Registo de auditoria do Cloud Service Mesh
Este documento descreve o registo de auditoria para os serviços do Cloud Service Mesh. Google Cloud Os serviços geram registos de auditoria que registam as atividades administrativas e de acesso nos seus Google Cloud recursos. Para mais informações sobre os registos de auditoria do Cloud, consulte o seguinte:
- Tipos de registos de auditoria
- Estrutura da entrada do registo de auditoria
- Armazenar e encaminhar registos de auditoria
- Resumo dos preços do Cloud Logging
- Ative os registos de auditoria de acesso a dados
Nome do serviço
Os registos de auditoria do Cloud Service Mesh usam o nome do serviço meshconfig.googleapis.com.
Filtrar por este serviço:
protoPayload.serviceName="meshconfig.googleapis.com"
Métodos por tipo de autorização
Cada autorização de IAM tem uma propriedade type, cujo valor é uma enumeração que pode ter um de quatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Quando chama um método, o Cloud Service Mesh gera um registo de auditoria cuja categoria depende da propriedade type da autorização necessária para executar o método.
Os métodos que requerem uma autorização da IAM com o valor da propriedade type de DATA_READ, DATA_WRITE ou ADMIN_READ geram registos de auditoria de acesso aos dados.
Os métodos que requerem uma autorização do IAM com o valor da propriedade type de ADMIN_WRITE generate
Admin Activity registam auditorias.
| Tipo de autorização | Métodos |
|---|---|
ADMIN_WRITE |
google.cloud.meshconfig.v1alpha1.Admin.Initialize |
DATA_READ |
envoy.service.discovery.v3.AggregatedDiscoveryService.StreamAggregatedResourcesgoogle.cloud.meshconfig.v1alpha1.Webhook.Callgoogle.cloud.meshconfig.v1alpha1.Webhook.GatewayInjectgoogle.cloud.meshconfig.v1alpha1.Webhook.Injectgoogle.cloud.meshconfig.v1alpha1.Webhook.ProxylessBootstrapInjectgoogle.cloud.meshconfig.v1alpha1.Webhook.TDInjectgoogle.cloud.meshconfig.v1alpha1.Webhook.Validate |
DATA_WRITE |
envoy.service.load_stats.v3.LoadReportingService.StreamLoadStats |
Registos de auditoria da interface da API
Para obter informações sobre como e que autorizações são avaliadas para cada método, consulte a documentação da gestão de identidade e de acesso para a Cloud Service Mesh.
envoy.service.discovery.v3.AggregatedDiscoveryService
Os seguintes registos de auditoria estão associados a métodos pertencentes a
envoy.service.discovery.v3.AggregatedDiscoveryService.
StreamAggregatedResources
- Método:
envoy.service.discovery.v3.AggregatedDiscoveryService.StreamAggregatedResources - Tipo de registo de auditoria: Acesso a dados
- Autorizações:
meshconfig.projects.get - DATA_READ
- O método é uma operação de longa duração ou de streaming:
RPC de streaming
- Filtre por este método:
protoPayload.methodName="envoy.service.discovery.v3.AggregatedDiscoveryService.StreamAggregatedResources"
envoy.service.load_stats.v3.LoadReportingService
Os seguintes registos de auditoria estão associados a métodos pertencentes a
envoy.service.load_stats.v3.LoadReportingService.
StreamLoadStats
- Método:
envoy.service.load_stats.v3.LoadReportingService.StreamLoadStats - Tipo de registo de auditoria: Acesso a dados
- Autorizações:
meshconfig.projects.report - DATA_WRITE
- O método é uma operação de longa duração ou de streaming:
RPC de streaming
- Filtre por este método:
protoPayload.methodName="envoy.service.load_stats.v3.LoadReportingService.StreamLoadStats"
google.cloud.meshconfig.v1alpha1.Admin
Os seguintes registos de auditoria estão associados a métodos pertencentes a
google.cloud.meshconfig.v1alpha1.Admin.
Initialize
- Método:
google.cloud.meshconfig.v1alpha1.Admin.Initialize - Tipo de registo de auditoria: Atividade do administrador
- Autorizações:
meshconfig.projects.init - ADMIN_WRITE
- O método é uma operação de longa duração ou de streaming:
Não.
- Filtre por este método:
protoPayload.methodName="google.cloud.meshconfig.v1alpha1.Admin.Initialize"
google.cloud.meshconfig.v1alpha1.Webhook
Os seguintes registos de auditoria estão associados a métodos pertencentes a
google.cloud.meshconfig.v1alpha1.Webhook.
Call
- Método:
google.cloud.meshconfig.v1alpha1.Webhook.Call - Tipo de registo de auditoria: Acesso a dados
- Autorizações:
meshconfig.projects.get - DATA_READ
- O método é uma operação de longa duração ou de streaming:
Não.
- Filtre por este método:
protoPayload.methodName="google.cloud.meshconfig.v1alpha1.Webhook.Call"
GatewayInject
- Método:
google.cloud.meshconfig.v1alpha1.Webhook.GatewayInject - Tipo de registo de auditoria: Acesso a dados
- Autorizações:
meshconfig.projects.get - DATA_READ
- O método é uma operação de longa duração ou de streaming:
Não.
- Filtre por este método:
protoPayload.methodName="google.cloud.meshconfig.v1alpha1.Webhook.GatewayInject"
Inject
- Método:
google.cloud.meshconfig.v1alpha1.Webhook.Inject - Tipo de registo de auditoria: Acesso a dados
- Autorizações:
meshconfig.projects.get - DATA_READ
- O método é uma operação de longa duração ou de streaming:
Não.
- Filtre por este método:
protoPayload.methodName="google.cloud.meshconfig.v1alpha1.Webhook.Inject"
ProxylessBootstrapInject
- Método:
google.cloud.meshconfig.v1alpha1.Webhook.ProxylessBootstrapInject - Tipo de registo de auditoria: Acesso a dados
- Autorizações:
meshconfig.projects.get - DATA_READ
- O método é uma operação de longa duração ou de streaming:
Não.
- Filtre por este método:
protoPayload.methodName="google.cloud.meshconfig.v1alpha1.Webhook.ProxylessBootstrapInject"
TDInject
- Método:
google.cloud.meshconfig.v1alpha1.Webhook.TDInject - Tipo de registo de auditoria: Acesso a dados
- Autorizações:
meshconfig.projects.get - DATA_READ
- O método é uma operação de longa duração ou de streaming:
Não.
- Filtre por este método:
protoPayload.methodName="google.cloud.meshconfig.v1alpha1.Webhook.TDInject"
Validate
- Método:
google.cloud.meshconfig.v1alpha1.Webhook.Validate - Tipo de registo de auditoria: Acesso a dados
- Autorizações:
meshconfig.projects.get - DATA_READ
- O método é uma operação de longa duração ou de streaming:
Não.
- Filtre por este método:
protoPayload.methodName="google.cloud.meshconfig.v1alpha1.Webhook.Validate"