Journaux d'audit de la passerelle Connect

Ce document décrit la journalisation d'audit pour Connect Gateway. Les services Google Cloud écrivent des journaux d'audit qui enregistrent les activités d'administration et les accès aux ressources Google Cloud. Pour en savoir plus, consultez la page Présentation de Cloud Audit Logs.

Cette page a été générée le 23-05-2023 à 18:50:50 UTC.

Nom du service

Les journaux d'audit de Connect Gateway utilisent le nom de service connectgateway.googleapis.com.

Méthodes par type d'autorisation

Les journaux d'audit de Connect Gateway sont activés en activant la journalisation d'audit pour gkehub.googleapis.com.

Les méthodes qui vérifient les types d'autorisations DATA_READ, DATA_WRITE et ADMIN_READ sont les journaux d'audit d'accès aux données. Les méthodes qui permettent de vérifier les types d'autorisations ADMIN_WRITE sont les journaux d'audit des activités d'administration.

Type d'autorisation Méthodes
ADMIN_READ google.cloud.gkeconnect.gateway.v1beta1.GatewayService.GetResource
ADMIN_WRITE google.cloud.gkeconnect.gateway.v1beta1.GatewayService.DeleteResource
google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PatchResource
google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PostResource
google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PutResource

Journaux d'audit par interface API

Pour en savoir plus sur les autorisations évaluées et le mode d'évaluation pour chaque méthode, consultez la documentation Identity and Access Management pour Connect Gateway.

google.cloud.gkeconnect.gateway.v1beta1.GatewayService

Détails sur les journaux d'audit associés aux méthodes appartenant à google.cloud.gkeconnect.gateway.v1beta1.GatewayService.

google.cloud.gkeconnect.gateway.v1beta1.GatewayService.DeleteResource

  • Méthode : google.cloud.gkeconnect.gateway.v1beta1.GatewayService.DeleteResource
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • gkehub.gateway.delete - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.gkeconnect.gateway.v1beta1.GatewayService.DeleteResource"

google.cloud.gkeconnect.gateway.v1beta1.GatewayService.GetResource

  • Méthode : google.cloud.gkeconnect.gateway.v1beta1.GatewayService.GetResource
  • Type de journal d'audit : Accès aux données
  • Autorisations :
    • gkehub.gateway.get - ADMIN_READ
  • La méthode est une opération de longue durée ou un streaming: RPC en streaming
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.gkeconnect.gateway.v1beta1.GatewayService.GetResource"

google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PatchResource

  • Méthode : google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PatchResource
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • gkehub.gateway.patch - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PatchResource"

google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PostResource

  • Méthode : google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PostResource
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • gkehub.gateway.post - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PostResource"

google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PutResource

  • Méthode : google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PutResource
  • Type de journal d'audit: Activité d'administration
  • Autorisations :
    • gkehub.gateway.put - ADMIN_WRITE
  • La méthode est une opération de longue durée ou de streaming : Non.
  • Filtre pour cette méthode : protoPayload.methodName="google.cloud.gkeconnect.gateway.v1beta1.GatewayService.PutResource"

Journalisation d'audit Kubernetes

En plus de Cloud Audit Logging, la journalisation d'audit Kubernetes permet aux administrateurs de conserver, d'interroger, de traiter et de notifier les événements qui se produisent dans les clusters enregistrés. Les administrateurs peuvent utiliser les informations consignées pour effectuer des analyses forensiques et des alertes en temps réel, ou pour cataloguer la manière dont une flotte de clusters est utilisée et par qui.

L'agent Connect communique avec le serveur d'API local qui s'exécute dans le cluster enregistré, et chaque cluster disposera de son propre ensemble de journaux d'audit Kubernetes. Toutes les actions effectuées par les utilisateurs à partir de l'interface utilisateur via Connect sont enregistrées par ce cluster.