Connect 稽核記錄

本文說明 Connect 的稽核記錄。 Google Cloud 服務會產生稽核記錄,記錄 Google Cloud 資源中的管理和存取活動。如要進一步瞭解 Cloud 稽核記錄,請參閱下列文章:

服務名稱

Connect 稽核記錄會使用服務名稱 gkeconnect.googleapis.com。篩選這項服務:

    protoPayload.serviceName="gkeconnect.googleapis.com"

依權限類型劃分的方法

每個 IAM 權限都有 type 屬性,其值為列舉,可以是下列四個值之一:ADMIN_READADMIN_WRITEDATA_READDATA_WRITE。呼叫方法時,Connect 會產生稽核記錄,其類別取決於執行方法所需的權限 type 屬性。如果方法需要 IAM 權限,且 type 屬性值為 DATA_READDATA_WRITEADMIN_READ,就會產生「資料存取」稽核記錄。需要 IAM 權限且 type 屬性值為 ADMIN_WRITE 的方法會產生管理員活動稽核記錄。

權限類型 方法
DATA_READ google.cloud.gkeconnect.v1.EgressService.Egress
google.cloud.gkeconnect.v1beta1.EgressService.Egress

API 介面稽核記錄

如要瞭解每種方法如何評估權限,以及評估哪些權限,請參閱 Connect 的 Identity and Access Management 說明文件。

google.cloud.gkeconnect.v1.EgressService

下列稽核記錄與屬於 google.cloud.gkeconnect.v1.EgressService 的方法相關聯。

Egress

  • 方法google.cloud.gkeconnect.v1.EgressService.Egress
  • 稽核記錄類型資料存取
  • 權限
    • gkehub.endpoints.connect - DATA_READ
  • 方法是長時間執行的作業或串流作業: 否。
  • 篩選這個方法 protoPayload.methodName="google.cloud.gkeconnect.v1.EgressService.Egress"

google.cloud.gkeconnect.v1beta1.EgressService

下列稽核記錄與屬於 google.cloud.gkeconnect.v1beta1.EgressService 的方法相關聯。

Egress

  • 方法google.cloud.gkeconnect.v1beta1.EgressService.Egress
  • 稽核記錄類型資料存取
  • 權限
    • gkehub.endpoints.connect - DATA_READ
  • 方法是長時間執行的作業或串流作業: 否。
  • 篩選這個方法 protoPayload.methodName="google.cloud.gkeconnect.v1beta1.EgressService.Egress"

Kubernetes 稽核記錄

除了 Cloud 稽核記錄,Kubernetes 稽核記錄也提供管理員保留、查詢、處理已註冊叢集中發生的事件,並建立快訊。管理員可使用記錄資訊進行鑑識分析和即時快訊,或根據使用方式及使用者來分類一群叢集。

Connect 代理程式會與註冊叢集中執行的本機 API 伺服器通訊,每個叢集都會有自己的 Kubernetes 稽核記錄。使用者透過 Connect 從 UI 執行的所有動作,都會由該叢集記錄。