加
auditConfigs
部分(如下所示),修改您下载的policy.yaml
文件。切勿更改任何 etagetag 值。auditConfigs: - auditLogConfigs: - logType: ADMIN_READ - logType: DATA_READ - logType: DATA_WRITE service: iap.googleapis.com
-
运行以下 gcloud 命令行命令,使用修改后的
.yaml
文件更新 IAM 政策设置:gcloud projects set-iam-policy PROJECT_ID policy.yaml
所有访问项目资源的请求都将生成审核日志。
使用控制台启用 Cloud Audit Logs
在 Google Cloud 控制台中,选择 IAM 和管理 > 审核日志:
对于过滤,请输入 Identity-Aware Proxy。
选择 Cloud Identity-Aware Proxy API,然后选择或取消选择要启用或停用的日志。
查看 Cloud Audit Logging 审核日志
要查看 Cloud Audit Logs 日志,请按照以下流程操作:
- 转到项目的 Google Cloud 控制台日志页面。
转到“日志”页面 - 在资源选择器下拉列表中,选择一个资源。受 IAP 保护的资源位于 GAE 应用、GCE 后端服务和虚拟机实例下。
- 在日志名称下拉列表中,选择 data_access。
- 只有在为 IAP 启用 Cloud Audit Logs 后已有流量流向您的资源的情况下,data_access 日志名称才会显示。
- 点击以展开要查看的访问所对应的日期和时间。
- 已获授权的访问带有一个蓝色
i
图标。 - 未经授权的访问带有一个橙色
!!
图标。
- 已获授权的访问带有一个蓝色
日志仅包含有关用户已达到的访问权限级别的信息。阻止未经授权请求的访问权限级别未列在日志条目中。如需确定针对给定资源成功发出请求所需的条件,请检查该资源的访问权限级别。
以下是有关日志字段的重要详细信息:
字段 | 值 |
---|---|
authenticationInfo |
尝试以 principalEmail 身份访问资源的用户的电子邮件地址。对于未经身份验证的请求,日志中不会显示此信息。 |
requestMetadata.callerIp |
发出请求的 IP 地址。 |
requestMetadata.requestAttributes |
请求方法和网址。 |
authorizationInfo.resource |
要访问的资源。 |
authorizationInfo.granted |
一个布尔值,表示 IAP 是否允许请求的访问。 |
请注意,UpdateIapSettings
和 ValidateIapAttributeExpression
被归类为 data_access 日志,它们仅在为项目启用 Cloud Audit Logs 后才会显示。
后续步骤
- 详细了解 Cloud Audit Logs。