Questa guida spiega come abilitare o disabilitare alcuni o tutti gli audit log degli accessi ai dati nei progetti, negli account di fatturazione, nelle cartelle e nelle organizzazioni Google Cloud utilizzando la console Google Cloud o l'API.
Prima di iniziare
Prima di procedere con la configurazione degli audit log di accesso ai dati, tieni presente le seguenti informazioni:
Gli audit log di accesso ai dati, ad eccezione di BigQuery, sono disattivati per impostazione predefinita. Se vuoi che gli audit log di accesso ai dati siano scritti per servizi Google Cloud diversi da BigQuery, devi abilitarli esplicitamente.
Gli audit log di accesso ai dati sono archiviati nel bucket
_Default, a meno che non siano stati instradati altrove. Per ulteriori informazioni, consulta l'articolo su archiviazione e routing degli audit log.Gli audit log di accesso ai dati consentono all'Assistenza Google di risolvere i problemi relativi al tuo account. Pertanto, ti consigliamo di abilitare gli audit log di accesso ai dati se possibile.
Panoramica della configurazione
Puoi abilitare e configurare determinati aspetti degli audit log di accesso ai dati per i servizi e le risorse Google Cloud:
Organizzazioni: puoi abilitare e configurare gli audit log di accesso ai dati in un'organizzazione, che si applica a tutti i progetti e le cartelle di Google Cloud esistenti e nuovi nell'organizzazione.
Cartelle: puoi abilitare e configurare gli audit log di accesso ai dati in una cartella, che si applica a tutti i progetti Google Cloud esistenti e nuovi nella cartella. Non puoi disabilitare un audit log di accesso ai dati abilitato nell'organizzazione principale del progetto.
Progetti: puoi configurare audit log di accesso ai dati per un singolo progetto Google Cloud. Non puoi disabilitare un audit log di accesso ai dati che è stato abilitato in un'organizzazione o una cartella padre.
Account di fatturazione: per configurare i log di controllo di accesso ai dati per gli account di fatturazione, utilizza Google Cloud CLI. Per ulteriori informazioni sull'utilizzo dell'interfaccia a riga di comando gcloud con audit log di accesso ai dati e account di fatturazione, consulta la documentazione di riferimento per
gcloud beta billing accounts set-iam-policy.Configurazioni predefinite: puoi specificare una configurazione predefinita degli audit log di accesso ai dati in un'organizzazione, una cartella o un progetto Google Cloud che si applichi ai servizi Google Cloud futuri che inizieranno a produrre audit log di accesso ai dati. Per le istruzioni, consulta la pagina Impostare la configurazione predefinita.
Servizi: puoi specificare i servizi di cui vuoi ricevere gli audit log. Ad esempio, potresti volere gli audit log da Compute Engine, ma non da Cloud SQL. Per un elenco dei servizi Google Cloud che possono generare audit log, consulta Servizi Google con audit log.
Tipi di log: puoi configurare i tipi di operazioni registrati nei log di controllo di accesso ai dati. Esistono tre tipi di audit log di accesso ai dati:
ADMIN_READ: registra le operazioni che leggono i metadati o le informazioni di configurazione.DATA_READ: registra le operazioni che leggono i dati forniti dall'utente.DATA_WRITE: registra le operazioni che scrivono i dati forniti dagli utenti.
Ad esempio, Cloud DNS scrive tutti e tre i tipi di log di accesso ai dati, ma puoi configurare gli audit log di accesso ai dati per registrare solo le operazioni
DATA_WRITE.Entità esenti: puoi escludere entità specifiche affinché gli accessi ai dati vengano registrati. Ad esempio, puoi escludere i tuoi account di test interni affinché non registrino le loro operazioni di Cloud Monitoring. Per un elenco delle entità valide, inclusi utenti e gruppi, consulta il riferimento tipo di
Binding.
Puoi configurare gli audit log di accesso ai dati tramite la console dei log di controllo IAM o l'API. Questi metodi sono illustrati nelle sezioni di seguito.
Configurazioni specifiche del servizio
Se esiste una configurazione a livello di servizio Google Cloud (allServices) e una configurazione per un servizio Google Cloud specifico, la configurazione risultante per il servizio è l'unione delle due configurazioni.
In altre parole:
Puoi abilitare gli audit log di accesso ai dati per servizi Google Cloud specifici, ma non puoi disabilitare gli audit log di accesso ai dati per i servizi Google Cloud abilitati nella configurazione più ampia.
Puoi aggiungere ulteriori tipi di informazioni all'audit log di un servizio Google Cloud, ma non puoi rimuovere i tipi di informazioni specificati nella configurazione più ampia.
Puoi aggiungere entità agli elenchi di esenzioni, ma non puoi rimuoverle dagli elenchi di esenzione nella configurazione più ampia.
Per BigQuery Data Transfer Service, la configurazione degli audit log di accesso ai dati viene ereditata dalla configurazione predefinita degli audit log.
Configurazioni delle risorse Google Cloud
Puoi configurare gli audit log di accesso ai dati per progetti, account di fatturazione, cartelle e organizzazioni Google Cloud. Se esiste una configurazione per un servizio Google Cloud nella gerarchia, la configurazione risultante è l'unione delle configurazioni. In altre parole, a livello di progetto Google Cloud:
Puoi abilitare i log per un servizio Google Cloud, ma non puoi disabilitare i log per un servizio Google Cloud abilitato in un'organizzazione o una cartella padre.
Puoi abilitare tipi di informazioni, ma non puoi disattivare i tipi di informazioni che vengono attivate in un'organizzazione o una cartella principale.
Puoi aggiungere entità agli elenchi di esenzioni, ma non puoi rimuoverle dagli elenchi di esenzione in un'organizzazione o una cartella padre.
A livello di organizzazione o cartella padre, puoi abilitare gli audit log di accesso ai dati per un progetto Google Cloud all'interno di quell'organizzazione o cartella, anche se gli audit log di accesso ai dati non sono stati configurati nel progetto Google Cloud.
Controllo dell'accesso
I ruoli e le autorizzazioni di Identity and Access Management regolano l'accesso ai dati di Logging, inclusa la visualizzazione e la gestione dei criteri IAM alla base delle configurazioni di audit logging di Data Access.
Per visualizzare o impostare i criteri associati alla configurazione dell'accesso ai dati, è necessario un ruolo con autorizzazioni a livello di risorsa appropriato. Per istruzioni su come concedere questi ruoli a livello di risorsa, consulta Gestire l'accesso ai progetti, alle cartelle e alle organizzazioni Google Cloud.
Per impostare i criteri IAM, devi avere un ruolo con l'autorizzazione
resourcemanager.RESOURCE_TYPE.setIamPolicy.Per visualizzare i criteri IAM, devi avere un ruolo con l'autorizzazione
resourcemanager.RESOURCE_TYPE.getIamPolicy.
Per l'elenco delle autorizzazioni e dei ruoli necessari per visualizzare gli audit log di accesso ai dati, consulta Controllo dell'accesso con IAM.
Configurare gli audit log di accesso ai dati con la console Google Cloud
Questa sezione spiega come utilizzare la console Google Cloud per configurare gli audit log di accesso ai dati.
Puoi anche utilizzare l'API o Google Cloud CLI per eseguire queste attività a livello di programmazione; per i dettagli, consulta Configurare gli audit log di accesso ai dati con l'API.
Per accedere alle opzioni di configurazione degli audit log nella console Google Cloud, segui questi passaggi:
Dalla console Google Cloud, seleziona IAM e amministrazione > Audit log:
Seleziona un progetto, una cartella o un'organizzazione Google Cloud esistente.
Abilita audit log
Per abilitare gli audit log di accesso ai dati, procedi come segue:
Nella tabella Configurazione degli audit log di accesso ai dati, seleziona uno o più servizi Google Cloud dalla colonna Service.
Nella scheda Tipi di log, seleziona i tipi di audit log di accesso ai dati che vuoi abilitare per i servizi selezionati.
Fai clic su Salva.
Se hai abilitato gli audit log, la tabella include un segno di spunta check_circle.
Nell'esempio seguente, vedi che per il servizio di approvazione degli accessi è abilitato il tipo di audit log Lettura dati:
Puoi anche abilitare gli audit log per tutti i servizi Google Cloud che producono audit log di accesso ai dati. Nella tabella Configurazione degli audit log di accesso ai dati, seleziona tutti i servizi Google Cloud.
Tieni presente che questo metodo di configurazione collettiva si applica solo ai servizi Google Cloud attualmente disponibili per la tua risorsa. Se viene aggiunto un nuovo servizio Google Cloud, questo eredita la configurazione di controllo predefinita.
Disabilita audit log di accesso ai dati
Per disabilitare gli audit log di accesso ai dati, procedi come segue:
Nella tabella Configurazione degli audit log di accesso ai dati, seleziona uno o più servizi Google Cloud.
Nella scheda Tipi di log nel riquadro delle informazioni, seleziona i tipi di log di controllo di accesso ai dati che vuoi disabilitare per i servizi selezionati.
Fai clic su Salva.
Se hai disabilitato correttamente gli audit log di accesso ai dati, la tabella lo indica con un trattino. Tutti gli audit log di accesso ai dati abilitati sono indicati con un segno di spunta check_circle.
Imposta le esenzioni
Puoi impostare esenzioni per poter stabilire quali entità generano audit log di accesso ai dati per determinati servizi. Quando aggiungi un'entità esente, gli audit log non vengono creati per i tipi di log selezionati.
Per impostare le esenzioni:
Nella tabella Configurazione degli audit log di accesso ai dati, seleziona un servizio Google Cloud dalla colonna Service.
Seleziona la scheda Entità esenti nel riquadro delle informazioni.
In Aggiungi entità esente, inserisci l'entità che non deve essere generata dagli audit log di accesso ai dati per il servizio selezionato.
Puoi aggiungere più entità facendo clic sul pulsante Aggiungi entità esentata tutte le volte che è necessario.
Per un elenco delle entità valide, inclusi utenti e gruppi, consulta il riferimento al tipo
Binding.In Tipi di log disabilitati, seleziona i tipi di audit log di accesso ai dati che vuoi disabilitare.
Fai clic su Salva.
Se hai aggiunto correttamente le entità esenti a un servizio, la tabella Configurazione degli audit log di accesso ai dati indica un valore con un numero nella colonna Entità esenti.
Per rimuovere un'entità dall'elenco di esenzioni:
Nella tabella Configurazione degli audit log di accesso ai dati, seleziona un servizio Google Cloud dalla colonna Service.
Seleziona la scheda Entità esenti nel riquadro delle informazioni.
Passa il mouse sopra il nome di un'entità, quindi seleziona l'icona Elimina delete visualizzata.
Dopo che il nome dell'entità è barrato, fai clic su Salva.
Per modificare le informazioni relative a un'entità esente:
Nella tabella Configurazione degli audit log di accesso ai dati, seleziona un servizio Google Cloud dalla colonna Service.
Seleziona la scheda Entità esenti nel riquadro delle informazioni.
Espandi expand_more il nome principale.
Seleziona o deseleziona i tipi di audit log di accesso ai dati a seconda dei requisiti.
Fai clic su Salva.
Imposta la configurazione predefinita
Puoi impostare una configurazione che tutti i servizi Google Cloud nuovi ed esistenti nel tuo progetto, cartella o organizzazione Google Cloud ereditano. L'impostazione di questa configurazione predefinita si applica se un nuovo servizio Google Cloud diventa disponibile e le entità della tua organizzazione iniziano a utilizzarlo: il servizio eredita il criterio di audit logging che hai già impostato per altri servizi Google Cloud, garantendo che gli audit log di accesso ai dati vengano acquisiti.
Per impostare o modificare la configurazione predefinita:
Fai clic su Imposta la configurazione predefinita.
Nella scheda Tipi di log nel riquadro delle informazioni, seleziona i tipi di audit log di accesso ai dati da abilitare o disabilitare.
Fai clic su Salva.
Seleziona la scheda Entità esenti nel riquadro delle informazioni.
In Aggiungi entità esente, inserisci l'entità che non deve essere generata dagli audit log di accesso ai dati per il servizio selezionato.
Puoi aggiungere più entità facendo clic sul pulsante Aggiungi entità esentata tutte le volte che è necessario.
Per un elenco delle entità valide, inclusi utenti e gruppi, consulta il riferimento al tipo
Binding.In Tipi di log disabilitati, seleziona i tipi di audit log di accesso ai dati che vuoi disabilitare.
Fai clic su Salva.
Configurare gli audit log di accesso ai dati con l'API
Questa sezione spiega come utilizzare l'API e l'interfaccia a riga di comando gcloud per configurare gli audit log di accesso ai dati in modo programmatico.
Molte di queste attività possono essere eseguite anche utilizzando la console Google Cloud; per le istruzioni, consulta Configurare gli audit log di accesso ai dati con la console Google Cloud in questa pagina.
Oggetti criterio IAM
Per configurare gli audit log di accesso ai dati utilizzando l'API, devi modificare il criterio IAM associato al tuo progetto, cartella o organizzazione Google Cloud. La configurazione dell'audit log si trova nella sezione auditConfigs del criterio:
"auditConfigs": [
{
object(AuditConfig)
}
]
Per i dettagli, consulta il tipo di criterio IAM.
Le seguenti sezioni descrivono l'oggetto AuditConfig in modo più dettagliato.
Per i comandi dell'API e dell'interfaccia a riga di comando gcloud utilizzati per modificare la configurazione, consulta getIamPolicy e setIamPolicy
AuditConfig oggetti
La configurazione dell'audit log è costituita da un elenco di oggetti
AuditConfig. Ogni oggetto configura i log per un servizio oppure stabilisce una configurazione più ampia per tutti i servizi. Ogni oggetto ha il seguente aspetto:
{
"service": SERVICE,
"auditLogConfigs": [
{
"logType": "ADMIN_READ"
"exemptedMembers": [ PRINCIPAL,]
},
{
"logType": "DATA_READ"
"exemptedMembers": [ PRINCIPAL,]
},
{
"logType": "DATA_WRITE"
"exemptedMembers": [ PRINCIPAL,]
},
]
},
SERVICE è il nome del servizio come "appengine.googleapis.com" oppure è il valore speciale "allServices". Se una configurazione non menziona un determinato servizio, per quel servizio viene utilizzata la configurazione più ampia. Se non è presente alcuna configurazione, gli audit log di accesso ai dati non sono abilitati per quel servizio.
Per un elenco dei nomi dei servizi, consulta Servizi di log.
La sezione auditLogConfigs dell'oggetto AuditConfig è un elenco di 0-3
oggetti, ciascuno dei quali configura un tipo di informazioni di audit log. Se ometti
uno dei tipi nell'elenco, significa che quel tipo di informazioni non è abilitato
per il servizio.
PRINCIPAL è un utente per il quale non vengono raccolti gli audit log di accesso ai dati. Il tipo Binding descrive diversi tipi di entità, tra cui utenti e gruppi, ma non tutti possono essere utilizzati per configurare gli audit log di accesso ai dati.
Di seguito è riportato un esempio di configurazione di controllo in formato JSON e YAML. Il formato YAML è l'impostazione predefinita quando si utilizza Google Cloud CLI.
JSON
"auditConfigs": [
{
"auditLogConfigs": [
{
"logType": "ADMIN_READ"
},
{
"logType": "DATA_WRITE"
},
{
"logType": "DATA_READ"
}
],
"service": "allServices"
},
{
"auditLogConfigs": [
{
"exemptedMembers": [
"499862534253-compute@developer.gserviceaccount.com"
],
"logType": "ADMIN_READ"
}
],
"service": "cloudsql.googleapis.com"
}
],
YAML
auditConfigs:
- auditLogConfigs:
- logType: ADMIN_READ
- logType: DATA_WRITE
- logType: DATA_READ
service: allServices
- auditLogConfigs:
- exemptedMembers:
- 499862534253-compute@developer.gserviceaccount.com
logType: ADMIN_READ
service: cloudsql.googleapis.com
Configurazioni comuni
Di seguito sono riportate alcune configurazioni comuni degli audit log per i progetti Google Cloud.
Abilita tutti gli audit log di accesso ai dati
La seguente sezione auditConfigs abilita gli audit log di accesso ai dati per tutti i servizi e le entità:
JSON
"auditConfigs": [
{
"service": "allServices",
"auditLogConfigs": [
{ "logType": "ADMIN_READ" },
{ "logType": "DATA_READ" },
{ "logType": "DATA_WRITE" },
]
},
]
YAML
auditConfigs:
- auditLogConfigs:
- logType: ADMIN_READ
- logType: DATA_WRITE
- logType: DATA_READ
service: allServices
Abilita un solo tipo di servizio e informazioni
La seguente configurazione abilita gli audit log di accesso ai dati di DATA_WRITE per Cloud SQL:
JSON
"auditConfigs": [
{
"service": "cloudsql.googleapis.com",
"auditLogConfigs": [
{ "logType": "DATA_WRITE" },
]
},
]
YAML
auditConfigs:
- auditLogConfigs:
- logType: DATA_WRITE
service: cloudsql.googleapis.com
Disabilita tutti gli audit log di accesso ai dati
Per disabilitare tutti gli audit log di accesso ai dati (tranne BigQuery) in un progetto Google Cloud, includi una sezione auditConfigs: vuota nel nuovo criterio IAM:
JSON
"auditConfigs": [],
YAML
auditConfigs:
Se rimuovi completamente la sezione auditConfigs dal nuovo criterio, setIamPolicy non modificherà la configurazione degli audit log di accesso ai dati esistenti. Per ulteriori informazioni, consulta
La maschera di aggiornamento setIamPolicy.
Gli audit log dell'accesso ai dati di BigQuery non possono essere disabilitati.
getIamPolicy e setIamPolicy
Utilizzi i metodi getIamPolicy e setIamPolicy dell'API Resource Manager per leggere e scrivere il criterio IAM. Sono disponibili diverse opzioni per i metodi specifici di utilizzo:
L'API Resource Manager utilizza i seguenti metodi:
projects.getIamPolicy projects.setIamPolicy organizations.getIamPolicy organizations.setIamPolicyGoogle Cloud CLI dispone dei seguenti comandi di Resource Manager:
gcloud projects get-iam-policy gcloud projects set-iam-policy gcloud resource-manager folders get-iam-policy gcloud resource-manager folders set-iam-policy gcloud organizations get-iam-policy gcloud organizations set-iam-policy gcloud beta billing accounts get-iam-policy gcloud beta billing accounts set-iam-policy
Indipendentemente dalla tua scelta, segui questi tre passaggi:
- Leggi il criterio corrente utilizzando uno dei metodi
getIamPolicy. Salva il criterio in un file temporaneo. - Modifica il criterio nel file temporaneo.
Modifica (o aggiungi) solo la sezione
auditConfigs. - Scrivi il criterio modificato nel file temporaneo, utilizzando uno dei metodi
setIamPolicy.
setIamPolicy non riesce se Resource Manager rileva che un altro utente ha modificato il criterio dopo averlo letto nel primo passaggio. In questo caso, ripeti i tre passaggi.
Esempi
Gli esempi seguenti mostrano come configurare gli audit log dell'accesso ai dati del progetto utilizzando il comando gcloud e l'API Resource Manager.
Per configurare gli audit log di accesso ai dati dell'organizzazione, sostituisci la versione "projects" dei comandi e dei metodi API con la versione "organizations".
gcloud
Per configurare gli audit log di accesso ai dati utilizzando il comando gcloud projects:
Leggi il criterio IAM del tuo progetto e archivialo in un file:
gcloud projects get-iam-policy PROJECT_ID > /tmp/policy.yamlLe norme sui resi sono mostrate di seguito. Questo criterio non ha ancora una sezione
auditConfigs:bindings: - members: - user:colleague@example.com role: roles/editor - members: - user:myself@example.com role: roles/owner etag: BwVM-FDzeYM= version: 1Modifica il criterio in
/tmp/policy.yaml, aggiungendo o cambiando solo la configurazione degli audit log di accesso ai dati.Di seguito è riportato un esempio del criterio modificato, che abilita gli audit log dell'accesso ai dati in scrittura dati di Cloud SQL. Sono state aggiunte quattro righe all'inizio:
auditConfigs: - auditLogConfigs: - logType: DATA_WRITE service: cloudsql.googleapis.com bindings: - members: - user:colleague@example.com role: roles/editor - members: - user:myself@example.com role: roles/owner etag: BwVM-FDzeYM= version: 1Scrivi il nuovo criterio IAM:
gcloud projects set-iam-policy PROJECT_ID /tmp/policy.yamlSe il comando precedente segnala un conflitto con un'altra modifica, ripeti questi passaggi, iniziando con il primo passaggio.
JSON
Per lavorare con il criterio IAM in formato JSON anziché YAML, sostituisci i seguenti comandi gcloud nell'esempio:
gcloud projects get-iam-policy PROJECT_ID --format=json >/tmp/policy.json
gcloud projects set-iam-policy PROJECT_ID /tmp/policy.json
API
Per configurare gli audit log di accesso ai dati utilizzando l'API Resource Manager:
Leggi il criterio IAM del tuo progetto, specificando i seguenti parametri con il metodo API getIamPolicy:
- risorsa:
projects/PROJECT_ID - Corpo della richiesta: empty
Il metodo restituisce l'oggetto del criterio corrente, mostrato di seguito. Il criterio di questo progetto non ha ancora una sezione
auditConfigs:{ "version": 1, "etag": "BwXqwxkr40M=", "bindings": [ { "role": "roles/owner", "members": [ "user:myself@example.com" ] } ] }- risorsa:
Modifica il criterio corrente:
Modifica o aggiungi la sezione
auditConfigs.Per disabilitare gli audit log di accesso ai dati, includi un valore vuoto per la sezione:
auditConfigs:[].Conserva il valore di
etag.
Puoi anche rimuovere tutte le altre informazioni dal nuovo oggetto del criterio, a condizione che tu preveda di impostare
updateMasknel passaggio successivo. Di seguito è riportato il criterio modificato, che abilita gli audit log di scrittura dei dati di Cloud SQL:{ "policy": { "auditConfigs": [ { "auditLogConfigs": [ { "logType": "DATA_WRITE" } ], "service": "cloudsql.googleapis.com" } ], "etag": "BwXqwxkr40M=" }, "updateMask": "auditConfigs,etag" }Scrivi il nuovo criterio utilizzando il metodo dell'API setIamPolicy, specificando i seguenti parametri:
- risorsa:
projects/PROJECT_ID - Corpo della richiesta: includi il criterio modificato.
- risorsa:
La maschera di aggiornamento setIamPolicy
Questa sezione spiega l'importanza del parametro updateMask nel metodo setIamPolicy e spiega perché è necessario prestare attenzione al comando gcloud CLI set-iam-policy in modo da non causare danni accidentali al progetto o all'organizzazione Google Cloud.
setIamPolicy API method utilizza un parametro updateMask per controllare quali campi dei criteri vengono aggiornati. Ad esempio, se la maschera non contiene bindings, non puoi modificare accidentalmente la sezione del criterio. Se invece la maschera contiene bindings, la sezione viene sempre aggiornata. Se non includi un valore aggiornato per bindings, la sezione verrà rimossa completamente dal criterio.
Il comando gcloud projects set-iam-policy, che chiama setIamPolicy,
non consente di specificare il parametro updateMask. Invece, il comando calcola un valore per updateMask nel seguente modo:
updateMaskcontiene sempre i campibindingseetag.- Se l'oggetto di criterio fornito in
set-iam-policycontiene altri campi di primo livello, ad esempioauditConfigs, questi vengono aggiunti aupdateMask.
In conseguenza di queste regole, il comando set-iam-policy ha i seguenti
comportamenti:
Se ometti la sezione
auditConfigsnel nuovo criterio, il valore precedente della sezioneauditConfigs(se presente) non viene modificato, perché questa sezione non è presente nella maschera di aggiornamento. È innocuo, ma può creare confusione.Se ometti
bindingsnel nuovo oggetto criterio, la sezionebindingsviene rimossa dal criterio, poiché questa sezione viene visualizzata nella maschera di aggiornamento. Questo è molto dannoso e fa sì che tutte le entità perdano l'accesso al tuo progetto Google Cloud.Se ometti
etagnel nuovo oggetto del criterio, la verifica della presenza di eventuali modifiche simultanee al tuo criterio verrà disabilitata e ciò potrebbe comportare la modifica accidentale delle modifiche da parte di altri.