本頁說明使用 Access Context Manager 保護Google Cloud 控制台和 Google Cloud API 時,稽核記錄的運作方式。
根據預設,Access Context Manager 會將違反安全性政策而遭拒的所有存取要求,記錄至 Cloud Logging。這些要求包括存取Google Cloud 控制台和 Google Cloud API 的要求。稽核記錄會妥善存放在 Google 基礎架構中,供日後分析之用。在Google Cloud 控制台中,每項機構的稽核記錄內容是分開的。Access Context Manager 稽核記錄會寫入「已稽核的資源」記錄串流中,並可透過 Cloud Logging 查看。
稽核記錄內容
每筆稽核記錄都包含兩大類別的資訊:原始呼叫的相關資訊,以及安全性政策違規相關資訊。填寫方式如下:
| 稽核記錄欄位 | 意義 |
logName
|
機構識別資訊和稽核記錄類型。 |
serviceName
|
針對導致這筆稽核記錄產生的呼叫,提供負責處理這個呼叫的服務名稱,contextawareaccess.googleapis.com。 |
authenticationInfo.principal_email
|
發出原始呼叫的使用者電子郵件地址。 |
timestamp
|
目標作業的時間。 |
resource
|
稽核作業的目標。 |
resourceName
|
此稽核記錄的適用接收者。 |
requestMetadata.callerIp
|
產生呼叫的 IP 位址。 |
requestMetadata.requestAttributes.auth.accessLevels
|
要求符合的有效存取層級。 |
status
|
此記錄所述的作業整體處理狀態。 |
metadata
|
google.cloud.audit.ContextAwareAccessAuditMetadata protobuf 類型的例項,會序列化為 JSON Struct。該要求的「unsatisfiedAccessLevels」欄位包含要求未滿足的存取層級清單。 |
存取稽核記錄
在Google Cloud 控制台中,每項機構的稽核記錄內容是分開的。Access Context Manager 稽核記錄會寫入「已稽核的資源」記錄串流中,並可透過 Cloud Logging 查看。
後續步驟
- 進一步瞭解 Cloud 稽核記錄。
- 進一步瞭解如何在 Identity-Aware Proxy 中啟用 Cloud 稽核記錄。
- 進一步瞭解 VPC Service Controls 中的稽核記錄。