Audit-Logging bei serverlosem VPC-Zugriff

In diesem Dokument wird das Audit-Logging beschrieben, das für den serverlosen VPC-Zugriff ausgeführt wird. Es beschreibt, welche Methoden geprüft werden, und erläutert das Audit-Log, das von den einzelnen Methoden erzeugt wird. Es wird beschrieben, welche Methoden Audit-Logs und den Inhalt der einzelnen Logs generieren. Außerdem werden Methoden ermittelt, die keine Audit-Logs generieren. Google Cloud generiert Audit-Logs, die administrative Aktivitäten und Zugriffsereignisse in Ihren Google Cloud-Ressourcen aufzeichnen. Weitere Informationen finden Sie unter Cloud-Audit-Logs – Übersicht.

Dienstname

Die Audit-Logs für den serverlosen VPC-Zugriff verwenden den Dienstnamen vpcaccess.googleapis.com.

Methoden nach Berechtigungstyp

Methoden, die die Berechtigungen DATA_READ, DATA_WRITE und ADMIN_READ prüfen, generieren Logs, die als Datenzugriffs-Audit-Logs kategorisiert sind. Methoden zur Prüfung von ADMIN_WRITE-Berechtigungen generieren Logs, die als Audit-Logs zur Administratoraktivität kategorisiert sind.

Berechtigungstyp Methoden
ADMIN_READ google.cloud.location.Locations.ListLocations
google.cloud.vpcaccess.v1.VpcAccessService.GetConnector
google.cloud.vpcaccess.v1.VpcAccessService.ListConnectors
google.cloud.vpcaccess.v1beta1.VpcAccessService.GetConnector
google.cloud.vpcaccess.v1beta1.VpcAccessService.ListConnectors
ADMIN_WRITE google.cloud.vpcaccess.v1.VpcAccessService.CreateConnector
google.cloud.vpcaccess.v1.VpcAccessService.DeleteConnector
google.cloud.vpcaccess.v1.VpcAccessService.UpdateConnector
google.cloud.vpcaccess.v1beta1.VpcAccessService.CreateConnector
google.cloud.vpcaccess.v1beta1.VpcAccessService.DeleteConnector
google.cloud.vpcaccess.v1beta1.VpcAccessService.UpdateConnector

Audit-Logs für jede API-Schnittstelle

Weitere Informationen dazu, welche Berechtigungen für jede Methode bewertet werden, finden Sie in der Dokumentation zur Identitäts- und Zugriffsverwaltung für serverlosen VPC-Zugriff.

google.cloud.location.Locations

Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.cloud.location.Locations gehören.

google.cloud.location.Locations.ListLocations

  • Methode: google.cloud.location.Locations.ListLocations
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • vpcaccess.locations.list - ADMIN_READ
  • Methode ist ein lang andauernder oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.location.Locations.ListLocations"

google.cloud.vpcaccess.v1.VpcAccessService

Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.cloud.vpcaccess.v1.VpcAccessService gehören.

google.cloud.vpcaccess.v1.VpcAccessService.CreateConnector

  • Methode: google.cloud.vpcaccess.v1.VpcAccessService.CreateConnector
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • vpcaccess.connectors.create - ADMIN_WRITE
  • Methode ist ein lang andauernder oder Streamingvorgang: Lang andauernder Vorgang
  • Filter für diese Methode: protoPayload.methodName="google.cloud.vpcaccess.v1.VpcAccessService.CreateConnector"

google.cloud.vpcaccess.v1.VpcAccessService.DeleteConnector

  • Methode: google.cloud.vpcaccess.v1.VpcAccessService.DeleteConnector
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • vpcaccess.connectors.delete - ADMIN_WRITE
  • Methode ist ein lang andauernder oder Streamingvorgang: Lang andauernder Vorgang
  • Filter für diese Methode: protoPayload.methodName="google.cloud.vpcaccess.v1.VpcAccessService.DeleteConnector"

google.cloud.vpcaccess.v1.VpcAccessService.GetConnector

  • Methode: google.cloud.vpcaccess.v1.VpcAccessService.GetConnector
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • vpcaccess.connectors.get - ADMIN_READ
  • Methode ist ein lang andauernder oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.vpcaccess.v1.VpcAccessService.GetConnector"

google.cloud.vpcaccess.v1.VpcAccessService.ListConnectors

  • Methode: google.cloud.vpcaccess.v1.VpcAccessService.ListConnectors
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • vpcaccess.connectors.list - ADMIN_READ
  • Methode ist ein lang andauernder oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.vpcaccess.v1.VpcAccessService.ListConnectors"

google.cloud.vpcaccess.v1.VpcAccessService.UpdateConnector

  • Methode: google.cloud.vpcaccess.v1.VpcAccessService.UpdateConnector
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • vpcaccess.connectors.update - ADMIN_WRITE
  • Methode ist ein lang andauernder oder Streamingvorgang: Lang andauernder Vorgang
  • Filter für diese Methode: protoPayload.methodName="google.cloud.vpcaccess.v1.VpcAccessService.UpdateConnector"

google.cloud.vpcaccess.v1beta1.VpcAccessService

Der folgende Abschnitt enthält Details zu Audit-Logs, die Methoden zugeordnet sind, die zu google.cloud.vpcaccess.v1beta1.VpcAccessService gehören.

google.cloud.vpcaccess.v1beta1.VpcAccessService.CreateConnector

  • Methode: google.cloud.vpcaccess.v1beta1.VpcAccessService.CreateConnector
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • vpcaccess.connectors.create - ADMIN_WRITE
  • Methode ist ein lang andauernder oder Streamingvorgang: Lang andauernder Vorgang
  • Filter für diese Methode: protoPayload.methodName="google.cloud.vpcaccess.v1beta1.VpcAccessService.CreateConnector"

google.cloud.vpcaccess.v1beta1.VpcAccessService.DeleteConnector

  • Methode: google.cloud.vpcaccess.v1beta1.VpcAccessService.DeleteConnector
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • vpcaccess.connectors.delete - ADMIN_WRITE
  • Methode ist ein lang andauernder oder Streamingvorgang: Lang andauernder Vorgang
  • Filter für diese Methode: protoPayload.methodName="google.cloud.vpcaccess.v1beta1.VpcAccessService.DeleteConnector"

google.cloud.vpcaccess.v1beta1.VpcAccessService.GetConnector

  • Methode: google.cloud.vpcaccess.v1beta1.VpcAccessService.GetConnector
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • vpcaccess.connectors.get - ADMIN_READ
  • Methode ist ein lang andauernder oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.vpcaccess.v1beta1.VpcAccessService.GetConnector"

google.cloud.vpcaccess.v1beta1.VpcAccessService.ListConnectors

  • Methode: google.cloud.vpcaccess.v1beta1.VpcAccessService.ListConnectors
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • vpcaccess.connectors.list - ADMIN_READ
  • Methode ist ein lang andauernder oder Streamingvorgang: Nr.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.vpcaccess.v1beta1.VpcAccessService.ListConnectors"

google.cloud.vpcaccess.v1beta1.VpcAccessService.UpdateConnector

  • Methode: google.cloud.vpcaccess.v1beta1.VpcAccessService.UpdateConnector
  • Audit-Logtyp: Administratoraktivität
  • Berechtigungen:
    • vpcaccess.connectors.update - ADMIN_WRITE
  • Methode ist ein lang andauernder oder Streamingvorgang: Lang andauernder Vorgang
  • Filter für diese Methode: protoPayload.methodName="google.cloud.vpcaccess.v1beta1.VpcAccessService.UpdateConnector"

Methoden, die keine Audit-Logs generieren

Eine Methode kann aus folgenden Gründen keine Audit-Logs erstellen:

  • Dies ist eine Methode mit hohem Volumen, die erhebliche Loggenerierungs- und Speicherkosten mit sich bringt.
  • Sie hat einen geringen Prüfwert.
  • Ein anderes Audit- oder Plattformlog bietet bereits eine Methodenabdeckung.

Die folgenden Methoden generieren keine Audit-Logs:

  • google.cloud.vpcaccess.v1alpha1.VpcAccessService.HeartbeatConnector