Audit-Log für Kubernetes Metadaten API

In diesem Dokument wird das Audit-Logging für die Kubernetes Metadata API beschrieben, welche Methoden Audit-Logs erzeugen, Details zu den Audit-Logs, die jede Methode erzeugt, und welche Methoden gegebenenfalls keine Audit-Logs erzeugen. Google Cloud generiert Audit-Logs, die die Verwaltungs- und Zugriffsaktivitäten innerhalb Ihrer Google Cloud-Ressourcen loggen. Weitere Informationen finden Sie unter Cloud-Audit-Logs – Übersicht.

Dienstname

Audit-Logs der Kubernetes Metadata API verwenden den Dienstnamen kubernetesmetadata.googleapis.com.

Methoden nach Berechtigungstyp

Methoden, die die Berechtigungen DATA_READ, DATA_WRITE und ADMIN_READ prüfen, generieren Logs, die als Datenzugriffs-Audit-Logs kategorisiert sind. Methoden zur Prüfung von ADMIN_WRITE-Berechtigungen generieren Logs, die als Audit-Logs zur Administratoraktivität kategorisiert sind.

Berechtigungstyp Methoden
ADMIN_READ google.cloud.kubernetesmetadata.v1.MetadataPublisher.RetrieveCollectorConfig
DATA_WRITE google.cloud.kubernetesmetadata.v1.MetadataPublisher.PublishMetadata
google.cloud.kubernetesmetadata.v1.MetadataPublisher.UploadSnapshot

Audit-Logs für jede API-Schnittstelle

Informationen dazu, wie und welche Berechtigungen für jede Methode evaluiert werden, finden Sie in der Dokumentation zu Identity and Access Management für die Kubernetes Metadata API.

google.cloud.kubernetesmetadata.v1.MetadataPublisher

Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.cloud.kubernetesmetadata.v1.MetadataPublisher gehören.

PublishMetadata

  • Methode: google.cloud.kubernetesmetadata.v1.MetadataPublisher.PublishMetadata
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • kubernetesmetadata.metadata.publish - DATA_WRITE
  • Methode ist ein lang andauernder oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.kubernetesmetadata.v1.MetadataPublisher.PublishMetadata"

RetrieveCollectorConfig

  • Methode: google.cloud.kubernetesmetadata.v1.MetadataPublisher.RetrieveCollectorConfig
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • kubernetesmetadata.metadata.config - ADMIN_READ
  • Methode ist ein lang andauernder oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.kubernetesmetadata.v1.MetadataPublisher.RetrieveCollectorConfig"

UploadSnapshot

  • Methode: google.cloud.kubernetesmetadata.v1.MetadataPublisher.UploadSnapshot
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • kubernetesmetadata.metadata.snapshot - DATA_WRITE
  • Methode ist ein lang andauernder oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.kubernetesmetadata.v1.MetadataPublisher.UploadSnapshot"