本文說明 Dataflow 的稽核記錄功能。Google Cloud Platform 服務會產生稽核記錄,用以記錄 Google Cloud Platform 資源中的管理和存取活動。如要進一步瞭解 Cloud 稽核記錄,請參閱以下內容:
服務名稱
Dataflow 稽核記錄會使用服務名稱 dataflow.googleapis.com。如要篩選此服務,請使用:
protoPayload.serviceName="dataflow.googleapis.com"
按權限類型劃分的方法
每個 IAM 權限都有 type 屬性,這個屬性的值只能是以下四個選項之一:ADMIN_READ、ADMIN_WRITE、DATA_READ 或 DATA_WRITE。呼叫方法時,Dataflow 會產生一筆稽核記錄,記錄類別依執行該方法所需權限的 type 屬性而定。若方法需要的 IAM 權限,type 屬性值為 DATA_READ、DATA_WRITE 或 ADMIN_READ,就會產生資料存取稽核記錄;若所需 IAM 權限的 type 屬性值為 ADMIN_WRITE,則會產生管理員活動稽核記錄。
| 權限類型 | 方法 |
|---|---|
ADMIN_WRITE |
dataflow.jobs.createdataflow.jobs.updateContents |
OTHER |
resourcemanager.projects.get:如要啟用這項記錄,請在服務 cloudresourcemanager.googleapis.com 下啟用 ADMIN_READ。resourcemanager.projects.get:如要啟用這項記錄,請在服務 cloudresourcemanager.googleapis.com 下啟用 ADMIN_READ。resourcemanager.projects.get:如要啟用這項記錄,請在服務 cloudresourcemanager.googleapis.com 下啟用 ADMIN_READ。resourcemanager.projects.get:如要啟用這項記錄,請在服務 cloudresourcemanager.googleapis.com 下啟用 ADMIN_READ。 |
API 介面稽核記錄
如要瞭解各方法所需的權限及評估方式,請參閱 Dataflow 的 Identity and Access Management 說明文件。
google.dataflow.v1beta3.FlexTemplatesService
屬於 google.dataflow.v1beta3.FlexTemplatesService 的方法會產生以下稽核記錄。
get
- 方法:
resourcemanager.projects.get - 稽核記錄類型:資料存取
- 權限:
resourcemanager.projects.get - ADMIN_READ
- 方法的作業種類:
非長時間執行或串流作業。
- 篩選條件:
protoPayload.methodName="resourcemanager.projects.get"
google.dataflow.v1beta3.JobsV1Beta3
屬於 google.dataflow.v1beta3.JobsV1Beta3 的方法會產生以下稽核記錄。
create
- 方法:
dataflow.jobs.create - 稽核記錄類型:管理員活動
- 權限:
dataflow.jobs.create - ADMIN_WRITE
- 方法的作業種類:
非長時間執行或串流作業。
- 篩選條件:
protoPayload.methodName="dataflow.jobs.create"
updateContents
- 方法:
dataflow.jobs.updateContents - 稽核記錄類型:管理員活動
- 權限:
dataflow.jobs.cancel - ADMIN_WRITEdataflow.jobs.updateContents - ADMIN_WRITE
- 方法的作業種類:
非長時間執行或串流作業。
- 篩選條件:
protoPayload.methodName="dataflow.jobs.updateContents"
google.dataflow.v1beta3.TemplatesService
屬於 google.dataflow.v1beta3.TemplatesService 的方法會產生以下稽核記錄。
get
- 方法:
resourcemanager.projects.get - 稽核記錄類型:資料存取
- 權限:
resourcemanager.projects.get - ADMIN_READ
- 方法的作業種類:
非長時間執行或串流作業。
- 篩選條件:
protoPayload.methodName="resourcemanager.projects.get"
get
- 方法:
resourcemanager.projects.get - 稽核記錄類型:資料存取
- 權限:
resourcemanager.projects.get - ADMIN_READ
- 方法的作業種類:
非長時間執行或串流作業。
- 篩選條件:
protoPayload.methodName="resourcemanager.projects.get"
get
- 方法:
resourcemanager.projects.get - 稽核記錄類型:資料存取
- 權限:
resourcemanager.projects.get - ADMIN_READ
- 方法的作業種類:
非長時間執行或串流作業。
- 篩選條件:
protoPayload.methodName="resourcemanager.projects.get"
不會產生稽核記錄的方法
某些方法可能不會產生稽核記錄,原因包括以下一或多項:
- 該方法的流量使用量高,若產生稽核記錄,會導致記錄與儲存成本過高。
- 稽核價值低。
- 其他稽核記錄或平台記錄已涵蓋該方法的活動。
下列方法不會產生稽核記錄:
google.dataflow.v1beta3.DebugCaptureV1Beta3.GetConfiggoogle.dataflow.v1beta3.DebugCaptureV1Beta3.SendCapturegoogle.dataflow.v1beta3.JobsV1Beta3.AggregatedListJobsgoogle.dataflow.v1beta3.JobsV1Beta3.CheckActiveJobsgoogle.dataflow.v1beta3.JobsV1Beta3.GetJobgoogle.dataflow.v1beta3.JobsV1Beta3.ListJobsgoogle.dataflow.v1beta3.JobsV1Beta3.SnapshotJobgoogle.dataflow.v1beta3.MessagesV1Beta3.ListJobMessagesgoogle.dataflow.v1beta3.MetricsV1Beta3.GetJobExecutionDetailsgoogle.dataflow.v1beta3.MetricsV1Beta3.GetJobMetricsgoogle.dataflow.v1beta3.MetricsV1Beta3.GetStageExecutionDetailsgoogle.dataflow.v1beta3.SnapshotsV1Beta3.DeleteSnapshotgoogle.dataflow.v1beta3.SnapshotsV1Beta3.GetSnapshotgoogle.dataflow.v1beta3.SnapshotsV1Beta3.ListSnapshotsgoogle.dataflow.v1beta3.WorkItemsV1Beta3.LeaseWorkItemgoogle.dataflow.v1beta3.WorkItemsV1Beta3.ReportWorkItemStatusgoogle.dataflow.v1beta3.WorkerMessagesV1Beta3.SendWorkerMessages