启用数据访问审核日志

本指南介绍了如何启用或停用部分或全部功能 数据访问审核日志 Google Cloud 项目、结算账号、文件夹和组织, 使用 Google Cloud 控制台或 API

准备工作

在继续配置数据访问审核日志之前,请先了解以下信息:

  • 数据访问审核日志(BigQuery 除外)默认处于停用状态。如果您想针对 BigQuery 以外的 Google Cloud 服务写入数据访问审核日志,则必须明确启用这些日志。

  • 数据访问审核日志存储在 _Default 存储桶,除非 但您已将它们转送到其他位置如需了解详情,请参阅 存储和路由审核日志

  • 数据访问审核日志可帮助 Google 支持团队排查您的账号问题。因此,我们建议您尽可能启用数据访问审核日志。

配置概览

您可为 Google Cloud 资源和服务启用和配置数据访问审核日志的某些方面:

  • 组织:您可以在 这适用于所有现有的和新的 组织中的 Google Cloud 项目和文件夹。

  • 文件夹:您可以在 文件夹,该文件夹会应用于 Google Cloud 中现有的和新的 Google Cloud 项目, 文件夹您无法停用在以下位置启用的数据访问审核日志 项目的父级组织。

  • 项目:您可以为单个应用配置数据访问审核日志 Google Cloud 项目。您无法停用符合以下条件的数据访问审核日志 已在父级组织或文件夹中启用。

  • 结算账号:配置数据访问审核日志以进行结算 请使用 Google Cloud CLI。详细了解如何使用 包含数据访问审核日志和结算账号的 gcloud CLI, 请参阅 gcloud beta billing accounts set-iam-policy.

  • 默认配置:您可以指定默认的数据访问审核日志 组织、文件夹或 Google Cloud 项目中的配置 适用于未来开始生成数据的 Google Cloud 服务 访问审核日志。有关说明,请参阅 设置默认配置

  • 服务:您可以指定要查看其审核日志的服务 接收。例如,您可能想要接收来自 Compute Engine 的审核日志,但不想接收来自 Cloud SQL 的审核日志。有关 Google Cloud 的 可生成审核日志的服务 具有审核日志的 Google 服务

  • 日志类型:您可以配置将哪些类型的操作记录在 您的数据访问审核日志。数据访问审核日志分为三种:

    • ADMIN_READ:用于记录读取元数据或配置信息的操作。

    • DATA_READ:用于记录读取用户所提供数据的操作。

    • DATA_WRITE:用于记录写入用户所提供数据的操作。

    例如,Cloud DNS 会写入所有这三种类型的数据访问日志, 您可以配置数据访问审核日志 DATA_WRITE 操作。

  • 豁免的主账号:您可以为特定主账号免除 来记录他们的数据访问例如,您可以豁免 禁止内部测试账号使用其 Cloud Monitoring 操作 已记录。如需查看有效主账号(包括用户和群组)的列表, 请参阅 Binding 类型引用

您可以通过 IAM 配置数据访问审核日志 Google Cloud 控制台页面,或者通过 API 来查看。以下部分对这些方法进行了说明。

服务专属配置

如果同时存在适合所有 Google Cloud 服务 (allServices) 的配置和适合特定 Google Cloud 服务的配置,则最终的服务配置将是这两种配置的并集。换句话说:

  • 您可为特定 Google Cloud 服务启用数据访问审核日志,但无法为已在适用范围更广的配置中启用该功能的 Google Cloud 服务停用数据访问审核日志。

  • 您可为 Google Cloud 服务的数据访问审核日志添加额外信息类型,但无法移除已在适用范围更广的配置中指定的信息类型。

  • 您可以向豁免列表添加主账号,但无法移除它们 从范围更广的配置中的豁免列表中排除。

  • 对于 BigQuery Data Transfer Service,数据访问审核日志配置现为 从默认审核日志配置继承而来。

Google Cloud 资源配置

您可以为 Google Cloud 项目配置数据访问审核日志, 结算账号、文件夹和组织。如果存在针对 所有 Google Cloud 服务,以及由此产生的 “configuration”是指各种配置的并集。换句话说,在 Google Cloud 项目级:

  • 您可以为 Google Cloud 服务启用日志,但无法停用 在父级中启用的 Google Cloud 服务的日志 组织或文件夹

  • 您可以启用各类信息,但无法停用各类信息 父级组织或文件夹中启用的信息。

  • 您可以向豁免列表添加主账号,但无法移除它们 从父级组织或文件夹的豁免列表中排除。

  • 在父级组织或文件夹级别,您可以启用数据访问审核 该组织或文件夹中的 Google Cloud 项目的日志,即使 如果尚未在 Firebase 中配置数据访问审核日志, Google Cloud 项目。

访问权限控制

Identity and Access Management 角色和权限管理对 Logging 数据的访问权限,包括查看和管理底层数据访问审核日志配置的 IAM 政策

如需查看或设置与数据访问配置关联的政策,您需要拥有在适当资源级层具有权限的角色。如需相关说明,请参阅 授予这些资源级角色的详细信息,请参阅 管理对 Google Cloud 项目、文件夹和组织的访问权限

  • 如需设置 IAM 政策,您需要拥有具有 resourcemanager.RESOURCE_TYPE.setIamPolicy 权限的角色。

  • 如需查看 IAM 政策,您需要拥有具有 resourcemanager.RESOURCE_TYPE.getIamPolicy 权限的角色。

有关查看数据访问审核所需的权限和角色列表 请参阅 使用 IAM 进行访问权限控制

使用 Google Cloud 控制台配置数据访问审核日志

本部分介绍如何使用 Google Cloud 控制台来配置数据 访问审核日志。

您还可以使用 API 或 Google Cloud CLI 执行这些任务 programmatically;请参阅 如需了解详情,请使用 API 配置数据访问审核日志

如需在 Google Cloud 控制台中访问审核日志配置选项,请按照 具体步骤:

  1. 在 Google Cloud 控制台中,前往审核日志页面:

    前往审核日志

    如果您使用搜索栏查找此页面,请选择子标题为 IAM 和管理的结果。

  2. 选择现有的 Google Cloud 项目、文件夹或组织。

启用审核日志

如需启用数据访问审核日志,请执行以下操作:

  1. 数据访问审核日志配置表格中,选择一个或多个 Google Cloud 服务。

  2. 审核日志类型标签页中,选择您要在日志中 为所选服务启用的 API。

  3. 点击保存

如果您已成功启用审核日志,该表中会包含 对勾图标。

在以下示例中,您可以看到对于 Access Approval 服务, 已启用数据读取审核日志类型:

审核日志配置

您还可以为生成数据访问审核日志的所有 Google Cloud 服务启用审核日志。在数据访问审核日志配置表中, 选择所有 Google Cloud 服务。

请注意,这种批量配置方法仅适用于 Google Cloud 目前可用于您的资源的服务。如果新的 Google Cloud 服务已添加,它会继承您的 默认审核配置

停用数据访问审核日志

如需停用数据访问审核日志,请执行以下操作:

  1. 数据访问审核日志配置表格中,选择一个或多个 Google Cloud 服务。

  2. 在信息面板的日志类型标签页中,选择“数据访问” 审核日志类型。

  3. 点击保存

如果您已成功停用数据访问审核日志,该表格会显示 这几个破折号所有已启用的数据访问审核日志都会显示 对勾图标。

设置豁免项

您可以设置豁免项,以便控制哪些主账号生成数据 访问特定服务的审核日志。添加豁免主账号后, 系统不会为所选日志类型创建审核日志。

如需设置豁免项,请执行以下操作:

  1. 数据访问审核日志配置表中, Google Cloud 服务。

  2. 在信息面板中选择豁免的主账号标签页。

  3. 添加豁免主账号中,输入要豁免的主账号 为您选择的服务生成数据访问审核日志。

    您可以通过以下方式添加多个主账号 根据需要多次点击添加豁免主账号按钮。

    如需查看有效主账号(包括用户和群组)的列表, 请参阅 Binding 类型参考文档

  4. 已停用的日志类型中,选择数据访问审核日志类型 停用特定技术

  5. 点击保存

如果您已成功向服务添加豁免主账号,则数据 访问审核日志配置表中在 豁免的主账号列。

如需从豁免列表中移除主账号,请执行以下操作:

  1. 数据访问审核日志配置表中, Google Cloud 服务。

  2. 在信息面板中选择豁免的主账号标签页。

  3. 将鼠标悬停在主账号名称上,然后选择删除 图标。

  4. 主账号名称以带删除线的文本形式显示后,点击保存

如需修改豁免主账号的信息,请执行以下操作:

  1. 数据访问审核日志配置表中, Google Cloud 服务。

  2. 在信息面板中选择豁免的主账号标签页。

  3. 展开 主账号名称。

  4. 根据需要为 主账号。

  5. 点击保存

设置默认配置

您可以设置一个配置,让所有新的和现有的 Google Cloud 您的 Google Cloud 项目、文件夹或组织中的服务继承。 如果有新的 Google Cloud 服务,系统会应用此默认配置 可供使用,并且贵组织中的主账号开始使用它: 服务会沿用您已经为其他对象设置的审核日志记录政策。 Google Cloud 服务,确保捕获数据访问审核日志。

如需设置或修改默认配置,请执行以下操作:

  1. 点击设置默认配置

  2. 在信息面板的日志类型标签页中,选择“数据访问” 您想启用或停用的审核日志类型。

  3. 点击保存

  4. 在信息面板中选择豁免的主账号标签页。

  5. 添加豁免主账号中,输入要豁免的主账号 为您选择的服务生成数据访问审核日志。

    您可以通过以下方式添加多个主账号 根据需要多次点击添加豁免主账号按钮。

    如需查看有效主账号(包括用户和群组)的列表, 请参阅 Binding 类型参考文档

  6. 已停用的日志类型中,选择数据访问审核日志类型 停用特定技术

  7. 点击保存

使用 API 配置数据访问审核日志

本部分介绍如何使用 API 和 gcloud CLI 执行以下操作: 以编程方式配置数据访问审核日志。

其中许多任务也可以使用 Google Cloud 控制台来执行: 有关说明,请参阅 使用 Google Cloud 控制台配置数据访问审核日志

IAM 政策对象

要使用 API 配置数据访问审核日志,您必须修改 与您的 Google Cloud 项目、文件夹、 或组织。审核日志配置位于政策的 auditConfigs 部分:

"auditConfigs": [
  {
    object(AuditConfig)
  }
]

如需了解详情,请参阅 IAM 政策类型。

下面的部分更详细地介绍了 AuditConfig 对象。对于用于更改配置的 API 和 gcloud CLI 命令, 请参阅 getIamPolicy 和 setIamPolicy

AuditConfig 个对象

审核日志配置包含 AuditConfig 对象列表。每个对象针对一项服务配置日志,也可以针对所有服务建立范围更广的配置。每个对象均与如下内容类似:

{
  "service": SERVICE_NAME,
  "auditLogConfigs": [
    {
      "logType": "ADMIN_READ"
      "exemptedMembers": [ PRINCIPAL,]
    },
    {
      "logType": "DATA_READ"
      "exemptedMembers": [ PRINCIPAL,]
    },
    {
      "logType": "DATA_WRITE"
      "exemptedMembers": [ PRINCIPAL,]
    },
  ]
},

SERVICE_NAME 具有一个值,例如 "appengine.googleapis.com",或者它是 特殊值 "allServices"。如果配置未提及特定服务,则范围更广的配置将用于该服务。如果没有配置,则不会为该服务启用数据访问审核日志。 如需查看服务名称列表,请参阅日志服务

AuditConfig 对象的 auditLogConfigs 部分是一个包含 0 到 3 个对象的列表,其中每个对象都用于配置一类审核日志信息。如果您忽略列表中的某一种类型,则不会为该服务启用该类型的日志信息。

PRINCIPAL 是不为其收集数据访问审核日志的用户。通过 Binding 类型描述了不同类型的主账号,包括 用户和群组,但并非所有用户和群组都可用于配置数据访问权限 审核日志。

以下是 JSON 和 YAML 格式的审核配置示例。YAML 格式是使用 Google Cloud CLI 时的默认格式。

JSON

"auditConfigs": [
  {
    "auditLogConfigs": [
      {
        "logType": "ADMIN_READ"
      },
      {
        "logType": "DATA_WRITE"
      },
      {
        "logType": "DATA_READ"
      }
    ],
    "service": "allServices"
  },
  {
    "auditLogConfigs": [
      {
        "exemptedMembers": [
          "499862534253-compute@developer.gserviceaccount.com"
        ],
        "logType": "ADMIN_READ"
      }
    ],
    "service": "cloudsql.googleapis.com"
  }
],

YAML

auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices
- auditLogConfigs:
  - exemptedMembers:
    - 499862534253-compute@developer.gserviceaccount.com
    logType: ADMIN_READ
  service: cloudsql.googleapis.com

常见配置

以下是 Google Cloud 项目的一些常见审核日志配置。

启用所有数据访问审核日志

下面的 auditConfigs 部分将为所有用户启用数据访问审核日志 服务和主账号:

JSON

"auditConfigs": [
      {
        "service": "allServices",
        "auditLogConfigs": [
          { "logType": "ADMIN_READ" },
          { "logType": "DATA_READ"  },
          { "logType": "DATA_WRITE" },
        ]
      },
    ]

YAML

auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices

启用一项服务和一种信息类型

以下配置为以下服务启用了 DATA_WRITE 数据访问审核日志 Cloud SQL:

JSON

"auditConfigs": [
  {
    "service": "cloudsql.googleapis.com",
    "auditLogConfigs": [
      { "logType": "DATA_WRITE" },
    ]
  },
]

YAML

auditConfigs:
- auditLogConfigs:
  - logType: DATA_WRITE
  service: cloudsql.googleapis.com

停用所有数据访问审核日志

要停用 BigQuery 中的所有数据访问审核日志, Google Cloud 项目,请在新项目中添加空的 auditConfigs: 部分 IAM 政策:

JSON

"auditConfigs": [],

YAML

auditConfigs:

如果您从新政策中彻底移除“auditConfigs”部分, 则 setIamPolicy 不会更改现有数据访问审核日志 配置。如需了解详情,请参阅 setIamPolicy 更新掩码

BigQuery 数据访问审核日志无法停用。

getIamPolicysetIamPolicy

您可以使用 Cloud Resource Manager API getIamPolicysetIamPolicy 方法来读取 然后编写 IAM 政策我们提供多种特定方法供您选择:

  • Cloud Resource Manager API 提供以下方法:

    projects.getIamPolicy
projects.setIamPolicy
organizations.getIamPolicy
organizations.setIamPolicy

  • Google Cloud CLI 具有以下特性 Resource Manager 命令:

    gcloud projects get-iam-policy
gcloud projects set-iam-policy
gcloud resource-manager folders get-iam-policy
gcloud resource-manager folders set-iam-policy
gcloud organizations get-iam-policy
gcloud organizations set-iam-policy
gcloud beta billing accounts get-iam-policy
gcloud beta billing accounts set-iam-policy

无论您选择哪种方法,都请按以下三个步骤操作:

  1. 使用一种 getIamPolicy 方法来读取当前政策。将政策保存为临时文件。
  2. 修改临时文件中的政策。仅更改(或添加)auditConfigs 部分。
  3. 使用一种 setIamPolicy 方法将已修改的政策写入临时文件。

如果 Resource Manager 检测到在您执行第一步中的读取操作后其他人更改了政策,则 setIamPolicy 将会失败。如果发生这种情况,请重复上述三个步骤。

示例

以下各个示例演示了如何使用 gcloud 命令和 Cloud Resource Manager API 来配置项目的数据访问审核日志。

如需配置组织数据访问审核日志,请将命令和 API 方法的“项目”版本替换为“组织”版本。

gcloud

如需使用 gcloud projects 命令配置数据访问审核日志,请执行以下操作:

  1. 读取您项目的 IAM 政策,并将其存储在一个文件中:

    gcloud projects get-iam-policy PROJECT_ID > /tmp/policy.yaml

    返回的政策如下所示。此政策还没有 auditConfigs 部分:

    bindings:
- members:
  - user:colleague@example.com
  role: roles/editor
- members:
  - user:myself@example.com
  role: roles/owner
etag: BwVM-FDzeYM=
version: 1

  2. /tmp/policy.yaml修改政策,仅添加或更改数据访问审核日志配置。

    以下是已修改政策的一个示例,其中启用了 Cloud SQL 数据写入数据访问审核日志。开头添加了四行:

    auditConfigs:
- auditLogConfigs:
  - logType: DATA_WRITE
  service: cloudsql.googleapis.com
bindings:
- members:
  - user:colleague@example.com
  role: roles/editor
- members:
  - user:myself@example.com
  role: roles/owner
etag: BwVM-FDzeYM=
version: 1

  3. 写入新的 IAM 政策:

    gcloud projects set-iam-policy PROJECT_ID /tmp/policy.yaml

    如果上述命令报告与其他更改发生冲突,请重复以上步骤(从第一步开始)。

JSON

如需以 JSON 格式(而不是 YAML)来处理 IAM 政策,请用以下 gcloud 命令替换示例中的相应内容:

gcloud projects get-iam-policy PROJECT_ID --format=json >/tmp/policy.json
gcloud projects set-iam-policy PROJECT_ID /tmp/policy.json

API

要使用 Cloud Resource Manager API 配置数据访问审核日志,请执行以下操作:

  1. 读取您项目的 IAM 政策,并为 getIamPolicy API 方法指定以下参数:

    • resourceprojects/PROJECT_ID
    • 请求正文:空

    该方法可返回当前政策对象,如下所示。此项目的政策还没有 auditConfigs 部分:

    {
  "version": 1,
  "etag": "BwXqwxkr40M=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:myself@example.com"
      ]
    }
  ]
}

  2. 修改当前政策:

    • 更改或添加 auditConfigs 部分。

      如需停用数据访问审核日志,请为该部分提供一个空值:auditConfigs:[]

    • 保留 etag 的值。

    您还可以从新政策对象中移除所有其他信息,不过要注意在下一步中谨慎设置 updateMask。 以下是已修改的政策,其中启用了 Cloud SQL 数据写入审核日志:

    {
  "policy": {
    "auditConfigs": [
      {
        "auditLogConfigs": [
          {
            "logType": "DATA_WRITE"
          }
        ],
        "service": "cloudsql.googleapis.com"
      }
    ],
    "etag": "BwXqwxkr40M="
  },
  "updateMask": "auditConfigs,etag"
}

  3. 使用 setIamPolicy API 方法写入新政策,并指定以下参数:

    • resourceprojects/PROJECT_ID
    • 请求正文:包含修改后的政策。

setIamPolicy 更新掩码

本部分介绍了 updateMask 参数在 setIamPolicy 方法,并解释为什么您必须小心使用 使用 gcloud CLI set-iam-policy命令 对您的 Google Cloud 项目或组织造成意外损害。

setIamPolicy API method 使用 updateMask 参数来控制要更新哪些政策字段。例如,如果掩码不包含 bindings,那么您就不会意外更改政策的该部分。另一方面,如果掩码包含 bindings,则该部分始终都会更新。如果您未为 bindings 添加更新的值,则该部分会从政策中完全移除。

gcloud projects set-iam-policy 命令(调用 setIamPolicy)不允许您指定 updateMask 参数。取而代之的是,该命令会按以下方式计算 updateMask 的值:

  • updateMask 始终包含字段 bindingsetag
  • 如果 set-iam-policy 中提供的政策对象包含其他任何顶级字段(例如 auditConfigs),则这些字段将添加到 updateMask 中。

由于存在上述规则,set-iam-policy 命令具有以下行为:

  • 如果您在新政策中省略了 auditConfigs 部分,则 auditConfigs 部分的先前值(如果有)不会更改,因为更新掩码中不包含此部分。这一行为无害,但可能会产生混淆。

  • 如果您在新政策对象中省略 bindings,则系统会从政策中移除 bindings 部分,因为更新掩码中存在此部分。这一做法有害,并会导致所有主账号都失去访问权限 您的 Google Cloud 项目。

  • 如果您在新政策对象中省略 etag,则系统可能会停用对政策并发更改的检查,而且可能导致您的更改意外覆盖其他人的更改。