In dieser Anleitung wird erläutert, wie Sie einige oder alle Audit-Logs zum Datenzugriff in Ihren Google Cloud-Projekten, Rechnungskonten, Ordnern und Organisationen mithilfe der Google Cloud Console oder der API aktivieren oder deaktivieren können.
Hinweise
Bevor Sie mit der Konfiguration von Audit-Logs zum Datenzugriff fortfahren, lesen Sie die folgenden Informationen:
Audit-Logs zum Datenzugriff sind – außer bei BigQuery – standardmäßig deaktiviert. Wenn Audit-Logs zum Datenzugriff für andere Google Cloud-Dienste als BigQuery geschrieben werden sollen, müssen Sie sie explizit aktivieren.
Audit-Logs zum Datenzugriff werden im Bucket
_Default
gespeichert, es sei denn, Sie haben sie an einen anderen Ort weitergeleitet. Weitere Informationen finden Sie unter Audit-Logs speichern und weiterleiten.Audit-Logs zum Datenzugriff helfen dem Google-Support beim Beheben von Problemen mit Ihrem Konto. Daher empfehlen wir, Audit-Logs zum Datenzugriff nach Möglichkeit zu aktivieren.
Konfigurationsübersicht
Sie können bestimmte Aspekte von Audit-Logs zum Datenzugriff für Ihre Google Cloud-Ressourcen und -Dienste aktivieren und konfigurieren:
Organisationen: Sie können Audit-Logs zum Datenzugriff in einer Organisation aktivieren und konfigurieren, was für alle vorhandenen und neuen Google Cloud-Projekte und -Ordner in der Organisation gilt.
Ordner: Sie können Audit-Logs zum Datenzugriff in einem Ordner aktivieren und konfigurieren, der für alle vorhandenen und neuen Google Cloud-Projekte im Ordner gilt. Sie können kein Audit-Log zum Datenzugriff deaktivieren, das in der übergeordneten Organisation des Projekts aktiviert wurde.
Projekte: Sie können Audit-Logs zum Datenzugriff für ein einzelnes Google Cloud-Projekt konfigurieren. Sie können kein Audit-Log zum Datenzugriff deaktivieren, das in einer übergeordneten Organisation oder einem übergeordneten Ordner aktiviert wurde.
Rechnungskonten: Verwenden Sie zum Konfigurieren von Audit-Logs zum Datenzugriff für Rechnungskonten die Google Cloud CLI. Weitere Informationen zur Verwendung der gcloud CLI mit Audit-Logs zum Datenzugriff und Rechnungskonten finden Sie in der Referenzdokumentation zu
gcloud beta billing accounts set-iam-policy
.Standardkonfigurationen: Sie können eine Standardkonfiguration für Audit-Logs zum Datenzugriff in einer Organisation, einem Ordner oder einem Google Cloud-Projekt angeben, die für zukünftige Google Cloud-Dienste gilt, die Audit-Logs zum Datenzugriff erstellen. Eine Anleitung dazu finden Sie unter Standardkonfiguration festlegen.
Dienste: Sie können die Dienste angeben, deren Audit-Logs Sie erhalten möchten. Sie möchten beispielsweise Audit-Logs von Compute Engine, aber nicht von Cloud SQL erhalten. Eine Liste der Google Cloud-Dienste, die Audit-Logs generieren können, finden Sie unter Google-Dienste mit Audit-Logs.
Logtypen: Sie können konfigurieren, welche Arten von Vorgängen in Ihren Audit-Logs zum Datenzugriff aufgezeichnet werden. Für den Datenzugriff stehen drei Audit-Logtypen zur Verfügung:
ADMIN_READ
: Zeichnet Vorgänge auf, bei denen Metadaten oder Konfigurationsinformationen gelesen werden.DATA_READ
: Zeichnet Vorgänge auf, die von Nutzern bereitgestellte Daten lesen.DATA_WRITE
: Zeichnet Vorgänge auf, die von Nutzern bereitgestellte Daten schreiben.
Cloud DNS schreibt beispielsweise alle drei Arten von Datenzugriffslogs. Sie können Ihre Audit-Logs zum Datenzugriff aber so konfigurieren, dass nur die
DATA_WRITE
-Vorgänge aufgezeichnet werden.Ausgenommene Hauptkonten: Sie können für bestimmte Hauptkonten festlegen, dass ihre Datenzugriffe nicht aufgezeichnet werden. Beispielsweise haben Sie die Möglichkeit, die Aufzeichnung der Cloud Monitoring-Vorgänge für Ihre internen Testkonten auszuschließen. Eine Liste gültiger Hauptkonten, einschließlich Nutzern und Gruppen, finden Sie in der Typreferenz
Binding
.
Sie können Audit-Logs zum Datenzugriff über die IAM-Seite Audit-Logs der Google Cloud Console oder mithilfe der API konfigurieren. Diese Methoden werden in den folgenden Abschnitten erläutert.
Dienstspezifische Konfigurationen
Wenn sowohl eine Konfiguration für alle Google Cloud-Dienste (allServices
) als auch eine Konfiguration für einen bestimmten Google Cloud-Dienst vorhanden ist, werden für die endgültige Konfiguration des Dienstes beide Konfigurationen zusammengefasst.
Dies bedeutet:
Sie können Audit-Logs zum Datenzugriff für bestimmte Google Cloud-Dienste aktivieren, aber keine Audit-Logs zum Datenzugriff für Google Cloud-Dienste deaktivieren, die in der umfassenderen Konfiguration aktiviert sind.
Sie können einem Audit-Log zum Datenzugriff eines Google Cloud-Dienstes zusätzliche Informationsarten hinzufügen, aber keine Informationsarten entfernen, die in der umfassenderen Konfiguration festgelegt sind.
Sie können Hauptkonten zu Ausnahmelisten hinzufügen, aber nicht aus Ausnahmelisten der umfassenderen Konfiguration entfernen.
Bei BigQuery Data Transfer Service wird die Konfiguration des Audit-Logs zum Datenzugriff von Ihrer Standardkonfiguration für Audit-Logs übernommen.
Google Cloud-Ressourcenkonfigurationen
Sie können Audit-Logs zum Datenzugriff für Google Cloud-Projekte, Rechnungskonten, Ordner und Organisationen konfigurieren. Wenn in der Hierarchie eine Konfiguration für einen Google Cloud-Dienst vorhanden ist, werden die Konfigurationen zusammengeführt. Auf Google Cloud-Projektebene gilt also Folgendes:
Sie können Logs für einen Google Cloud-Dienst aktivieren, aber keine Logs für einen Google Cloud-Dienst deaktivieren, der in einer übergeordneten Organisation oder einem übergeordneten Ordner aktiviert ist.
Sie können Informationsarten aktivieren, aber keine Informationsarten deaktivieren, die in einer übergeordneten Organisation oder einem übergeordneten Ordner aktiviert sind.
Sie können Hauptkonten zu Ausnahmelisten hinzufügen, aber nicht aus Ausnahmelisten in einer übergeordneten Organisation oder einem übergeordneten Ordner entfernen.
Auf übergeordneter Organisations- oder Ordnerebene können Sie Audit-Logs zum Datenzugriff für ein Google Cloud-Projekt in dieser Organisation oder diesem Ordner aktivieren, auch wenn im Google Cloud-Projekt keine Audit-Logs zum Datenzugriff konfiguriert wurden.
Zugriffssteuerung
Der Zugriff auf Logging-Daten wird von IAM-Rollen und -Berechtigungen (Identity and Access Management) gesteuert. Dazu gehört auch das Aufrufen und Verwalten der IAM-Richtlinien, die den Daten-Audit-Logging-Konfigurationen zugrunde liegen.
Wenn Sie die mit der Datenzugriffskonfiguration verknüpften Richtlinien aufrufen oder festlegen möchten, benötigen Sie eine Rolle mit Berechtigungen auf der entsprechenden Ressourcenebene. Eine Anleitung zum Zuweisen dieser Rollen auf Ressourcenebene finden Sie unter Zugriff auf Google Cloud-Projekte, ‐Ordner und ‐Organisationen verwalten.
Zum Festlegen von IAM-Richtlinien benötigen Sie eine Rolle mit der Berechtigung
resourcemanager.RESOURCE_TYPE.setIamPolicy
.Zum Anzeigen von IAM-Richtlinien benötigen Sie eine Rolle mit der Berechtigung
resourcemanager.RESOURCE_TYPE.getIamPolicy
.
Eine Liste der Berechtigungen und Rollen, die Sie zum Aufrufen von Audit-Logs zum Datenzugriff benötigen, finden Sie unter Zugriffssteuerung mit IAM.
Audit-Logs zum Datenzugriff mit der Google Cloud Console konfigurieren
In diesem Abschnitt wird erläutert, wie Sie mit der Google Cloud Console Audit-Logs zum Datenzugriff konfigurieren.
Sie können diese Aufgaben auch programmatisch über die API oder die Google Cloud CLI ausführen. Weitere Informationen finden Sie unter Audit-Logs zum Datenzugriff mit der API konfigurieren.
So greifen Sie in der Google Cloud Console auf die Konfigurationsoptionen für Audit-Logs zu:
-
Rufen Sie in der Google Cloud Console die Seite Audit-Logs auf:
Wenn Sie diese Seite über die Suchleiste finden, wählen Sie das Ergebnis mit der Zwischenüberschrift IAM und Verwaltung aus.
Wählen Sie ein vorhandenes Google Cloud-Projekt, einen Ordner oder eine Organisation aus.
Audit-Logs aktivieren
So aktivieren Sie Audit-Logs zum Datenzugriff:
Wählen Sie in der Tabelle Konfiguration der Audit-Logs zum Datenzugriff in der Spalte Dienst einen oder mehrere Google Cloud-Dienste aus.
Wählen Sie auf dem Tab Logtypen die Audit-Logtypen zum Datenzugriff aus, die Sie für die ausgewählten Dienste aktivieren möchten.
Klicken Sie auf Speichern.
Wenn die Audit-Logs aktiviert wurden, enthält die Tabelle das Symbol check_circle Prüfen.
Im folgenden Beispiel sehen Sie, dass für den Dienst für die Zugriffsgenehmigung der Audit-Logtyp Daten lesen aktiviert ist:
Sie können auch Audit-Logs für alle Google Cloud-Dienste aktivieren, die Audit-Logs zum Datenzugriff erstellen. Wählen Sie in der Tabelle Konfiguration von Audit-Logs zum Datenzugriff alle Google Cloud-Dienste aus.
Beachten Sie, dass diese Bulk-Konfigurationsmethode nur für die Google Cloud-Dienste gilt, die derzeit für Ihre Ressource verfügbar sind. Wenn ein neuer Google Cloud-Dienst hinzugefügt wird, übernimmt dieser die Audit-Standardkonfiguration.
Audit-Logs zum Datenzugriff deaktivieren
So deaktivieren Sie Audit-Logs zum Datenzugriff:
Wählen Sie in der Tabelle Konfiguration der Audit-Logs zum Datenzugriff einen oder mehrere Google Cloud-Dienste aus.
Wählen Sie auf dem Tab Logtypen im Informationsfenster die Audit-Logtypen für den Datenzugriff aus, die Sie für die ausgewählten Dienste deaktivieren möchten.
Klicken Sie auf Speichern.
Wenn Sie Audit-Logs zum Datenzugriff deaktiviert haben, wird dies in der Tabelle durch einen Bindestrich angezeigt. Alle aktivierten Audit-Logs zum Datenzugriff sind mit dem Symbol check_circle Prüfen gekennzeichnet.
Ausnahmen festlegen
Sie können Ausnahmen festlegen, um zu steuern, welche Hauptkonten Audit-Logs zum Datenzugriff für bestimmte Dienste generieren. Wenn Sie ein ausgenommenes Hauptkonto hinzufügen, werden für die ausgewählten Logtypen keine Audit-Logs erstellt.
So richten Sie Ausnahmen ein:
Wählen Sie in der Tabelle Konfiguration der Audit-Logs zum Datenzugriff in der Spalte Dienst einen Google Cloud-Dienst aus.
Wählen Sie im Infobereich den Tab Ausgenommene Hauptkonten aus.
Geben Sie unter Ausgenommenes Hauptkonto hinzufügen das Hauptkonto ein, das vom Generieren von Audit-Logs zum Datenzugriff für den ausgewählten Dienst ausgenommen werden soll.
Sie können mehrere Hauptkonten hinzufügen, indem Sie beliebig oft auf die Schaltfläche Ausgenommenes Hauptkonto hinzufügen klicken.
Eine Liste gültiger Hauptkonten, einschließlich Nutzern und Gruppen, finden Sie in der Typreferenz
Binding
.Wählen Sie unter Deaktivierte Logtypen die Audit-Logtypen zum Datenzugriff aus, die Sie deaktivieren möchten.
Klicken Sie auf Speichern.
Wenn Sie einem Dienst erfolgreich ausgenommene Hauptkonten hinzugefügt haben, wird dies in der Tabelle Konfiguration der Audit-Logs zum Datenzugriff durch eine Zahl in der Spalte Ausgenommene Hauptkonten angezeigt.
So entfernen Sie ein Hauptkonto aus der Ausnahmeliste:
Wählen Sie in der Tabelle Konfiguration der Audit-Logs zum Datenzugriff in der Spalte Dienst einen Google Cloud-Dienst aus.
Wählen Sie im Infobereich den Tab Ausgenommene Hauptkonten aus.
Bewegen Sie den Mauszeiger auf den Namen eines Hauptkontos und wählen Sie das eingeblendete Löschsymbol delete aus.
Wenn der Name des Hauptkontos durchgestrichen angezeigt wird, klicken Sie auf Speichern.
So bearbeiten Sie die Informationen für ein ausgenommenes Hauptkonto:
Wählen Sie in der Tabelle Konfiguration der Audit-Logs zum Datenzugriff in der Spalte Dienst einen Google Cloud-Dienst aus.
Wählen Sie im Infobereich den Tab Ausgenommene Hauptkonten aus.
Maximieren Sie expand_more den Hauptkontonamen.
Wählen Sie die Audit-Logtypen für den Datenzugriff entsprechend den Gegebenheiten für das Hauptkonto aus oder heben Sie die Auswahl auf.
Klicken Sie auf Speichern.
Standardkonfiguration festlegen
Sie können eine Konfiguration festlegen, die von allen neuen und vorhandenen Google Cloud-Diensten in Ihrem Google Cloud-Projekt, Ihrem Ordner oder Ihrer Organisation übernommen wird. Die Festlegung dieser Standardkonfiguration gilt, wenn ein neuer Google Cloud-Dienst verfügbar wird und Hauptkonten in Ihrer Organisation ihn verwenden: Der Dienst übernimmt die Audit-Logging-Richtlinie, die Sie bereits für andere Google Cloud-Dienste festgelegt haben. Dadurch wird sichergestellt, dass Audit-Logs zum Datenzugriff erfasst werden.
So legen Sie die Standardkonfiguration fest oder bearbeiten sie:
Klicken Sie auf Standardkonfiguration festlegen.
Wählen Sie auf dem Tab Logtypen im Informationsfenster die Audit-Logtypen für den Datenzugriff aus, die Sie aktivieren oder deaktivieren möchten.
Klicken Sie auf Speichern.
Wählen Sie im Infobereich den Tab Ausgenommene Hauptkonten aus.
Geben Sie unter Ausgenommenes Hauptkonto hinzufügen das Hauptkonto ein, das vom Generieren von Audit-Logs zum Datenzugriff für den ausgewählten Dienst ausgenommen werden soll.
Sie können mehrere Hauptkonten hinzufügen, indem Sie beliebig oft auf die Schaltfläche Ausgenommenes Hauptkonto hinzufügen klicken.
Eine Liste gültiger Hauptkonten, einschließlich Nutzern und Gruppen, finden Sie in der Typreferenz
Binding
.Wählen Sie unter Deaktivierte Logtypen die Audit-Logtypen zum Datenzugriff aus, die Sie deaktivieren möchten.
Klicken Sie auf Speichern.
Audit-Logs zum Datenzugriff mit der API konfigurieren
In diesem Abschnitt wird erläutert, wie Sie die API und die gcloud CLI verwenden, um Audit-Logs zum Datenzugriff programmatisch zu konfigurieren.
Viele dieser Aufgaben können auch mit der Google Cloud Console ausgeführt werden. Eine Anleitung dazu finden Sie auf dieser Seite unter Audit-Logs zum Datenzugriff mit der Google Cloud Console konfigurieren.
IAM-Richtlinienobjekte
Wenn Sie Audit-Logs zum Datenzugriff mit der API konfigurieren möchten, müssen Sie die mit Ihrem Google Cloud-Projekt, -Ordner oder -Organisation verknüpfte IAM-Richtlinie bearbeiten. Die Konfiguration der Audit-Logs befindet sich im Abschnitt auditConfigs
der Richtlinie:
"auditConfigs": [
{
object(AuditConfig)
}
]
Weitere Informationen finden Sie unter IAM-Richtlinientyp.
In den folgenden Abschnitten wird das AuditConfig
-Objekt genauer erläutert.
Die API- und gcloud CLI-Befehle zum Ändern der Konfiguration finden Sie unter getIamPolicy und setIamPolicy.
AuditConfig
Objekt
Die Konfiguration der Audit-Logs besteht aus einer Liste mit AuditConfig
-Objekten. Mit jedem Objekt werden die Logs für einen Dienst konfiguriert. Sie können mit einem Objekt aber auch eine umfassendere Konfiguration für alle Dienste festlegen. Die Objekte sehen so aus:
{
"service": SERVICE_NAME,
"auditLogConfigs": [
{
"logType": "ADMIN_READ"
"exemptedMembers": [ PRINCIPAL,]
},
{
"logType": "DATA_READ"
"exemptedMembers": [ PRINCIPAL,]
},
{
"logType": "DATA_WRITE"
"exemptedMembers": [ PRINCIPAL,]
},
]
},
SERVICE_NAME hat einen Wert wie "appengine.googleapis.com"
oder den speziellen Wert "allServices"
. Wenn ein bestimmter Dienst in einer Konfiguration nicht angegeben ist, wird für diesen Dienst die umfassendere Konfiguration verwendet. Wenn keine Konfiguration vorhanden ist, sind für diesen Dienst keine Audit-Logs zum Datenzugriff aktiviert.
Eine Liste der Dienstnamen finden Sie unter Logdienste.
Der auditLogConfigs
-Abschnitt des AuditConfig
-Objekts ist eine Liste von 0 bis 3 Objekten, von denen jedes eine Art von Audit-Loginformationen konfiguriert. Wenn Sie eine Art in der Liste weglassen, wird diese Art von Informationen nicht für den Dienst aktiviert.
PRINCIPAL ist ein Nutzer, für den keine Audit-Logs für den Datenzugriff erfasst werden. Mit dem Typ Binding
werden verschiedene Arten von Hauptkonten beschrieben, einschließlich Nutzer und Gruppen. Allerdings können nicht alle zum Konfigurieren von Audit-Logs zum Datenzugriff verwendet werden.
Das folgende Beispiel zeigt eine Audit-Logkonfiguration im JSON- und im YAML-Format. Wenn Sie die Google Cloud CLI verwenden, wird standardmäßig das YAML-Format verwendet.
JSON
"auditConfigs": [ { "auditLogConfigs": [ { "logType": "ADMIN_READ" }, { "logType": "DATA_WRITE" }, { "logType": "DATA_READ" } ], "service": "allServices" }, { "auditLogConfigs": [ { "exemptedMembers": [ "499862534253-compute@developer.gserviceaccount.com" ], "logType": "ADMIN_READ" } ], "service": "cloudsql.googleapis.com" } ],
YAML
auditConfigs:
- auditLogConfigs:
- logType: ADMIN_READ
- logType: DATA_WRITE
- logType: DATA_READ
service: allServices
- auditLogConfigs:
- exemptedMembers:
- 499862534253-compute@developer.gserviceaccount.com
logType: ADMIN_READ
service: cloudsql.googleapis.com
Häufig verwendete Konfigurationen
Im Folgenden finden Sie einige gängige Audit-Log-Konfigurationen für Google Cloud-Projekte.
Alle Audit-Logs zum Datenzugriff aktivieren
Mit dem folgenden Abschnitt auditConfigs
werden Audit-Logs zum Datenzugriff für alle Dienste und Hauptkonten aktiviert:
JSON
"auditConfigs": [ { "service": "allServices", "auditLogConfigs": [ { "logType": "ADMIN_READ" }, { "logType": "DATA_READ" }, { "logType": "DATA_WRITE" }, ] }, ]
YAML
auditConfigs:
- auditLogConfigs:
- logType: ADMIN_READ
- logType: DATA_WRITE
- logType: DATA_READ
service: allServices
Einen Dienst und eine Informationsart aktivieren
Die folgende Konfiguration aktiviert Audit-Logs zum DATA_WRITE
-Datenzugriff für Cloud SQL:
JSON
"auditConfigs": [ { "service": "cloudsql.googleapis.com", "auditLogConfigs": [ { "logType": "DATA_WRITE" }, ] }, ]
YAML
auditConfigs:
- auditLogConfigs:
- logType: DATA_WRITE
service: cloudsql.googleapis.com
Alle Audit-Logs zum Datenzugriff deaktivieren
Wenn Sie in einem Google Cloud-Projekt alle Audit-Logs zum Datenzugriff (außer BigQuery) deaktivieren möchten, fügen Sie in die neue IAM-Richtlinie einen leeren Abschnitt auditConfigs:
ein:
JSON
"auditConfigs": [],
YAML
auditConfigs:
Wenn Sie den Abschnitt auditConfigs
vollständig aus der neuen Richtlinie entfernen, wird die vorhandene Konfiguration der Audit-Logs zum Datenzugriff von setIamPolicy
nicht geändert. Weitere Informationen finden Sie unter Aktualisierungsmaske "setIamPolicy".
Für BigQuery können Audit-Logs zum Datenzugriff nicht deaktiviert werden.
getIamPolicy
und setIamPolicy
Zum Lesen und Schreiben Ihrer IAM-Richtlinie verwenden Sie die Methoden getIamPolicy
und setIamPolicy
der Cloud Resource Manager API. Sie können aus mehreren Methoden wählen:
Die Cloud Resource Manager API bietet folgende Methoden:
projects.getIamPolicy projects.setIamPolicy organizations.getIamPolicy organizations.setIamPolicy
Die Google Cloud CLI bietet die folgenden Resource Manager-Befehle:
gcloud projects get-iam-policy gcloud projects set-iam-policy gcloud resource-manager folders get-iam-policy gcloud resource-manager folders set-iam-policy gcloud organizations get-iam-policy gcloud organizations set-iam-policy gcloud beta billing accounts get-iam-policy gcloud beta billing accounts set-iam-policy
Führen Sie ungeachtet Ihrer Wahl die folgenden drei Schritte aus:
- Lesen Sie die aktuelle Richtlinie mit einer
getIamPolicy
-Methode. Speichern Sie die Richtlinie in einer temporären Datei. - Bearbeiten Sie die Richtlinie in der temporären Datei.
Ändern Sie nur den Abschnitt
auditConfigs
bzw. fügen Sie diesen hinzu. - Schreiben Sie die bearbeitete Richtlinie mit einer
setIamPolicy
-Methode in die temporäre Datei.
Wenn vom Resource Manager festgestellt wird, dass die Richtlinie von einem anderen Nutzer geändert wurde, nachdem Sie sie im ersten Schritt gelesen haben, schlägt setIamPolicy
fehl. Wiederholen Sie in diesem Fall die drei Schritte.
Beispiele
Die folgenden Beispiele zeigen, wie Sie die Datenzugriffs-Audit-Logs Ihres Projekts mit dem Befehl gcloud
und der Cloud Resource Manager API konfigurieren.
Damit Sie Audit-Logs für den Datenzugriff für die Organisation konfigurieren können, ersetzen Sie die Projektversion der Befehle und API-Methoden durch die Organisationsversion.
gcloud
So konfigurieren Sie mit dem Befehl gcloud projects
Audit-Logs zum Datenzugriff:
Lesen Sie die IAM-Richtlinie des Projekts und speichern Sie sie in einer Datei:
gcloud projects get-iam-policy PROJECT_ID > /tmp/policy.yaml
Unten sehen Sie die zurückgegebene Richtlinie. Diese Richtlinie enthält noch nicht den Abschnitt
auditConfigs
:bindings: - members: - user:colleague@example.com role: roles/editor - members: - user:myself@example.com role: roles/owner etag: BwVM-FDzeYM= version: 1
Bearbeiten Sie die Richtlinie in
/tmp/policy.yaml
, wobei Sie nur die Konfiguration der Audit-Logs zum Datenzugriff hinzufügen oder ändern.Nachstehend sehen Sie ein Beispiel für die bearbeitete Richtlinie, mit der Audit-Logs für Schreibvorgänge bei Datenzugriffen in Cloud SQL aktiviert werden. Am Anfang wurden vier Zeilen hinzugefügt:
auditConfigs: - auditLogConfigs: - logType: DATA_WRITE service: cloudsql.googleapis.com bindings: - members: - user:colleague@example.com role: roles/editor - members: - user:myself@example.com role: roles/owner etag: BwVM-FDzeYM= version: 1
Schreiben Sie die neue IAM-Richtlinie:
gcloud projects set-iam-policy PROJECT_ID /tmp/policy.yaml
Wenn durch den vorangegangenen Befehl ein Konflikt mit einer anderen Änderung ausgelöst wird, wiederholen Sie diese Schritte ab Punkt 1.
JSON
Um mit Ihrer IAM-Richtlinie im JSON-Format anstelle von YAML zu arbeiten, ersetzen Sie die folgenden gcloud
-Befehle im Beispiel:
gcloud projects get-iam-policy PROJECT_ID --format=json >/tmp/policy.json
gcloud projects set-iam-policy PROJECT_ID /tmp/policy.json
API
So konfigurieren Sie Audit-Logs für den Datenzugriff mit der Cloud Resource Manager API:
Lesen Sie die IAM-Richtlinie des Projekts und legen Sie für die API-Methode "getIamPolicy" die folgenden Parameter fest:
- Ressource:
projects/PROJECT_ID
- Anfragetext: leer
Die Methode gibt wie unten dargestellt das aktuelle Richtlinienobjekt zurück. Die Richtlinie für dieses Projekt hat noch nicht den Abschnitt
auditConfigs
:{ "version": 1, "etag": "BwXqwxkr40M=", "bindings": [ { "role": "roles/owner", "members": [ "user:myself@example.com" ] } ] }
- Ressource:
Bearbeiten Sie die aktuelle Richtlinie:
Ändern Sie den Abschnitt
auditConfigs
oder fügen Sie ihn hinzu.Um die Audit-Logs zum Datenzugriff zu deaktivieren, fügen Sie einen leeren Wert für den Abschnitt
auditConfigs:[]
ein.Übernehmen Sie den Wert von
etag
.
Sie können auch alle anderen Informationen aus dem neuen Richtlinienobjekt entfernen, sofern Sie im nächsten Schritt
updateMask
festlegen. Im Folgenden ist die bearbeitete Richtlinie dargestellt, mit der Audit-Logs für Schreibvorgänge bei Datenzugriffen in Cloud SQL aktiviert werden:{ "policy": { "auditConfigs": [ { "auditLogConfigs": [ { "logType": "DATA_WRITE" } ], "service": "cloudsql.googleapis.com" } ], "etag": "BwXqwxkr40M=" }, "updateMask": "auditConfigs,etag" }
Schreiben Sie die neue Richtlinie mit der API-Methode "setIamPolicy". Geben Sie dabei die folgenden Parameter an:
- Ressource:
projects/PROJECT_ID
- Anfragetext: Fügen Sie die bearbeitete Richtlinie ein.
- Ressource:
Die Aktualisierungsmaske setIamPolicy
.
In diesem Abschnitt wird die Bedeutung des Parameters updateMask
in der Methode setIamPolicy
erläutert. Außerdem wird erläutert, warum Sie mit dem set-iam-policy
-Befehl der gcloud CLI vorsichtig sein müssen, damit Ihr Google Cloud-Projekt oder Ihre Organisation nicht versehentlich Schaden nehmen.
Bei der setIamPolicy API method
legt der Parameter updateMask
fest, welche Richtlinienfelder aktualisiert werden. Wenn die Maske beispielsweise keinen Wert für bindings
enthält, kann dieser Richtlinienabschnitt nicht versehentlich geändert werden. Enthält die Maske dagegen einen Wert für bindings
, dann wird dieser Abschnitt immer aktualisiert. Wenn Sie keinen geänderten Wert für bindings
angeben, wird dieser Abschnitt vollständig aus der Richtlinie entfernt.
Mit dem Befehl gcloud projects set-iam-policy
, der setIamPolicy
aufruft, können Sie den Parameter updateMask
nicht festlegen. Stattdessen wird mit dem Befehl folgendermaßen ein Wert für updateMask
berechnet:
updateMask
enthält immer die Felderbindings
undetag
.- Wenn das in
set-iam-policy
angegebene Richtlinienobjekt andere Felder der obersten Ebene wieauditConfigs
enthält, werden diese Felder zuupdateMask
hinzugefügt.
Der Befehl set-iam-policy
verhält sich aufgrund dieser Regeln wie im Folgenden dargestellt.
Wenn Sie den Abschnitt
auditConfigs
in der neuen Richtlinie weglassen, bleibt der vorherige Wert des AbschnittsauditConfigs
(falls vorhanden) erhalten, da dieser Abschnitt nicht Teil der Aktualisierungsmaske ist. Dies hat keine Auswirkung, kann aber verwirrend sein.Wenn Sie
bindings
im neuen Richtlinienobjekt weglassen, wird der Abschnittbindings
aus der Richtlinie entfernt, da dieser Abschnitt in der Aktualisierungsmaske enthalten ist. Das ist sehr schädlich und führt dazu, dass alle Hauptkonten den Zugriff auf Ihr Google Cloud-Projekt verlieren.Wenn Sie
etag
im neuen Richtlinienobjekt weglassen, wird die Richtlinie nicht mehr auf gleichzeitig vorgenommene Änderungen überprüft und Ihre Änderungen überschreiben möglicherweise die Änderungen eines anderen Nutzers.