Questo documento descrive l'audit logging per OS Login. Google Cloud servizi generano audit log che registrano le attività amministrative e di accesso all'interno delle tue Google Cloud risorse. Per ulteriori informazioni su Cloud Audit Logs, consulta quanto segue:
- Tipi di audit log
- Struttura della voce di audit log
- Archiviazione e routing degli audit log
- Riepilogo dei prezzi di Cloud Logging
- Abilita gli audit log di accesso ai dati
Note
Questo documento descrive gli audit log generati dall'API OS Login. Per informazioni dettagliate sulle autorizzazioni IAM necessarie per utilizzare il servizio OS Login, consulta Configura OS Login.
Nome servizio
Gli audit log di OS Login utilizzano il nome servizio oslogin.googleapis.com.
Filtra per questo servizio:
protoPayload.serviceName="oslogin.googleapis.com"
Metodi per tipo di autorizzazione
Ogni autorizzazione IAM ha una proprietà type, il cui valore è un enum
che può essere uno dei quattro valori: ADMIN_READ, ADMIN_WRITE,
DATA_READ o DATA_WRITE. Quando chiami un metodo,
OS Login genera un audit log la cui categoria dipende dalla
proprietà type dell'autorizzazione richiesta per eseguire il metodo.
I metodi che richiedono un'autorizzazione IAM con il valore della proprietà
type corrispondente a DATA_READ, DATA_WRITE o ADMIN_READ generano
audit log degli Accessi ai dati.
I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type
ADMIN_WRITE generano
audit log delle Attività di amministrazione.
| Tipo di autorizzazione | Metodi |
|---|---|
ADMIN_READ |
google.cloud.oslogin.controlplane.regional.v1alpha.OsLoginRegionalService.SignSshPublicKeygoogle.cloud.oslogin.controlplane.regional.v1beta.OsLoginRegionalService.SignSshPublicKey |
DATA_WRITE |
google.cloud.oslogin.v1.OsLoginService.ImportSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.ImportSshPublicKey |
Audit log dell'interfaccia API
Per informazioni su come e quali autorizzazioni vengono valutate per ogni metodo, consulta la documentazione di Identity and Access Management per OS Login.
google.cloud.oslogin.controlplane.regional.v1alpha.OsLoginRegionalService
I seguenti audit log sono associati ai metodi appartenenti a
google.cloud.oslogin.controlplane.regional.v1alpha.OsLoginRegionalService.
SignSshPublicKey
- Metodo:
google.cloud.oslogin.controlplane.regional.v1alpha.OsLoginRegionalService.SignSshPublicKey - Tipo di audit log: accesso ai dati
- Autorizzazioni:
compute.instances.osAdminLogin - ADMIN_READcompute.instances.osLogin - ADMIN_READ
- Il metodo è un'operazione a lunga esecuzione o in streaming:
no.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.oslogin.controlplane.regional.v1alpha.OsLoginRegionalService.SignSshPublicKey"
google.cloud.oslogin.controlplane.regional.v1beta.OsLoginRegionalService
I seguenti audit log sono associati ai metodi appartenenti a
google.cloud.oslogin.controlplane.regional.v1beta.OsLoginRegionalService.
SignSshPublicKey
- Metodo:
google.cloud.oslogin.controlplane.regional.v1beta.OsLoginRegionalService.SignSshPublicKey - Tipo di audit log: accesso ai dati
- Autorizzazioni:
compute.instances.osAdminLogin - ADMIN_READcompute.instances.osLogin - ADMIN_READ
- Il metodo è un'operazione a lunga esecuzione o in streaming:
no.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.oslogin.controlplane.regional.v1beta.OsLoginRegionalService.SignSshPublicKey"
google.cloud.oslogin.v1.OsLoginService
I seguenti audit log sono associati ai metodi appartenenti a
google.cloud.oslogin.v1.OsLoginService.
ImportSshPublicKey
- Metodo:
google.cloud.oslogin.v1.OsLoginService.ImportSshPublicKey - Tipo di audit log: accesso ai dati
- Autorizzazioni:
compute.oslogin.updateExternalUser - DATA_WRITE
- Il metodo è un'operazione a lunga esecuzione o in streaming:
no.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.oslogin.v1.OsLoginService.ImportSshPublicKey"
google.cloud.oslogin.v1beta.OsLoginService
I seguenti audit log sono associati ai metodi appartenenti a
google.cloud.oslogin.v1beta.OsLoginService.
ImportSshPublicKey
- Metodo:
google.cloud.oslogin.v1beta.OsLoginService.ImportSshPublicKey - Tipo di audit log: accesso ai dati
- Autorizzazioni:
compute.oslogin.updateExternalUser - DATA_WRITE
- Il metodo è un'operazione a lunga esecuzione o in streaming:
no.
- Filtra per questo metodo:
protoPayload.methodName="google.cloud.oslogin.v1beta.OsLoginService.ImportSshPublicKey"
Metodi che non generano audit log
Un metodo potrebbe non generare audit log per uno o più dei seguenti motivi:
- Si tratta di un metodo ad alto volume che comporta costi significativi per la generazione e l'archiviazione dei log.
- Ha un valore di auditing basso.
- Un altro audit log o log della piattaforma fornisce già la copertura del metodo.
I seguenti metodi non generano audit log:
google.cloud.oslogin.v1.OsLoginService.CreateSshPublicKeygoogle.cloud.oslogin.v1.OsLoginService.DeletePosixAccountgoogle.cloud.oslogin.v1.OsLoginService.DeleteSshPublicKeygoogle.cloud.oslogin.v1.OsLoginService.GetLoginProfilegoogle.cloud.oslogin.v1.OsLoginService.GetSshPublicKeygoogle.cloud.oslogin.v1.OsLoginService.UpdateSshPublicKeygoogle.cloud.oslogin.v1alpha.OsLoginService.CreateSshPublicKeygoogle.cloud.oslogin.v1alpha.OsLoginService.DeletePosixAccountgoogle.cloud.oslogin.v1alpha.OsLoginService.DeleteSshPublicKeygoogle.cloud.oslogin.v1alpha.OsLoginService.GetLoginProfilegoogle.cloud.oslogin.v1alpha.OsLoginService.GetSshPublicKeygoogle.cloud.oslogin.v1alpha.OsLoginService.ProvisionPosixAccountgoogle.cloud.oslogin.v1alpha.OsLoginService.UpdateSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.CreateSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.DeletePosixAccountgoogle.cloud.oslogin.v1beta.OsLoginService.DeleteSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.GetLoginProfilegoogle.cloud.oslogin.v1beta.OsLoginService.GetSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.UpdateSshPublicKey
Passaggi successivi
- Scopri di più sul linguaggio delle query di Logging per personalizzare le query degli audit log di OS Login.
- Scopri come funzionano le connessioni SSH alle VM Linux su Compute Engine