Informationen zum Audit-Logging der Zugriffsgenehmigung
In diesem Dokument werden die geprüften Methoden für die Zugriffsgenehmigung aufgeführt. Google Cloud Dienste generieren Audit-Logs, in denen Verwaltungs- und Zugriffsaktivitäten in Ihren Google Cloud Ressourcen aufgezeichnet werden. Weitere Informationen zu Cloud-Audit-Logs finden Sie unter den folgenden Links:
- Typen von Audit-Logs
- Struktur von Audit-Logeinträgen
- Audit-Logs speichern und weiterleiten
- Preisübersicht für Cloud Logging
- Audit-Logs zum Datenzugriff aktivieren
Dienstname
So rufen Sie die Audit-Logs der Zugriffsgenehmigung auf:
Rufen Sie in der Google Cloud Console die Seite „Log-Explorer“ auf:
Kopieren Sie die folgende Abfrage und fügen Sie sie in das Feld Abfrage des Log-Explorers ein. Klicken Sie dann auf Abfrage ausführen.
protoPayload.serviceName="accessapproval.googleapis.com"
Methoden nach Berechtigungstyp
Jede IAM-Berechtigung hat ein type-Attribut, das ein „enum“ ist und einen der folgenden vier Werte haben kann: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen, generiert die Zugriffsgenehmigung ein Audit-Log, dessen Kategorie vom type-Attribut der Berechtigung abhängt, die für die Ausführung der Methode erforderlich ist.
Methoden, die eine IAM-Berechtigung mit dem type-Attributwert
von DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren
Audit-Logs zum Datenzugriff.
Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.
| Berechtigungstyp | Methoden |
|---|---|
ADMIN_WRITE |
google.cloud.accessapproval.v1.AccessApproval.ApproveApprovalRequestgoogle.cloud.accessapproval.v1.AccessApproval.DeleteAccessApprovalSettingsgoogle.cloud.accessapproval.v1.AccessApproval.DismissApprovalRequestgoogle.cloud.accessapproval.v1.AccessApproval.InvalidateApprovalRequestgoogle.cloud.accessapproval.v1.AccessApproval.UpdateAccessApprovalSettings |
Audit-Logs der API-Schnittstelle
Informationen dazu, wie und welche Berechtigungen für die einzelnen Methoden evaluiert werden, finden Sie in der Dokumentation zu Identity and Access Management für die Zugriffsgenehmigung.
google.cloud.accessapproval.v1.AccessApproval
Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.accessapproval.v1.AccessApproval gehören.
ApproveApprovalRequest
- Methode:
google.cloud.accessapproval.v1.AccessApproval.ApproveApprovalRequest - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
accessapproval.requests.approve - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang:
Nein.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.accessapproval.v1.AccessApproval.ApproveApprovalRequest"
DeleteAccessApprovalSettings
- Methode:
google.cloud.accessapproval.v1.AccessApproval.DeleteAccessApprovalSettings - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
accessapproval.settings.delete - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang:
Nein.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.accessapproval.v1.AccessApproval.DeleteAccessApprovalSettings"
DismissApprovalRequest
- Methode:
google.cloud.accessapproval.v1.AccessApproval.DismissApprovalRequest - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
accessapproval.requests.dismiss - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang:
Nein.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.accessapproval.v1.AccessApproval.DismissApprovalRequest"
InvalidateApprovalRequest
- Methode:
google.cloud.accessapproval.v1.AccessApproval.InvalidateApprovalRequest - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
accessapproval.requests.invalidate - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang:
Nein.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.accessapproval.v1.AccessApproval.InvalidateApprovalRequest"
UpdateAccessApprovalSettings
- Methode:
google.cloud.accessapproval.v1.AccessApproval.UpdateAccessApprovalSettings - Audit-Logtyp: Administratoraktivität
- Berechtigungen:
accessapproval.settings.update - ADMIN_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang:
Nein.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.accessapproval.v1.AccessApproval.UpdateAccessApprovalSettings"
Methoden, die keine Audit-Logs generieren
Folgende Gründe können dazu führen, dass eine Methode möglicherweise keine Audit-Logs generiert:
- Es ist eine Methode mit hohem Volumen, die erhebliche Kosten für die Generierung und Speicherung von Logs erzeugt.
- Die Methode hat einen geringen Audit-Wert.
- Die Methode wird bereits von einem anderen Audit- oder Plattformlog abgedeckt.
Die folgenden Methoden generieren keine Audit-Logs:
google.cloud.accessapproval.v1.AccessApproval.GetAccessApprovalServiceAccountgoogle.cloud.accessapproval.v1.AccessApproval.GetAccessApprovalSettingsgoogle.cloud.accessapproval.v1.AccessApproval.GetApprovalRequestgoogle.cloud.accessapproval.v1.AccessApproval.ListApprovalRequests