サーバーレス VPC アクセスの監査ロギング
このドキュメントでは、サーバーレス VPC アクセスで実行される監査ロギングについて説明します。監査対象のメソッドと各メソッドで生成される監査ログの詳細について説明します。監査ログを生成するメソッドと各ログの内容について説明します。また、監査ログを生成しないメソッドについても説明します。Google Cloud は、Google Cloud リソース内の管理アクティビティとアクセス イベントを記録する監査ログを生成します。詳しくは、Cloud Audit Logs の概要をご覧ください。
サービス名
サーバーレス VPC アクセスの監査ログでは、サービス名 vpcaccess.googleapis.com
が使用されます。
メソッド(権限タイプ別)
DATA_READ
、DATA_WRITE
、ADMIN_READ
の各権限を確認するメソッドから生成されるログは、データアクセス監査ログに分類されます。ADMIN_WRITE
権限を確認するメソッドから生成されるログは、管理アクティビティ監査ログに分類されます。
権限タイプ | メソッド |
---|---|
ADMIN_READ |
google.cloud.location.Locations.ListLocations google.cloud.vpcaccess.v1.VpcAccessService.GetConnector google.cloud.vpcaccess.v1.VpcAccessService.ListConnectors google.cloud.vpcaccess.v1beta1.VpcAccessService.GetConnector google.cloud.vpcaccess.v1beta1.VpcAccessService.ListConnectors |
ADMIN_WRITE |
google.cloud.vpcaccess.v1.VpcAccessService.CreateConnector google.cloud.vpcaccess.v1.VpcAccessService.DeleteConnector google.cloud.vpcaccess.v1.VpcAccessService.UpdateConnector google.cloud.vpcaccess.v1beta1.VpcAccessService.CreateConnector google.cloud.vpcaccess.v1beta1.VpcAccessService.DeleteConnector google.cloud.vpcaccess.v1beta1.VpcAccessService.UpdateConnector |
各 API インターフェースの監査ログ
各メソッドで評価される権限の詳細については、Identity and Access Management のドキュメントでサーバーレス VPC アクセスの説明をご覧ください。
google.cloud.location.Locations
次のセクションでは、google.cloud.location.Locations
に属するメソッドに関連付けられた監査ログについて詳しく説明します。
google.cloud.location.Locations.ListLocations
- メソッド:
google.cloud.location.Locations.ListLocations
- 監査ログのタイプ: データアクセス
- 権限:
vpcaccess.locations.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.cloud.location.Locations.ListLocations"
google.cloud.vpcaccess.v1.VpcAccessService
次のセクションでは、google.cloud.vpcaccess.v1.VpcAccessService
に属するメソッドに関連付けられた監査ログについて詳しく説明します。
google.cloud.vpcaccess.v1.VpcAccessService.CreateConnector
- メソッド:
google.cloud.vpcaccess.v1.VpcAccessService.CreateConnector
- 監査ログのタイプ: 管理アクティビティ
- 権限:
vpcaccess.connectors.create - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.cloud.vpcaccess.v1.VpcAccessService.CreateConnector"
google.cloud.vpcaccess.v1.VpcAccessService.DeleteConnector
- メソッド:
google.cloud.vpcaccess.v1.VpcAccessService.DeleteConnector
- 監査ログのタイプ: 管理アクティビティ
- 権限:
vpcaccess.connectors.delete - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.cloud.vpcaccess.v1.VpcAccessService.DeleteConnector"
google.cloud.vpcaccess.v1.VpcAccessService.GetConnector
- メソッド:
google.cloud.vpcaccess.v1.VpcAccessService.GetConnector
- 監査ログのタイプ: データアクセス
- 権限:
vpcaccess.connectors.get - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.cloud.vpcaccess.v1.VpcAccessService.GetConnector"
google.cloud.vpcaccess.v1.VpcAccessService.ListConnectors
- メソッド:
google.cloud.vpcaccess.v1.VpcAccessService.ListConnectors
- 監査ログのタイプ: データアクセス
- 権限:
vpcaccess.connectors.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.cloud.vpcaccess.v1.VpcAccessService.ListConnectors"
google.cloud.vpcaccess.v1.VpcAccessService.UpdateConnector
- メソッド:
google.cloud.vpcaccess.v1.VpcAccessService.UpdateConnector
- 監査ログのタイプ: 管理アクティビティ
- 権限:
vpcaccess.connectors.update - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.cloud.vpcaccess.v1.VpcAccessService.UpdateConnector"
google.cloud.vpcaccess.v1beta1.VpcAccessService
次のセクションでは、google.cloud.vpcaccess.v1beta1.VpcAccessService
に属するメソッドに関連付けられた監査ログについて詳しく説明します。
google.cloud.vpcaccess.v1beta1.VpcAccessService.CreateConnector
- メソッド:
google.cloud.vpcaccess.v1beta1.VpcAccessService.CreateConnector
- 監査ログのタイプ: 管理アクティビティ
- 権限:
vpcaccess.connectors.create - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.cloud.vpcaccess.v1beta1.VpcAccessService.CreateConnector"
google.cloud.vpcaccess.v1beta1.VpcAccessService.DeleteConnector
- メソッド:
google.cloud.vpcaccess.v1beta1.VpcAccessService.DeleteConnector
- 監査ログのタイプ: 管理アクティビティ
- 権限:
vpcaccess.connectors.delete - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.cloud.vpcaccess.v1beta1.VpcAccessService.DeleteConnector"
google.cloud.vpcaccess.v1beta1.VpcAccessService.GetConnector
- メソッド:
google.cloud.vpcaccess.v1beta1.VpcAccessService.GetConnector
- 監査ログのタイプ: データアクセス
- 権限:
vpcaccess.connectors.get - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.cloud.vpcaccess.v1beta1.VpcAccessService.GetConnector"
google.cloud.vpcaccess.v1beta1.VpcAccessService.ListConnectors
- メソッド:
google.cloud.vpcaccess.v1beta1.VpcAccessService.ListConnectors
- 監査ログのタイプ: データアクセス
- 権限:
vpcaccess.connectors.list - ADMIN_READ
- メソッドが長時間実行またはストリーミング オペレーションか:
どちらでもない。
- このメソッドのフィルタ:
protoPayload.methodName="google.cloud.vpcaccess.v1beta1.VpcAccessService.ListConnectors"
google.cloud.vpcaccess.v1beta1.VpcAccessService.UpdateConnector
- メソッド:
google.cloud.vpcaccess.v1beta1.VpcAccessService.UpdateConnector
- 監査ログのタイプ: 管理アクティビティ
- 権限:
vpcaccess.connectors.update - ADMIN_WRITE
- メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
- このメソッドのフィルタ:
protoPayload.methodName="google.cloud.vpcaccess.v1beta1.VpcAccessService.UpdateConnector"
監査ログを生成しないメソッド
メソッドが監査ログを生成しない理由としては、次のいずれかが考えられます。
- ログを大量に生成し、かなりのストレージ費用が発生するメソッドである。
- 監査価値が低い。
- 別の監査ログまたはプラットフォーム ログで同じ範囲のログが出力されている。
次のメソッドは監査ログを生成しません。
google.cloud.vpcaccess.v1alpha1.VpcAccessService.HeartbeatConnector