公開憑證授權單位稽核記錄

本文說明 Public Certificate Authority 的稽核記錄功能。 Google Cloud 服務會產生稽核記錄,用以記錄 Google Cloud 資源中的管理和存取活動。如要進一步瞭解 Cloud 稽核記錄,請參閱以下內容:

服務名稱

公開憑證授權單位稽核記錄會使用服務名稱 publicca.googleapis.com。如要篩選此服務,請使用:

    protoPayload.serviceName="publicca.googleapis.com"

按權限類型劃分的方法

每個 IAM 權限都具有 type 屬性,其值為以下四個列舉值之一:ADMIN_READADMIN_WRITEDATA_READDATA_WRITE。呼叫方法時,公開憑證授權單位會產生一筆稽核記錄,記錄類別依執行該方法所需權限的 type 屬性而定。若方法需要的 IAM 權限,type 屬性值為 DATA_READDATA_WRITEADMIN_READ,就會產生資料存取稽核記錄;若所需 IAM 權限的 type 屬性值為 ADMIN_WRITE,則會產生管理員活動稽核記錄。

下表列出的 API 方法中,如標有 (LRO) 字樣,表示為長時間執行的作業。這類方法通常會產生兩個稽核記錄項目,作業開始和結束時各一個。詳情請參閱「長時間執行的作業稽核記錄」。
權限類型 方法
DATA_WRITE google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKey
google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKey
google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey

API 介面稽核記錄

如要瞭解各方法所需的權限及評估方式,請參閱 Public Certificate Authority 的 Identity and Access Management 說明文件。

google.cloud.security.publicca.v1.PublicCertificateAuthorityService

屬於 google.cloud.security.publicca.v1.PublicCertificateAuthorityService 的方法會產生以下稽核記錄。

CreateExternalAccountKey

  • 方法google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKey
  • 稽核記錄類型資料存取
  • 權限
    • publicca.externalAccountKeys.create - DATA_WRITE
  • 方法的作業種類: 非長時間執行或串流作業。
  • 篩選條件 protoPayload.methodName="google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKey"

google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService

屬於 google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService 的方法會產生以下稽核記錄。

CreateExternalAccountKey

  • 方法google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKey
  • 稽核記錄類型資料存取
  • 權限
    • publicca.externalAccountKeys.create - DATA_WRITE
  • 方法的作業種類: 非長時間執行或串流作業。
  • 篩選條件 protoPayload.methodName="google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKey"

google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService

屬於 google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService 的方法會產生以下稽核記錄。

CreateExternalAccountKey

  • 方法google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey
  • 稽核記錄類型資料存取
  • 權限
    • publicca.externalAccountKeys.create - DATA_WRITE
  • 方法的作業種類: 非長時間執行或串流作業。
  • 篩選條件 protoPayload.methodName="google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey"

可用的稽核記錄

公開憑證授權單位提供下列稽核記錄類型:

  • 資料存取稽核記錄

    包括寫入使用者提供資料的「資料寫入」作業。

    如要接收資料存取稽核記錄,您必須明確啟用這類記錄。

如需稽核記錄類型的完整說明,請參閱「稽核記錄類型」。

稽核記錄格式

稽核記錄項目包含下列物件:

  • 記錄項目本身,屬於 LogEntry 類型的物件。實用的欄位包括:

    • logName 包含資源 ID 和稽核記錄類型。
    • resource 包含稽核作業的目標。
    • timeStamp 包含稽核作業的時間。
    • protoPayload 包含稽核的資訊。

  • 稽核記錄資料,這是儲存在記錄項目 protoPayload 欄位中的 AuditLog 物件。

  • 選用服務專屬稽核資訊,這是服務專屬物件。如果是較早的整合,這個物件會儲存在 AuditLog 物件的 serviceData 欄位中;較新的整合則使用 metadata 欄位。

如要瞭解這些物件中的其他欄位,以及如何解讀這些資料,請參閱「瞭解稽核記錄」。

記錄檔名稱

Cloud 稽核記錄的記錄檔名稱包含資源 ID,指出擁有稽核記錄的Google Cloud 專案或其他 Google Cloud 實體,以及記錄檔包含的是管理員活動、資料存取權、政策遭拒或系統事件稽核記錄資料。

以下是稽核記錄名稱,包括資源 ID 的變數:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

啟用稽核記錄

系統一律會啟用管理員活動稽核記錄,且該記錄無法停用。

資料存取稽核記錄預設為停用,且除非明確啟用,否則系統不會寫入這類記錄。唯一的例外是 BigQuery 的資料存取稽核記錄,該記錄無法停用。

如要瞭解如何啟用部分或所有資料存取稽核記錄,請參閱「啟用資料存取稽核記錄」。

查看稽核記錄

您可以查詢所有稽核記錄,也可以依稽核記錄名稱查詢記錄檔。稽核記錄名稱包含您要查看稽核記錄資訊的 Google Cloud 專案、資料夾、帳單帳戶或組織的資源 ID。查詢可以指定已建立索引的 LogEntry 欄位。如果您使用支援 SQL 查詢的「記錄檔分析」頁面,則可以將查詢結果顯示為圖表

如要進一步瞭解如何查詢記錄,請參閱下列頁面:

使用Google Cloud 控制台、Google Cloud CLI 或 Logging API,在 Cloud Logging 中查看稽核記錄。

控制台

在 Google Cloud 控制台中,可以使用 Logs Explorer 擷取 Google Cloud 專案、資料夾或組織的稽核記錄項目:

  1. 前往 Google Cloud 控制台的「Logs Explorer」頁面:

    前往「Logs Explorer」(記錄檔探索工具)

    如果是使用搜尋列尋找這個頁面,請選取子標題為「Logging」的結果

  2. 選取現有的 Google Cloud 專案、資料夾或組織。

  3. 如要顯示所有稽核記錄,請在查詢編輯器欄位中輸入下列任一查詢,然後按一下「Run query」(執行查詢)

    logName:"cloudaudit.googleapis.com"

    protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"

  4. 如要顯示特定資源和稽核記錄類型的稽核記錄,請在「Query builder」(查詢建立工具) 窗格中執行下列操作:

    • 在「Resource type」(資源類型) 中,選取要查看稽核記錄的 Google Cloud 資源。

    • 在「Log name」(記錄檔名稱) 中,選取要查看的稽核記錄類型:

      • 如要查看管理員活動稽核記錄,請選取「activity」(活動)
      • 如要查看資料存取稽核記錄,請選取「data_access」
      • 如要查看系統事件稽核記錄,請選取「system_event」
      • 如要查看政策遭拒稽核記錄,請選取「policy」(政策)

    • 按一下「Run query」(執行查詢)

    如果沒有看到這些選項,表示 Google Cloud 專案、資料夾或組織中沒有這類型的稽核記錄。

    如果無法在 Logs Explorer 中查看記錄檔,請參閱疑難排解資訊。

    如要進一步瞭解如何使用 Logs Explorer 查詢,請參閱「透過 Logs Explorer 建構查詢」。如要瞭解如何使用 Gemini 總結記錄檔探索工具中的記錄項目,請參閱「藉助 Gemini 總結記錄項目重點」。

gcloud

Google Cloud CLI 提供 Logging API 的指令列介面,並在每個記錄檔名稱中提供有效的資源 ID。例如,如果查詢包含 PROJECT_ID,則您提供的專案 ID 必須參照目前選取的Google Cloud 專案。

如要讀取 Google Cloud 專案層級的稽核記錄項目,請執行下列指令:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

如要讀取資料夾層級的稽核記錄項目,請執行下列指令:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

如要讀取組織層級的稽核記錄項目,請執行下列指令:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

如要讀取 Cloud Billing 帳戶層級的稽核記錄項目,請執行下列指令:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

在指令中加入 --freshness 旗標,即可讀取超過 1 天的記錄檔。

如要進一步瞭解如何使用 gcloud CLI,請參閱 gcloud logging read

API

建構查詢時,請在每個記錄檔名稱中提供有效的資源 ID。例如,如果查詢包含 PROJECT_ID,則您提供的專案 ID 必須參照目前選取的Google Cloud 專案。

例如,如要使用 Logging API 查看專案層級的稽核記錄項目,請按照下列步驟操作:

  1. 前往 entries.list 方法說明文件中的「Try this API」(試用這個 API) 區段。

  2. 將下列內容放入「Try this API」(試用這個 API) 表單的「Request body」(要求主體) 部分。按一下這份已預先填入資料的表單就能自動填入要求主體,但您必須在每個記錄檔名稱中提供有效的 PROJECT_ID

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. 點選「Execute」