サーバーレス VPC アクセスの監査ロギング

このドキュメントでは、サーバーレス VPC アクセスで実行される監査ロギングについて説明します。監査対象のメソッドと各メソッドで生成される監査ログの詳細について説明します。監査ログを生成するメソッドと各ログの内容について説明します。また、監査ログを生成しないメソッドについても説明します。Google Cloud は、Google Cloud リソース内の管理アクティビティとアクセス イベントを記録する監査ログを生成します。詳しくは、Cloud Audit Logs の概要をご覧ください。

サービス名

サーバーレス VPC アクセスの監査ログでは、サービス名 vpcaccess.googleapis.com が使用されます。

メソッド(権限タイプ別)

DATA_READDATA_WRITEADMIN_READ の各権限を確認するメソッドから生成されるログは、データアクセス監査ログに分類されます。ADMIN_WRITE 権限を確認するメソッドから生成されるログは、管理アクティビティ監査ログに分類されます。

権限タイプ メソッド
ADMIN_READ google.cloud.location.Locations.ListLocations
google.cloud.vpcaccess.v1.VpcAccessService.GetConnector
google.cloud.vpcaccess.v1.VpcAccessService.ListConnectors
google.cloud.vpcaccess.v1beta1.VpcAccessService.GetConnector
google.cloud.vpcaccess.v1beta1.VpcAccessService.ListConnectors
ADMIN_WRITE google.cloud.vpcaccess.v1.VpcAccessService.CreateConnector
google.cloud.vpcaccess.v1.VpcAccessService.DeleteConnector
google.cloud.vpcaccess.v1.VpcAccessService.UpdateConnector
google.cloud.vpcaccess.v1beta1.VpcAccessService.CreateConnector
google.cloud.vpcaccess.v1beta1.VpcAccessService.DeleteConnector
google.cloud.vpcaccess.v1beta1.VpcAccessService.UpdateConnector

各 API インターフェースの監査ログ

各メソッドで評価される権限の詳細については、Identity and Access Management のドキュメントでサーバーレス VPC アクセスの説明をご覧ください。

google.cloud.location.Locations

次のセクションでは、google.cloud.location.Locations に属するメソッドに関連付けられた監査ログについて詳しく説明します。

google.cloud.location.Locations.ListLocations

  • メソッド: google.cloud.location.Locations.ListLocations
  • 監査ログのタイプ: データアクセス
  • 権限:
    • vpcaccess.locations.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.location.Locations.ListLocations"

google.cloud.vpcaccess.v1.VpcAccessService

次のセクションでは、google.cloud.vpcaccess.v1.VpcAccessService に属するメソッドに関連付けられた監査ログについて詳しく説明します。

google.cloud.vpcaccess.v1.VpcAccessService.CreateConnector

  • メソッド: google.cloud.vpcaccess.v1.VpcAccessService.CreateConnector
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • vpcaccess.connectors.create - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.vpcaccess.v1.VpcAccessService.CreateConnector"

google.cloud.vpcaccess.v1.VpcAccessService.DeleteConnector

  • メソッド: google.cloud.vpcaccess.v1.VpcAccessService.DeleteConnector
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • vpcaccess.connectors.delete - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.vpcaccess.v1.VpcAccessService.DeleteConnector"

google.cloud.vpcaccess.v1.VpcAccessService.GetConnector

  • メソッド: google.cloud.vpcaccess.v1.VpcAccessService.GetConnector
  • 監査ログのタイプ: データアクセス
  • 権限:
    • vpcaccess.connectors.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.vpcaccess.v1.VpcAccessService.GetConnector"

google.cloud.vpcaccess.v1.VpcAccessService.ListConnectors

  • メソッド: google.cloud.vpcaccess.v1.VpcAccessService.ListConnectors
  • 監査ログのタイプ: データアクセス
  • 権限:
    • vpcaccess.connectors.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.vpcaccess.v1.VpcAccessService.ListConnectors"

google.cloud.vpcaccess.v1.VpcAccessService.UpdateConnector

  • メソッド: google.cloud.vpcaccess.v1.VpcAccessService.UpdateConnector
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • vpcaccess.connectors.update - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.vpcaccess.v1.VpcAccessService.UpdateConnector"

google.cloud.vpcaccess.v1beta1.VpcAccessService

次のセクションでは、google.cloud.vpcaccess.v1beta1.VpcAccessService に属するメソッドに関連付けられた監査ログについて詳しく説明します。

google.cloud.vpcaccess.v1beta1.VpcAccessService.CreateConnector

  • メソッド: google.cloud.vpcaccess.v1beta1.VpcAccessService.CreateConnector
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • vpcaccess.connectors.create - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.vpcaccess.v1beta1.VpcAccessService.CreateConnector"

google.cloud.vpcaccess.v1beta1.VpcAccessService.DeleteConnector

  • メソッド: google.cloud.vpcaccess.v1beta1.VpcAccessService.DeleteConnector
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • vpcaccess.connectors.delete - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.vpcaccess.v1beta1.VpcAccessService.DeleteConnector"

google.cloud.vpcaccess.v1beta1.VpcAccessService.GetConnector

  • メソッド: google.cloud.vpcaccess.v1beta1.VpcAccessService.GetConnector
  • 監査ログのタイプ: データアクセス
  • 権限:
    • vpcaccess.connectors.get - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.vpcaccess.v1beta1.VpcAccessService.GetConnector"

google.cloud.vpcaccess.v1beta1.VpcAccessService.ListConnectors

  • メソッド: google.cloud.vpcaccess.v1beta1.VpcAccessService.ListConnectors
  • 監査ログのタイプ: データアクセス
  • 権限:
    • vpcaccess.connectors.list - ADMIN_READ
  • メソッドが長時間実行またはストリーミング オペレーションか: どちらでもない。
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.vpcaccess.v1beta1.VpcAccessService.ListConnectors"

google.cloud.vpcaccess.v1beta1.VpcAccessService.UpdateConnector

  • メソッド: google.cloud.vpcaccess.v1beta1.VpcAccessService.UpdateConnector
  • 監査ログのタイプ: 管理アクティビティ
  • 権限:
    • vpcaccess.connectors.update - ADMIN_WRITE
  • メソッドが長時間実行オペレーションかストリーミング オペレーションか: 長時間実行オペレーション
  • このメソッドのフィルタ: protoPayload.methodName="google.cloud.vpcaccess.v1beta1.VpcAccessService.UpdateConnector"

監査ログを生成しないメソッド

メソッドが監査ログを生成しない理由としては、次のいずれかが考えられます。

  • ログを大量に生成し、かなりのストレージ費用が発生するメソッドである。
  • 監査価値が低い。
  • 別の監査ログまたはプラットフォーム ログで同じ範囲のログが出力されている。

次のメソッドは監査ログを生成しません。

  • google.cloud.vpcaccess.v1alpha1.VpcAccessService.HeartbeatConnector