指定服务的审核配置。该配置决定要记录哪些权限类型,以及不记录哪些身份(若有)。AuditConfig 必须具有一个或多个 AuditLogConfig。
如果 allServices
和特定服务都具有 AuditConfig,则系统会将两个 AuditConfig 的并集用于该服务:每个 AuditConfig 中指定的 log_types 将被启用,而每个 AuditLogConfig 中的 exempted_members 将被排除。
具有多个 AuditConfig 的示例政策如下所示:
{
"auditConfigs": [
{
"service": "allServices",
"auditLogConfigs": [
{
"logType": "DATA_READ",
"exemptedMembers": [
"user:jose@example.com"
]
},
{
"logType": "DATA_WRITE"
},
{
"logType": "ADMIN_READ"
}
]
},
{
"service": "sampleservice.googleapis.com",
"auditLogConfigs": [
{
"logType": "DATA_READ"
},
{
"logType": "DATA_WRITE",
"exemptedMembers": [
"user:aliya@example.com"
]
}
]
}
]
}
对于 sampleservice,此政策可为 DATA_READ、DATA_WRITE 和 ADMIN_READ 活动启用日志记录。它还会从 DATA_READ 日志记录中排除 jose@example.com
,从 DATA_WRITE 日志记录中排除 aliya@example.com
。
JSON 表示法 |
---|
{
"service": string,
"auditLogConfigs": [
{
object ( |
字段 | |
---|---|
service |
指定将启用审核日志记录的服务。例如 |
auditLogConfigs[] |
对每种类型权限进行日志记录的配置。 |
AuditLogConfig
提供用于对一种类型的权限进行日志记录的配置。示例:
{
"auditLogConfigs": [
{
"logType": "DATA_READ",
"exemptedMembers": [
"user:jose@example.com"
]
},
{
"logType": "DATA_WRITE"
}
]
}
这会为 DATA_READ 和 DATA_WRITE 活动启用日志记录,同时从日志记录中排除 jose@example.com 的 DATA_READ 活动。
JSON 表示法 |
---|
{
"logType": enum ( |
字段 | |
---|---|
logType |
此配置启用的日志类型。 |
exemptedMembers[] |
指定不会导致对这种权限进行日志记录的身份。遵循与 |