Cloud 稽核記錄搭配 Cloud Storage

本頁提供使用 Cloud 稽核記錄搭配 Cloud Storage 的補充資訊。您可以針對在 Cloud Storage 中執行的 API 作業,使用 Cloud 稽核記錄功能產生記錄。如要設定 Cloud 稽核記錄,請參閱設定資料存取記錄

記錄資訊

Cloud 稽核記錄中有兩種類型的記錄:

  • 管理員活動記錄:其中的項目為專案、值區或者物件的設定/中繼資料的修改作業記錄。

  • 資料存取記錄:其中的項目為物件修改作業或專案、值區或物件的讀取作業記錄。資料存取記錄具有以下幾種子類型:

    • ADMIN_READ:其中的項目為專案、值區或者物件的設定/中繼資料的讀取作業記錄。

    • DATA_READ:其中的項目為物件的讀取作業記錄。

    • DATA_WRITE:其中的項目為物件的建立或修改作業記錄。

下表大致列出了各項 Cloud Storage 作業所屬的記錄類型:

記錄項目類型 子類型 作業
管理員活動
  • 建立值區
  • 刪除值區
  • 設定/變更 IAM 政策
  • 設定/變更物件 ACL
  • 更新值區中繼資料
資料存取權 ADMIN_READ
  • 取得值區中繼資料
  • 取得 IAM 政策
  • 取得物件 ACL
  • 列出值區
DATA_READ
  • 取得物件資料
  • 取得物件中繼資料
  • 列出物件
  • 複製/編寫物件1
DATA_WRITE
  • 建立物件
  • 刪除物件2
  • 更新非 ACL 物件中繼資料2
  • 複製/編寫物件1

1 複製和編寫皆為可部分完成的作業:兩者都可以讀取及寫入資料,因此會產生兩筆記錄項目。

2 Cloud 稽核記錄不會記錄物件生命週期管理功能的動作。如需瞭解追蹤這些動作的替代做法,請參閱追蹤生命週期動作的選項

Cloud Storage 記錄使用 AuditLog 物件,並遵循與其他 Cloud 稽核記錄相同的格式。記錄包含以下資訊:

  • 發出要求的使用者,包括該使用者的電子郵件地址。
  • 發出要求的資源名稱。
  • 要求的結果。

記錄設定

服務 storage.googleapis.com 會產生與 Cloud Storage 作業相關的記錄。

根據預設,系統會記錄管理員活動記錄。這些記錄不會計入您的記錄擷取配額之中。

根據預設,系統不會記錄與 Cloud Storage 作業相關的資料存取記錄。如要瞭解如何啟用資料存取類型的作業記錄,請參閱設定資料存取記錄一文。請注意,不同於管理員活動記錄,資料存取記錄會計入您的記錄擷取配額之中,並且會影響您需支付的 Stackdriver 記錄費用

存取記錄

下列使用者可查看管理員活動記錄:

下列使用者可查看資料存取記錄:

  • 專案擁有者
  • 具有私密記錄檢視者 IAM 角色的使用者。
  • 具有 logging.privateLogEntries.list IAM 權限的使用者。

如需授予存取權的操作說明,請參閱將 IAM 成員新增至專案一文。

查看記錄

與 Cloud Storage 有關的記錄會分類為資源類型 GCS bucket

您可在 Google Cloud Platform 主控台的活動訊息串中,檢視您專案稽核記錄的摘要。如需更詳細的記錄版本,請參閱記錄檢視器

如需在記錄檢視器篩選記錄的操作說明,請參閱 Cloud 稽核記錄指南

記錄命名

Cloud 稽核記錄會針對所有稽核記錄使用標準記錄名稱。如需瞭解記錄名稱的結構,或參考將記錄名稱用做記錄結果篩選條件的範例,請參閱檢視稽核記錄

條件

將 Cloud 稽核記錄與 Cloud Storage 搭配使用時有以下限制:

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud Storage
需要協助嗎?請前往我們的支援網頁