Audit logging di Dataflow

Questo documento descrive l'audit logging per Dataflow. I servizi Google Cloud Platform generano audit log che registrano le attività amministrative e di accesso all'interno delle tue risorse Google Cloud Platform. Per ulteriori informazioni su Cloud Audit Logs, consulta quanto segue:

Nome servizio

Gli audit log di Dataflow utilizzano il nome servizio dataflow.googleapis.com. Filtra per questo servizio: 

    protoPayload.serviceName="dataflow.googleapis.com"

Metodi per tipo di autorizzazione

Ogni autorizzazione IAM ha una proprietà type, il cui valore è un enum che può essere uno dei quattro valori: ADMIN_READ, ADMIN_WRITE, DATA_READ o DATA_WRITE. Quando chiami un metodo, Dataflow genera un audit log la cui categoria dipende dalla proprietà type dell'autorizzazione richiesta per eseguire il metodo. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type corrispondente a DATA_READ, DATA_WRITE o ADMIN_READ generano audit log degli accessi ai dati. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type corrispondente a ADMIN_WRITE generano audit log delle attività di amministrazione.

I metodi API nel seguente elenco contrassegnati con (LRO) sono operazioni a lunga esecuzione (LRO). Questi metodi di solito generano due voci dell'audit log: una all'inizio dell'operazione e un'altra al termine. Per saperne di più, consulta Audit log per le operazioni a lunga esecuzione.
Tipo di autorizzazione Metodi
ADMIN_WRITE dataflow.jobs.create
dataflow.jobs.updateContents
OTHER resourcemanager.projects.get: per abilitare questo log, attiva ADMIN_READ nel servizio cloudresourcemanager.googleapis.com.
resourcemanager.projects.get: per abilitare questo log, attiva ADMIN_READ nel servizio cloudresourcemanager.googleapis.com.
resourcemanager.projects.get: per abilitare questo log, attiva ADMIN_READ nel servizio cloudresourcemanager.googleapis.com.
resourcemanager.projects.get: per abilitare questo log, attiva ADMIN_READ nel servizio cloudresourcemanager.googleapis.com.

Audit log dell'interfaccia API

Per informazioni su come e quali autorizzazioni vengono valutate per ogni metodo, consulta la documentazione di Identity and Access Management per Dataflow.

google.dataflow.v1beta3.FlexTemplatesService

I seguenti audit log sono associati ai metodi appartenenti a google.dataflow.v1beta3.FlexTemplatesService.

get

  • Metodo: resourcemanager.projects.get
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • resourcemanager.projects.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="resourcemanager.projects.get"

google.dataflow.v1beta3.JobsV1Beta3

I seguenti audit log sono associati ai metodi appartenenti a google.dataflow.v1beta3.JobsV1Beta3.

create

  • Metodo: dataflow.jobs.create
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • dataflow.jobs.create - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="dataflow.jobs.create"

updateContents

  • Metodo: dataflow.jobs.updateContents
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • dataflow.jobs.cancel - ADMIN_WRITE
    • dataflow.jobs.updateContents - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="dataflow.jobs.updateContents"

google.dataflow.v1beta3.TemplatesService

I seguenti audit log sono associati ai metodi appartenenti a google.dataflow.v1beta3.TemplatesService.

get

  • Metodo: resourcemanager.projects.get
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • resourcemanager.projects.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="resourcemanager.projects.get"

get

  • Metodo: resourcemanager.projects.get
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • resourcemanager.projects.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="resourcemanager.projects.get"

get

  • Metodo: resourcemanager.projects.get
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • resourcemanager.projects.get - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="resourcemanager.projects.get"

Metodi che non generano audit log

Un metodo potrebbe non generare audit log per uno o più dei seguenti motivi:

  • Si tratta di un metodo ad alto volume che comporta costi significativi per la generazione e l'archiviazione dei log.
  • Ha un valore di auditing basso.
  • Un altro audit log o log della piattaforma fornisce già la copertura del metodo.

I seguenti metodi non generano audit log:

  • google.dataflow.v1beta3.DebugCaptureV1Beta3.GetConfig
  • google.dataflow.v1beta3.DebugCaptureV1Beta3.SendCapture
  • google.dataflow.v1beta3.JobsV1Beta3.AggregatedListJobs
  • google.dataflow.v1beta3.JobsV1Beta3.CheckActiveJobs
  • google.dataflow.v1beta3.JobsV1Beta3.GetJob
  • google.dataflow.v1beta3.JobsV1Beta3.ListJobs
  • google.dataflow.v1beta3.JobsV1Beta3.SnapshotJob
  • google.dataflow.v1beta3.MessagesV1Beta3.ListJobMessages
  • google.dataflow.v1beta3.MetricsV1Beta3.GetJobExecutionDetails
  • google.dataflow.v1beta3.MetricsV1Beta3.GetJobMetrics
  • google.dataflow.v1beta3.MetricsV1Beta3.GetStageExecutionDetails
  • google.dataflow.v1beta3.SnapshotsV1Beta3.DeleteSnapshot
  • google.dataflow.v1beta3.SnapshotsV1Beta3.GetSnapshot
  • google.dataflow.v1beta3.SnapshotsV1Beta3.ListSnapshots
  • google.dataflow.v1beta3.WorkItemsV1Beta3.LeaseWorkItem
  • google.dataflow.v1beta3.WorkItemsV1Beta3.ReportWorkItemStatus
  • google.dataflow.v1beta3.WorkerMessagesV1Beta3.SendWorkerMessages