Cloud Storage에서 Cloud 감사 로그 사용

이 페이지에서는 Cloud Storage에서 Cloud 감사 로그를 사용하는 방법을 보충 설명합니다. Cloud 감사 로그를 사용하면 Cloud Storage에서 수행된 API 작업의 로그를 생성할 수 있습니다. Cloud 감사 로그를 설정하려면 데이터 액세스 로그 구성을 참조하세요.

개요

Google Cloud 서비스는 감사 로그를 작성하여 '누가, 언제, 어디서, 무엇을 했는지'라는 질문에 답하는 데 도움을 줍니다. Cloud 프로젝트에는 프로젝트 내에 있는 리소스의 감사 로그만 있습니다. 폴더, 조직, Cloud Billing 계정과 같은 다른 항목에는 항목 자체의 감사 로그가 있습니다.

Cloud 감사 로그의 일반적인 개요는 Cloud 감사 로그를 참조하세요. Cloud 감사 로그에 대한 자세한 내용은 감사 로그 이해를 참조하세요.

Cloud 감사 로그는 Cloud Storage의 작업에 대해 다음과 같은 감사 로그를 생성합니다.

  • 관리자 활동 로그: 프로젝트, 버킷 또는 객체의 구성이나 메타데이터를 수정하는 작업의 항목입니다.

  • 데이터 액세스 로그: 객체를 수정하거나 프로젝트, 버킷 또는 객체를 읽는 작업의 항목입니다. 데이터 액세스 로그에는 다음과 같은 여러 가지 하위 유형이 있습니다.

    • ADMIN_READ: 프로젝트, 버킷 또는 객체의 구성이나 메타데이터를 읽는 작업에 대한 항목입니다.

    • DATA_READ: 객체를 읽는 작업의 항목입니다.

    • DATA_WRITE: 객체를 만들거나 수정하는 작업에 대한 항목입니다.

감사 대상 작업

다음 표에는 각 감사 로그 유형에 해당하는 Cloud Storage 작업이 요약되어 있습니다.

로그 항목 유형 하위 유형 작업
관리자 활동
  • 버킷 만들기
  • 버킷 삭제
  • IAM 정책 설정/변경
  • 객체 ACL3 변경
  • 버킷 메타데이터 업데이트
데이터 액세스 ADMIN_READ
  • 버킷 메타데이터 가져오기
  • IAM 정책 가져오기
  • 객체 ACL 가져오기
  • 버킷 나열
DATA_READ
  • 객체 데이터 가져오기
  • 객체 메타데이터 가져오기
  • 객체 나열
  • 객체 복사/작성1
DATA_WRITE
  • 객체 만들기
  • 객체 삭제2
  • 비 ACL 객체 메타데이터 업데이트2
  • 객체 복사/작성1

1 객체 복사 및 쓰기에는 데이터 읽기 및 쓰기가 모두 포함됩니다. 따라서 이러한 작업은 각각 2개의 로그 항목을 생성합니다.

2 Cloud 감사 로그는 객체 수명 주기 관리 기능에서 수행된 작업을 로깅하지 않습니다. 이러한 작업을 추적하는 대안은 수명 주기 작업 추적 옵션을 참조하세요.

3 ACL이 객체 생성 시 초기에 설정된 경우 관리자 활동 로그는 생성되지 않습니다. 또한 객체 ACL을 공개로 설정하면 해당 객체 또는 ACL에 대한 읽기 또는 쓰기에 감사 로그가 생성되지 않습니다.

감사 로그 형식

감사 로그 항목에는 다음과 같은 구성요소가 포함됩니다.

  • LogEntry 객체인 로그 항목 자체. 로그 항목 내의 유용한 필드에는 다음이 포함됩니다.

    • logName에는 프로젝트 ID와 감사 로그 유형이 있습니다.
    • resource에는 감사 작업 대상이 있습니다.
    • timeStamp에는 감사 작업 시간이 있습니다.
    • protoPayload에는 감사 정보가 있습니다.
  • 로그 항목의 protoPayload 필드에 AuditLog 객체로 보관되는 감사 로깅 데이터입니다. AuditLog 객체 항목에는 다음과 같은 정보가 포함됩니다.

    • 요청한 사용자(해당 사용자의 이메일 주소 포함)
    • 요청이 수행된 리소스의 이름
    • 요청 결과
    • 선택적으로 자세한 요청 및 응답 정보입니다. 자세한 내용은 세부 감사 로깅 모드를 참조하세요.

이러한 객체의 다른 필드와 필드 해석 방법은 감사 로그 이해를 참조하세요.

로그 이름

logName 필드는 감사 로그를 소유한 Cloud 프로젝트 또는 다른 Google Cloud 항목을 나타내고, 로그 항목에 관리자 활동 또는 데이터 액세스 로깅 데이터가 포함되어 있는지 여부를 나타냅니다. 예를 들어 다음은 프로젝트의 관리자 활동 감사 로그와 데이터 액세스 감사 로그의 로그 이름을 보여줍니다. 변수는 로그와 연결된 프로젝트를 나타냅니다.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

서비스 이름

Cloud Storage 작업과 관련된 로그는 서비스 이름 storage.googleapis.com을 사용합니다.

모든 로깅 서비스에 대한 자세한 내용은 리소스에 서비스 매핑을 참조하세요.

리소스 유형

Cloud Storage와 관련된 로그는 리소스 유형 GCS bucket 아래의 카테고리로 지정됩니다.

다른 리소스 유형 목록은 모니터링 리소스 유형을 참조하세요.

로그 설정

관리자 활동 로그는 기본적으로 기록됩니다. 이 로그는 로그 수집 할당량에 포함되지 않습니다.

Cloud Storage 작업과 관련된 데이터 액세스 로그는 기본적으로 기록되지 않습니다. 데이터 액세스 유형 작업에 대한 로그 사용 방법은 데이터 액세스 로그 구성을 참조하세요. 관리자 활동 로그와 달리 데이터 액세스 로그는 로그 수집 할당량에 포함되며 Cloud Logging 요금에 영향을 미칠 수 있습니다.

로그 액세스

관리자 활동 로그를 볼 수 있는 사용자는 다음과 같습니다.

데이터 액세스 로그를 볼 수 있는 사용자는 다음과 같습니다.

  • 프로젝트 소유자
  • 개인 로그 뷰어 IAM 역할을 가진 사용자
  • logging.privateLogEntries.list IAM 권한을 가진 사용자

액세스 권한 부여 방법은 프로젝트에 IAM 구성원 추가를 참조하세요.

로그 보기

Google Cloud Console의 활동 스트림에서 프로젝트의 감사 로그 요약을 볼 수 있습니다. 감사 로그 항목을 보는 다른 옵션을 알아보려면 감사 로그 보기를 참조하세요.

로그 내보내기

다른 종류의 로그를 내보낼 때와 같은 방법으로 감사 로그를 내보낼 수 있습니다. 로그를 내보내는 방법에 대한 자세한 내용은 로그 내보내기를 참조하세요.

제한사항

Cloud Storage에서 Cloud 감사 로그를 사용하면 다음과 같은 제한 사항이 적용됩니다.

다음 단계