Audit-Logs zum Datenzugriff aktivieren

In dieser Anleitung wird erläutert, wie Sie in Ihren Google Cloud-Projekten, Rechnungskonten, Ordnern und Organisationen einige oder alle Audit-Logs zum Datenzugriff mithilfe der Google Cloud Console oder der API aktivieren oder deaktivieren.

Hinweise

Bevor Sie mit der Konfiguration von Audit-Logs zum Datenzugriff fortfahren, lesen Sie die folgenden Informationen:

  • Audit-Logs zum Datenzugriff sind – außer bei BigQuery – standardmäßig deaktiviert. Wenn Audit-Logs zum Datenzugriff für andere Google Cloud-Dienste als BigQuery geschrieben werden sollen, müssen Sie sie explizit aktivieren.

  • Audit-Logs zum Datenzugriff werden in der _Default-Bucket, es sei denn, haben Sie sie an eine andere Stelle weitergeleitet. Weitere Informationen finden Sie unter Audit-Logs speichern und weiterleiten

  • Audit-Logs zum Datenzugriff helfen dem Google-Support beim Beheben von Problemen mit Ihrem Konto. Daher empfehlen wir, Audit-Logs zum Datenzugriff nach Möglichkeit zu aktivieren.

Konfigurationsübersicht

Sie können konfigurieren, wie Audit-Logs zum Datenzugriff für Ihre Google Cloud-Ressourcen und ‑Dienste aktiviert werden:

  • Organisationen: Sie können Audit-Logs zum Datenzugriff in einer Organisation aktivieren und konfigurieren. Dies gilt dann für alle vorhandenen und neuen Google Cloud-Projekte und ‑Ordner in der Organisation.

  • Ordner: Sie können Audit-Logs zum Datenzugriff in einer der für alle bestehenden und neuen Google Cloud-Projekte in Ordner. Sie können kein Audit-Log zum Datenzugriff deaktivieren, das in das übergeordnete Unternehmen des Projekts.

  • Projekte: Sie können Audit-Logs zum Datenzugriff für eine einzelne Person konfigurieren. Google Cloud-Projekt Sie können kein Audit-Log zum Datenzugriff deaktivieren, das in einer übergeordneten Organisation oder einem übergeordneten Ordner aktiviert wurde.

  • Abrechnungskonten: Verwenden Sie die Google Cloud CLI, um Audit-Logs zum Datenzugriff für Abrechnungskonten zu konfigurieren. Weitere Informationen zur Verwendung die gcloud CLI mit Audit-Logs zum Datenzugriff und Rechnungskonten Siehe gcloud beta billing accounts set-iam-policy Dokumentation.

  • Standardkonfigurationen: Sie können ein standardmäßiges Audit-Log zum Datenzugriff angeben Konfiguration in einer Organisation, einem Ordner oder einem Google Cloud-Projekt gilt für zukünftige Google Cloud-Dienste, die beginnen, Daten Auf Audit-Logs zugreifen Anweisungen finden Sie unter Legen Sie die Standardkonfiguration fest.

  • Berechtigungstypen: Sie können angeben, dass Google Cloud APIs, die nur auf eine bestimmte Berechtigungsart prüfen, ein Audit-Log generieren. Weitere Informationen Weitere Informationen Seite.

  • Ausgenommene Hauptkonten: Sie können festlegen, dass die Datenzugriffe bestimmter Hauptkonten nicht aufgezeichnet werden. Beispielsweise haben Sie die Möglichkeit, die Aufzeichnung der Cloud Monitoring-Vorgänge für Ihre internen Testkonten auszuschließen. Eine Liste gültiger Hauptkonten, einschließlich Nutzer und Gruppen, sieh dir die Binding-Typreferenz.

Sie können Audit-Logs zum Datenzugriff über die IAM Seite Audit-Logs der Google Cloud Console oder mithilfe der API. Diese Methoden werden in den folgenden Abschnitten erläutert.

Berechtigungstypen

API-Methoden prüfen IAM-Berechtigungen. IAM-Berechtigungen haben die Eigenschaft type, deren Wert einer der folgenden Berechtigungstypen ist:

  • ADMIN_READ: Bei IAM-Berechtigungen dieses Typs wird geprüft, ob Google Cloud API-Methoden Metadaten oder Konfigurationsinformationen lesen.

  • DATA_READ: IAM-Berechtigungen dieses Typs werden für Google Cloud API-Methoden geprüft, mit denen von Nutzern bereitgestellte Daten gelesen werden.

  • DATA_WRITE: IAM-Berechtigungen dieses Typs werden geprüft Google Cloud API-Methoden, die von Nutzern bereitgestellte Daten schreiben

  • ADMIN_WRITE: IAM-Berechtigungen dieses Typs werden geprüft Google Cloud API-Methoden, die Metadaten oder Konfigurationen schreiben Informationen. Die mit diesem Typ verknüpften Audit-Logs Audit-Logs zur Administratoraktivität sind standardmäßig aktiviert und können nicht deaktiviert werden.

Die meisten Google Cloud APIs prüfen nur eine einzige IAM-Berechtigung. Wenn Sie den mit der Berechtigung verknüpften Typ für den Dienst aktivieren, wird das Protokoll für die aufgerufene Methode aktiviert.

Sie können Berechtigungstypen für Dienste aktivieren oder deaktivieren, indem Sie die Google Cloud Console oder durch Aufrufen der API.

In den folgenden Abschnitten werden allgemein andere Möglichkeiten beschrieben, wie Google Cloud API-Methoden auf IAM-Berechtigungen prüfen. Dienstspezifische Informationen dazu, welche Methoden auf welche Berechtigungstypen geprüft werden, finden Sie in der Dokumentation zum Audit-Logging des Dienstes.

Prüfung der IAM-Berechtigungen auf Berechtigungstypen für Datenzugriff

Einige Google Cloud API-Methoden prüfen, ob ein Hauptkonto mehrere IAM-Berechtigungen mit unterschiedlichen Berechtigungstypen. Ein Audit-Log geschrieben, wenn einer der Berechtigungstypen, die mit einem IAM verknüpft sind, Die Berechtigung ist für das Projekt aktiviert, auf das der API-Aufruf abzielt.

Beispielsweise kann eine API-Methode prüfen, ob das Hauptkonto, das eine API ausstellt, Anfrage hat die Berechtigungen example.resource.get (DATA_READ) und example.resource.write (DATA_WRITE). Das Projekt benötigt nur entweder DATA_WRITE oder DATA_READ ist aktiviert, damit der Dienst das Audit-Log ausgibt, wenn der den Anruf durchführt.

Geprüfte IAM-Berechtigungstypen für Administratoraktivitäten und Datenzugriff

Bei einigen Google Cloud API-Methoden wird sowohl eine IAM-Berechtigung mit dem Berechtigungstyp ADMIN_WRITE als auch eine oder mehrere Berechtigungen mit dem Berechtigungstyp „Datenzugriff“ geprüft. Diese Arten von API-Aufrufen Audit-Logs zur Administratoraktivität ausgeben, die sind standardmäßig aktiviert und können nicht deaktiviert werden.

API-Methode zur Prüfung von IAM-Berechtigungen, die nicht dem Dienst gehören

Einige Google Cloud-Dienste haben API-Methoden, die eine IAM-Berechtigung eines anderen Dienstes. In diesem Fall Berechtigungstyp muss für den Dienst aktiviert sein, zu dem das IAM gehört Berechtigung, um das mit der API-Methode verknüpfte Audit-Log zu aktivieren aufgerufen wird.

Cloud Billing bietet beispielsweise eine API-Methode, die nach einem ADMIN_READ sucht. Berechtigungstyp, der Resource Manager gehört. ADMIN_READ muss für den Dienst cloudresourcemanager.googleapis.com aktiviert sein, damit das mit der Cloud Billing API verknüpfte Audit-Log aktiviert werden kann.

Für dieselbe API-Methode werden unterschiedliche IAM-Berechtigungen geprüft

Einige Google Cloud APIs prüfen unterschiedliche IAM-Berechtigungen mit unterschiedlichen Berechtigungstypen, je nachdem, wie die API-Methoden aufgerufen werden. Eine Audit-Logs werden geschrieben, wenn einer der IAM-Berechtigungstypen für das Projekt aktiviert ist, auf das der API-Aufruf abzielt.

Spanner hat beispielsweise eine API-Methode, die je nach Aufruf der Methode manchmal auf eine IAM-Berechtigung vom Typ DATA_WRITE und manchmal auf eine IAM-Berechtigung vom Typ DATA_READ prüft. In diesem Fall wird durch die Aktivierung von DATA_WRITE für Spanner im Projekt, in dem der API-Aufruf erfolgt, das mit der API verknüpfte Audit-Log nur aktiviert, wenn die IAM-Berechtigung vom Typ DATA_WRITE geprüft wird.

Dienstspezifische Konfigurationen

Wenn sowohl eine Konfiguration für alle Google Cloud-Dienste (allServices) als auch eine Konfiguration für einen bestimmten Google Cloud-Dienst vorhanden ist, werden für die endgültige Konfiguration des Dienstes beide Konfigurationen zusammengefasst. Dies bedeutet:

  • Sie können Audit-Logs zum Datenzugriff für bestimmte Google Cloud-Dienste aktivieren, aber keine Audit-Logs zum Datenzugriff für Google Cloud-Dienste deaktivieren, die in der umfassenderen Konfiguration aktiviert sind.

  • Sie können einem Audit-Log zum Datenzugriff eines Google Cloud-Dienstes zusätzliche Informationsarten hinzufügen, aber keine Informationsarten entfernen, die in der umfassenderen Konfiguration festgelegt sind.

  • Sie können Prinzipale zu Ausnahmelisten hinzufügen, aber keine Prinzipale aus den Ausnahmelisten der umfassenderen Konfiguration entfernen.

  • Für BigQuery Data Transfer Service wird die Konfiguration von Audit-Logs zum Datenzugriff von der Standardkonfiguration für Audit-Logs übernommen.

Google Cloud-Ressourcenkonfigurationen

Audit-Logs zum Datenzugriff können für Google Cloud-Projekte, Rechnungskonten, Ordner und Organisationen konfiguriert werden. Wenn eine Konfiguration für eine Google Cloud-Dienst in der gesamten Hierarchie an, dann werden die Konfiguration ist die Vereinigung der Konfigurationen. Mit anderen Worten: Google Cloud-Projektebene:

  • Sie können Logs für einen Google Cloud-Dienst aktivieren, aber keine Logs für einen Google Cloud-Dienst deaktivieren, die in einer übergeordneten Organisation oder einem übergeordneten Ordner aktiviert sind.

  • Sie können Informationsarten aktivieren, aber keine Informationsarten deaktivieren, die in einer übergeordneten Organisation oder einem übergeordneten Ordner aktiviert sind.

  • Sie können Prinzipale zu Ausnahmelisten hinzufügen, aber sie nicht aus den Ausnahmelisten einer übergeordneten Organisation oder eines übergeordneten Ordners entfernen.

  • Auf übergeordneter Organisations- oder Ordnerebene können Sie die Datenzugriffsüberprüfung aktivieren Logs für ein Google Cloud-Projekt innerhalb dieser Organisation wenn im Google Cloud-Projekt

Zugriffssteuerung

Der Zugriff auf Logging-Daten wird von IAM-Rollen und -Berechtigungen (Identity and Access Management) gesteuert. Dazu gehört auch das Aufrufen und Verwalten der IAM-Richtlinien, die den Daten-Audit-Logging-Konfigurationen zugrunde liegen.

Wenn Sie die mit der Datenzugriffskonfiguration verknüpften Richtlinien aufrufen oder festlegen möchten, benötigen Sie eine Rolle mit Berechtigungen auf der entsprechenden Ressourcenebene. Eine Anleitung zum Zuweisen dieser Rollen auf Ressourcenebene finden Sie unter Zugriff auf Google Cloud-Projekte, Ordner und Organisationen verwalten.

  • Zum Festlegen von IAM-Richtlinien benötigen Sie eine Rolle mit der Berechtigung resourcemanager.RESOURCE_TYPE.setIamPolicy.

  • Zum Anzeigen von IAM-Richtlinien benötigen Sie eine Rolle mit der Berechtigung resourcemanager.RESOURCE_TYPE.getIamPolicy.

Eine Liste der Berechtigungen und Rollen, die Sie zum Aufrufen von Audit-Logs zum Datenzugriff benötigen, finden Sie unter Zugriffssteuerung mit IAM.

Audit-Logs zum Datenzugriff mit der Google Cloud Console konfigurieren

In diesem Abschnitt wird erläutert, wie Sie Datenzugriffs-Audit-Logs mithilfe der Google Cloud Console konfigurieren.

Sie können die entsprechenden Aufgaben auch programmatisch mit der API oder der Google Cloud CLI ausführen. Weitere Informationen finden Sie unter Audit-Logs zum Datenzugriff mit der API konfigurieren.

So rufen Sie die Konfigurationsoptionen für Audit-Logs in der Google Cloud Console auf:

  1. Rufen Sie in der Google Cloud Console die Seite Audit-Logs auf:

    Zu Audit-Logs

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM und Verwaltung ist.

  2. Wählen Sie ein vorhandenes Google Cloud-Projekt, einen Ordner oder eine Organisation aus.

Audit-Logs aktivieren

So aktivieren Sie Audit-Logs zum Datenzugriff:

  1. Wählen Sie in der Tabelle Konfiguration der Audit-Logs zum Datenzugriff mindestens einen Eintrag aus. Google Cloud-Dienste aus der Spalte Dienst aus.

  2. Wählen Sie auf dem Tab Logtypen die Audit-Logtypen zum Datenzugriff aus, die Sie für die ausgewählten Dienste aktivieren möchten.

  3. Klicken Sie auf Speichern.

Wenn Sie Audit-Logs aktiviert haben, enthält die Tabelle ein Häkchensymbol.

Im folgenden Beispiel sehen Sie, dass für den Dienst „Zugriffsberechtigung“ der Audit-Log-Typ Daten lesen aktiviert ist:

Konfiguration von Audit-Logs

Sie können auch Audit-Logs für alle Google Cloud-Dienste aktivieren, die Audit-Logs zum Datenzugriff erstellen. Wählen Sie in der Tabelle Konfiguration für Logs zum Datenzugriff alle Google Cloud-Dienste aus.

Beachten Sie, dass diese Bulk-Konfigurationsmethode nur für die Google Cloud-Dienste gilt, die derzeit für Ihre Ressource verfügbar sind. Wenn ein neuer Google Cloud-Dienst hinzugefügt wird, übernimmt dieser die Audit-Standardkonfiguration.

Audit-Logs zum Datenzugriff deaktivieren

So deaktivieren Sie Audit-Logs zum Datenzugriff:

  1. Wählen Sie in der Tabelle Konfiguration für Audit-Logs zum Datenzugriff einen oder mehrere Google Cloud-Dienste aus.

  2. Wählen Sie auf dem Tab Log-Typen im Informationsfenster die Option für den Datenzugriff aus. Audit-Logtypen, die Sie für die ausgewählten Dienste deaktivieren möchten.

  3. Klicken Sie auf Speichern.

Wenn Sie Audit-Logs zum Datenzugriff deaktiviert haben, sehen Sie in der Tabelle mit einem Bindestrich. Alle aktivierten Audit-Logs zum Datenzugriff sind mit einem Häkchensymbol.

Ausnahmen festlegen

Sie können Ausnahmen festlegen, um zu steuern, welche Hauptkonten Daten generieren Auf Audit-Logs für bestimmte Dienste zugreifen Wenn Sie ein ausgenommenes Hauptkonto hinzufügen, Für die ausgewählten Logtypen werden keine Audit-Logs erstellt.

So legen Sie Ausnahmen fest:

  1. Wählen Sie in der Tabelle Konfiguration von Audit-Logs zum Datenzugriff in der Spalte Dienst einen Google Cloud-Dienst aus.

  2. Wählen Sie im Infobereich den Tab Ausgenommene Hauptkonten aus.

  3. Geben Sie unter Ausgenommenes Hauptkonto hinzufügen das Hauptkonto ein, für das keine Audit-Logs zum Datenzugriff für den ausgewählten Dienst generiert werden sollen.

    Sie können mehrere Hauptkonten hinzufügen, indem Sie so oft wie nötig auf die Schaltfläche Ausgenommenes Hauptkonto hinzufügen klicken.

    Eine Liste der gültigen Hauptkonten, einschließlich Nutzern und Gruppen, finden Sie in der Binding-Typreferenz.

  4. Wählen Sie unter Deaktivierte Logtypen die Audit-Logtypen zum Datenzugriff aus. die Sie deaktivieren möchten.

  5. Klicken Sie auf Speichern.

Wenn Sie einem Dienst erfolgreich ausgenommene Hauptkonten hinzugefügt haben, ist das Feld Data In der Tabelle „Konfiguration von Audit-Logs für den Zugriff“ wird dies mit einer Zahl unter dem Spalte Ausgenommene Hauptkonten:

So entfernen Sie ein Hauptkonto aus der Ausnahmeliste:

  1. Wählen Sie in der Tabelle Konfiguration von Audit-Logs zum Datenzugriff in der Spalte Dienst einen Google Cloud-Dienst aus.

  2. Wählen Sie im Informationsfenster den Tab Ausgenommene Hauptberechtigte aus.

  3. Bewegen Sie den Mauszeiger auf einen Hauptkontonamen und wählen Sie dann „Löschen“ aus .

  4. Wenn der Name des Hauptkontos durchgestrichen angezeigt wird, klicken Sie auf Speichern.

So bearbeiten Sie die Informationen für ein ausgenommenes Hauptkonto:

  1. Wählen Sie in der Tabelle Konfiguration der Audit-Logs zum Datenzugriff eine Google Cloud-Dienst aus der Spalte Dienst aus.

  2. Wählen Sie im Infobereich den Tab Ausgenommene Hauptkonten aus.

  3. maximieren Prinzipalname.

  4. Aktivieren oder deaktivieren Sie die gewünschten Audit-Logtypen für den Nutzer.

  5. Klicken Sie auf Speichern.

Standardkonfiguration festlegen

Sie können eine Konfiguration festlegen, die alle neuen und vorhandenen Google Cloud-Dienste in Ihrem Google Cloud-Projekt, in Ihrem Ordner oder in Ihrer Organisation übernimmt. Die Festlegung dieser Standardkonfiguration gilt, wenn ein neuer Google Cloud-Dienst verfügbar und von Nutzern in Ihrer Organisation verwendet wird: Der Dienst übernimmt die Audit-Logging-Richtlinie, die Sie bereits für andere Google Cloud-Dienste festgelegt haben und sorgt dafür, dass Audit-Logs zum Datenzugriff erfasst werden.

So legen Sie die Standardkonfiguration fest oder bearbeiten sie:

  1. Klicken Sie auf Standardkonfiguration festlegen.

  2. Wählen Sie auf dem Tab Log-Typen im Informationsfenster die Option für den Datenzugriff aus. Audit-Logtypen, die Sie aktivieren oder deaktivieren möchten.

  3. Klicken Sie auf Speichern.

  4. Wählen Sie im Informationsfenster den Tab Ausgenommene Hauptberechtigte aus.

  5. Geben Sie unter Ausgenommenes Hauptkonto hinzufügen das Hauptkonto ein, für das keine Audit-Logs zum Datenzugriff für den ausgewählten Dienst generiert werden sollen.

    Sie können mehrere Hauptkonten hinzufügen, indem Sie so oft wie nötig auf die Schaltfläche Ausgenommenes Hauptkonto hinzufügen klicken.

    Eine Liste der gültigen Hauptkonten, einschließlich Nutzern und Gruppen, finden Sie in der Binding-Typreferenz.

  6. Wählen Sie unter Deaktivierte Logtypen die Audit-Logtypen zum Datenzugriff aus. die Sie deaktivieren möchten.

  7. Klicken Sie auf Speichern.

Audit-Logs zum Datenzugriff mit der API konfigurieren

In diesem Abschnitt wird erläutert, wie Sie mit der API und der gcloud CLI Audit-Logs für den Datenzugriff programmatisch konfigurieren.

Viele dieser Aufgaben können auch über die Google Cloud Console ausgeführt werden. finden Sie unter Audit-Logs zum Datenzugriff mit der Google Cloud Console konfigurieren auf dieser Seite.

IAM-Richtlinienobjekte

Um Audit-Logs zum Datenzugriff mit der API zu konfigurieren, müssen Sie die IAM-Richtlinie, die mit Ihrem Google Cloud-Projekt, Ordner, oder einer Organisation. Die Konfiguration der Audit-Logs befindet sich im Abschnitt auditConfigs der Richtlinie:

"auditConfigs": [
  {
    object(AuditConfig)
  }
]

Weitere Informationen finden Sie unter IAM-Richtlinientyp.

In den folgenden Abschnitten wird das AuditConfig-Objekt genauer erläutert. Gehen Sie bei den API- und gcloud CLI-Befehlen zum Ändern der Konfiguration so vor: Siehe getIamPolicy und setIamPolicy

AuditConfig Objekte

Die Konfiguration der Audit-Logs besteht aus einer Liste mit AuditConfig-Objekten. Mit jedem Objekt werden die Logs für einen Dienst konfiguriert. Sie können mit einem Objekt aber auch eine umfassendere Konfiguration für alle Dienste festlegen. Die Objekte sehen so aus:

{
  "service": SERVICE_NAME,
  "auditLogConfigs": [
    {
      "logType": "ADMIN_READ"
      "exemptedMembers": [ PRINCIPAL,]
    },
    {
      "logType": "DATA_READ"
      "exemptedMembers": [ PRINCIPAL,]
    },
    {
      "logType": "DATA_WRITE"
      "exemptedMembers": [ PRINCIPAL,]
    },
  ]
},

SERVICE_NAME hat einen Wert wie "appengine.googleapis.com" oder den speziellen Wert "allServices". Wenn ein bestimmter Dienst in einer Konfiguration nicht angegeben ist, wird für diesen Dienst die umfassendere Konfiguration verwendet. Wenn keine Konfiguration vorhanden ist, sind für diesen Dienst keine Audit-Logs zum Datenzugriff aktiviert. Eine Liste der Dienstnamen finden Sie unter Logdienste.

Der auditLogConfigs-Abschnitt des AuditConfig-Objekts ist eine Liste von 0 bis 3 Objekten, von denen jedes eine Art von Audit-Loginformationen konfiguriert. Wenn Sie eine Art in der Liste weglassen, wird diese Art von Informationen nicht für den Dienst aktiviert.

PRINCIPAL ist ein Nutzer, für den keine Audit-Logs für den Datenzugriff erfasst werden. Die Mit dem Binding-Typ werden verschiedene Arten von Hauptkonten beschrieben, darunter: Nutzer und Gruppen, aber nicht alle können zum Konfigurieren des Datenzugriffs verwendet werden Audit-Logs.

Das folgende Beispiel zeigt eine Audit-Log-Konfiguration im JSON- und YAML-Format. Wenn Sie die Google Cloud CLI verwenden, wird standardmäßig das YAML-Format verwendet.

JSON

"auditConfigs": [
  {
    "auditLogConfigs": [
      {
        "logType": "ADMIN_READ"
      },
      {
        "logType": "DATA_WRITE"
      },
      {
        "logType": "DATA_READ"
      }
    ],
    "service": "allServices"
  },
  {
    "auditLogConfigs": [
      {
        "exemptedMembers": [
          "499862534253-compute@developer.gserviceaccount.com"
        ],
        "logType": "ADMIN_READ"
      }
    ],
    "service": "cloudsql.googleapis.com"
  }
],

YAML

auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices
- auditLogConfigs:
  - exemptedMembers:
    - 499862534253-compute@developer.gserviceaccount.com
    logType: ADMIN_READ
  service: cloudsql.googleapis.com

Häufig verwendete Konfigurationen

Nachfolgend werden verschiedene allgemeine Audit-Logkonfigurationen für Google Cloud-Projekte gezeigt.

Alle Audit-Logs zum Datenzugriff aktivieren

Mit dem folgenden Abschnitt auditConfigs werden Audit-Logs zum Datenzugriff für alle Dienste und Hauptkonten:

JSON

"auditConfigs": [
      {
        "service": "allServices",
        "auditLogConfigs": [
          { "logType": "ADMIN_READ" },
          { "logType": "DATA_READ"  },
          { "logType": "DATA_WRITE" },
        ]
      },
    ]

YAML

auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices

Einen Dienst und eine Informationsart aktivieren

Mit der folgenden Konfiguration werden DATA_WRITE-Audit-Logs für den Datenzugriff für Cloud SQL aktiviert:

JSON

"auditConfigs": [
  {
    "service": "cloudsql.googleapis.com",
    "auditLogConfigs": [
      { "logType": "DATA_WRITE" },
    ]
  },
]

YAML

auditConfigs:
- auditLogConfigs:
  - logType: DATA_WRITE
  service: cloudsql.googleapis.com

Alle Audit-Logs zum Datenzugriff deaktivieren

Wenn Sie innerhalb eines Google Cloud-Projekts alle Audit-Logs für den Datenzugriff – außer für BigQuery – deaktivieren möchten, fügen Sie in die neue IAM-Richtlinie einen leeren Abschnitt auditConfigs: ein:

JSON

"auditConfigs": [],

YAML

auditConfigs:

Wenn Sie den Abschnitt auditConfigs vollständig aus der neuen Richtlinie entfernen, wird die vorhandene Konfiguration der Audit-Logs zum Datenzugriff von setIamPolicy nicht geändert. Weitere Informationen finden Sie im Abschnitt Aktualisierungsmaske „setIamPolicy“.

Für BigQuery können Audit-Logs zum Datenzugriff nicht deaktiviert werden.

getIamPolicy und setIamPolicy

Sie verwenden die Methoden getIamPolicy und setIamPolicy der Cloud Resource Manager API, um Folgendes zu lesen: und schreiben Sie Ihre IAM-Richtlinie. Sie können aus mehreren Methoden wählen:

  • Die Cloud Resource Manager API bietet folgende Methoden:

    projects.getIamPolicy
    projects.setIamPolicy
    organizations.getIamPolicy
    organizations.setIamPolicy
    
  • Die Google Cloud CLI bietet folgende Resource Manager-Befehle:

    gcloud projects get-iam-policy
    gcloud projects set-iam-policy
    gcloud resource-manager folders get-iam-policy
    gcloud resource-manager folders set-iam-policy
    gcloud organizations get-iam-policy
    gcloud organizations set-iam-policy
    gcloud beta billing accounts get-iam-policy
    gcloud beta billing accounts set-iam-policy
    

Führen Sie ungeachtet Ihrer Wahl die folgenden drei Schritte aus:

  1. Lesen Sie die aktuelle Richtlinie mit einer getIamPolicy-Methode. Speichern Sie die Richtlinie in einer temporären Datei.
  2. Bearbeiten Sie die Richtlinie in der temporären Datei. Ändern Sie nur den Abschnitt auditConfigs bzw. fügen Sie diesen hinzu.
  3. Schreiben Sie die bearbeitete Richtlinie mit einer setIamPolicy-Methode in die temporäre Datei.

Wenn vom Resource Manager festgestellt wird, dass die Richtlinie von einem anderen Nutzer geändert wurde, nachdem Sie sie im ersten Schritt gelesen haben, schlägt setIamPolicy fehl. Wiederholen Sie in diesem Fall die drei Schritte.

Beispiele

Die folgenden Beispiele zeigen, wie Sie die Datenzugriffs-Audit-Logs Ihres Projekts mit dem Befehl gcloud und der Cloud Resource Manager API konfigurieren.

Damit Sie Audit-Logs für den Datenzugriff für die Organisation konfigurieren können, ersetzen Sie die Projektversion der Befehle und API-Methoden durch die Organisationsversion.

gcloud

So konfigurieren Sie mit dem Befehl gcloud projects Audit-Logs zum Datenzugriff:

  1. Lesen Sie die IAM-Richtlinie des Projekts und speichern Sie sie in einer Datei:

    gcloud projects get-iam-policy PROJECT_ID > /tmp/policy.yaml
    

    Unten sehen Sie die zurückgegebene Richtlinie. Diese Richtlinie enthält noch nicht den Abschnitt auditConfigs:

    bindings:
    - members:
      - user:colleague@example.com
      role: roles/editor
    - members:
      - user:myself@example.com
      role: roles/owner
    etag: BwVM-FDzeYM=
    version: 1
    
  2. Bearbeiten Sie die Richtlinie in /tmp/policy.yaml, wobei Sie nur die Konfiguration der Audit-Logs zum Datenzugriff hinzufügen oder ändern.

    Nachstehend sehen Sie ein Beispiel für die bearbeitete Richtlinie, mit der Audit-Logs für Schreibvorgänge bei Datenzugriffen in Cloud SQL aktiviert werden. Am Anfang wurden vier Zeilen hinzugefügt:

    auditConfigs:
    - auditLogConfigs:
      - logType: DATA_WRITE
      service: cloudsql.googleapis.com
    bindings:
    - members:
      - user:colleague@example.com
      role: roles/editor
    - members:
      - user:myself@example.com
      role: roles/owner
    etag: BwVM-FDzeYM=
    version: 1
    
  3. Schreiben Sie die neue IAM-Richtlinie:

    gcloud projects set-iam-policy PROJECT_ID /tmp/policy.yaml
    

    Wenn durch den vorangegangenen Befehl ein Konflikt mit einer anderen Änderung ausgelöst wird, wiederholen Sie diese Schritte ab Punkt 1.

JSON

Um mit Ihrer IAM-Richtlinie im JSON-Format anstelle von YAML zu arbeiten, ersetzen Sie die folgenden gcloud-Befehle im Beispiel:

gcloud projects get-iam-policy PROJECT_ID --format=json >/tmp/policy.json
gcloud projects set-iam-policy PROJECT_ID /tmp/policy.json

API

So konfigurieren Sie Audit-Logs für den Datenzugriff mit der Cloud Resource Manager API:

  1. Lesen Sie die IAM-Richtlinie des Projekts und legen Sie für die API-Methode "getIamPolicy" die folgenden Parameter fest:

    • Ressource: projects/PROJECT_ID
    • Anfragetext: leer

    Die Methode gibt wie unten dargestellt das aktuelle Richtlinienobjekt zurück. Die Richtlinie für dieses Projekt hat noch nicht den Abschnitt auditConfigs:

    {
      "version": 1,
      "etag": "BwXqwxkr40M=",
      "bindings": [
        {
          "role": "roles/owner",
          "members": [
            "user:myself@example.com"
          ]
        }
      ]
    }
    
  2. Bearbeiten Sie die aktuelle Richtlinie:

    • Ändern Sie den Abschnitt auditConfigs oder fügen Sie ihn hinzu.

      Um die Audit-Logs zum Datenzugriff zu deaktivieren, fügen Sie einen leeren Wert für den Abschnitt auditConfigs:[] ein.

    • Übernehmen Sie den Wert von etag.

    Sie können auch alle anderen Informationen aus dem neuen Richtlinienobjekt entfernen, sofern Sie im nächsten Schritt updateMask festlegen. Im Folgenden ist die bearbeitete Richtlinie dargestellt, mit der Audit-Logs für Schreibvorgänge bei Datenzugriffen in Cloud SQL aktiviert werden:

    {
      "policy": {
        "auditConfigs": [
          {
            "auditLogConfigs": [
              {
                "logType": "DATA_WRITE"
              }
            ],
            "service": "cloudsql.googleapis.com"
          }
        ],
        "etag": "BwXqwxkr40M="
      },
      "updateMask": "auditConfigs,etag"
    }
    
  3. Schreiben Sie die neue Richtlinie mit der API-Methode "setIamPolicy". Geben Sie dabei die folgenden Parameter an:

    • Ressource: projects/PROJECT_ID
    • Anfragetext: Fügen Sie die bearbeitete Richtlinie ein.

Die Aktualisierungsmaske setIamPolicy.

In diesem Abschnitt wird die Bedeutung des Parameters updateMask in der Methode setIamPolicy-Methode und erklärt, warum Sie bei der Verwendung der gcloud-Befehlszeile set-iam-policy, damit Sie keine versehentlichen Schäden an Ihrem Google Cloud-Projekt oder Ihrer Organisation entstehen.

Bei der setIamPolicy API method legt der Parameter updateMask fest, welche Richtlinienfelder aktualisiert werden. Wenn die Maske beispielsweise keinen Wert für bindings enthält, kann dieser Richtlinienabschnitt nicht versehentlich geändert werden. Enthält die Maske dagegen einen Wert für bindings, dann wird dieser Abschnitt immer aktualisiert. Wenn Sie keinen geänderten Wert für bindings angeben, wird dieser Abschnitt vollständig aus der Richtlinie entfernt.

Mit dem Befehl gcloud projects set-iam-policy, der setIamPolicy aufruft, können Sie den Parameter updateMask nicht festlegen. Stattdessen wird mit dem Befehl folgendermaßen ein Wert für updateMask berechnet:

  • updateMask enthält immer die Felder bindings und etag.
  • Wenn das in set-iam-policy angegebene Richtlinienobjekt andere Felder der obersten Ebene wie auditConfigs enthält, werden diese Felder zu updateMask hinzugefügt.

Der Befehl set-iam-policy verhält sich aufgrund dieser Regeln wie im Folgenden dargestellt.

  • Wenn Sie den Abschnitt auditConfigs in der neuen Richtlinie weglassen, bleibt der vorherige Wert des Abschnitts auditConfigs (falls vorhanden) erhalten, da dieser Abschnitt nicht Teil der Aktualisierungsmaske ist. Dies hat keine Auswirkung, kann aber verwirrend sein.

  • Wenn Sie bindings im neuen Richtlinienobjekt weglassen, wird der Abschnitt bindings aus der Richtlinie entfernt, da dieser Abschnitt in der Aktualisierungsmaske enthalten ist. Das ist sehr schädlich und führt dazu, dass alle Hauptkonten den Zugriff verlieren mit Ihrem Google Cloud-Projekt verknüpfen.

  • Wenn Sie etag im neuen Richtlinienobjekt weglassen, wird die Richtlinie nicht mehr auf gleichzeitig vorgenommene Änderungen überprüft und Ihre Änderungen überschreiben möglicherweise die Änderungen eines anderen Nutzers.