このページでは、VPC Service Controls で監査ロギングを使用する方法について説明します。
デフォルトでは、VPC Service Controls はセキュリティ ポリシーの違反で拒否されたすべてのアクセスを Cloud Logging に記録します。監査ログレコードは、Google のインフラストラクチャに安全に保存され、分析に利用されます。生成されたレコードの受信者は 1 つだけで、この受信者だけがレコードにアクセスでき、他のエンティティからは見えません。プロジェクト、フォルダ、組織が受信者になります。
Google Cloud Console では、監査ログの内容がプロジェクト単位に表示されます。VPC Service Controls の監査ログは、監査対象リソースのロギング ストリームに書き込まれ、Cloud Logging で利用できます。
監査ログレコードの生成
セキュリティ ポリシーの違反で拒否されたリクエストに、複数の監査レコードが生成される場合があります。生成されるレコードは同一ですが、それぞれ受信者が異なります。通常、各リクエストには多くのリソース URL が含まれています。このようなリソースには所有者がいます(所有者はプロジェクト、フォルダまたは組織です)。VPC Service Control API は、失敗したリクエストに関係している各リソースの所有者を特定し、所有者ごとにレコードを生成します。
監査ログレコードの内容
監査ログレコードには 2 種類の情報が含まれます。1 つは元の呼び出しに関する情報、もう 1 つはセキュリティ ポリシー違反に関する情報です。VPC Service Controls API が記録する情報は次のとおりです。
| 監査ログのフィールド | 意味 |
service_name
|
この監査レコードを作成した呼び出しを処理したサービスの名前。 |
method_name
|
このレコードに含まれるセキュリティ ポリシー違反の原因となったメソッド呼び出しの名前。 |
authentication_info.principal_email
|
元の呼び出しを開始したユーザーのメールアドレス。 メールアドレスの一部が削除されている場合があります。詳細については、監査ログの呼び出し元 ID をご覧ください。 |
resource_name
|
この監査レコードの受信者(プロジェクト、フォルダまたは組織) |
request_metadata.caller_ip
|
呼び出しを開始した IP アドレス。 |
request_metadata.caller_is_gce_client
|
元の呼び出しが Compute Engine ネットワークから行われた場合は True。それ以外の場合は False。 |
request_metadata.caller_gce_network_project_number
|
呼び出しが Compute Engine ネットワークから行われた場合は、元の呼び出しを開始した Compute Engine ネットワークのプロジェクト番号。 |
request_metadata.caller_internal_gce_vnid
|
呼び出しが Compute Engine ネットワークから行われた場合は、Compute Engine の呼び出し側の内部 VNID。 |
status
|
このレコードに記録されているオペレーションの全体的な処理ステータス。 |
metadata
|
google.cloud.audit.VpcServiceControlAuditMetadata protobuf タイプのインスタンス。JSON 構造体としてシリアル化されています。resource_names フィールドには、失敗した VPC Service Controls ポリシー チェックに関係するリソース URL のリストが保存されます。 |
監査ログへのアクセス
Google Cloud Console では、監査ログの内容がプロジェクト単位に表示されます。VPC Service Controls の監査ログは、監査対象リソースのロギング ストリームに書き込まれ、Cloud Logging で利用できます。