監査ログ

このページでは、VPC Service Controls で監査ロギングを使用する方法について説明します。

デフォルトでは、VPC Service Controls はセキュリティ ポリシーの違反で拒否されたすべてのアクセスを Cloud Logging に記録します。監査ログレコードは、Google のインフラストラクチャに安全に保存され、分析に利用されます。 生成されたレコードの受信者は 1 つだけで、 この受信者だけがレコードにアクセスでき、他のエンティティからは見えません。プロジェクト、フォルダ、組織が受信者になります。

Google Cloud Console では、監査ログの内容がプロジェクト単位に表示されます。VPC Service Controls の監査ログは、監査対象リソースのロギング ストリームに書き込まれ、Cloud Logging で利用できます。

監査ログレコードの生成

セキュリティ ポリシーの違反で拒否されたリクエストに、複数の監査レコードが生成される場合があります。生成されるレコードは同一ですが、それぞれ受信者が異なります。通常、各リクエストには多くのリソース URL が含まれています。このようなリソースには所有者がいます(所有者はプロジェクト、フォルダまたは組織です)。VPC Service Control API は、失敗したリクエストに関係している各リソースの所有者を特定し、所有者ごとにレコードを生成します。

監査ログレコードの内容

監査ログレコードには 2 種類の情報が含まれます。1 つは元の呼び出しに関する情報、もう 1 つはセキュリティ ポリシー違反に関する情報です。VPC Service Controls API が記録する情報は次のとおりです。

監査ログフィールド 意味
service_name この監査レコードを作成した呼び出しを処理したサービスの名前。
method_name このレコードに含まれるセキュリティ ポリシー違反の原因となったメソッド呼び出しの名前。
authentication_info.principal_email 元の呼び出しを開始したユーザーのメールアドレス。
resource_name この監査レコードの受信者(プロジェクト、フォルダまたは組織)
request_metadata.caller_ip 呼び出しを開始した IP アドレス。
request_metadata.caller_is_gce_client 元の呼び出しが Compute Engine ネットワークから行われた場合は True。 それ以外の場合は false。
request_metadata.caller_gce_network_project_number 呼び出しが Compute Engine ネットワークから行われた場合は、元の呼び出しを開始した Compute Engine ネットワークのプロジェクト番号。
request_metadata.caller_internal_gce_vnid 呼び出しが Compute Engine ネットワークから行われた場合は、Compute Engine の呼び出し側の内部 VNID。
status このレコードに記録されているオペレーションの全体的な処理状況。
metadata google.cloud.audit.VpcServiceControlAuditMetadata protobuf タイプのインスタンス。JSON 構造体としてシリアル化されています。resource_names フィールドには、失敗した VPC Service Controls ポリシー チェックに関係するリソース URL のリストが保存されます。

監査ログへのアクセス

Google Cloud Console では、監査ログの内容がプロジェクト単位に表示されます。VPC Service Controls の監査ログは、監査対象リソースのロギング ストリームに書き込まれ、Cloud Logging で利用できます。