Audit logging di Identity-Aware Proxy

Questo documento descrive l'audit logging per Identity-Aware Proxy. Google Cloud i servizi generano audit log che registrano le attività amministrative e di accesso all'interno delle tue Google Cloud risorse. Per ulteriori informazioni su Cloud Audit Logs, consulta quanto segue:

Note

La sezione dei campi descrive dettagli importanti su alcuni campi del log di controllo.

Nome servizio

Gli audit log di Identity-Aware Proxy utilizzano il nome servizio iap.googleapis.com. Filtra per questo servizio: 

    protoPayload.serviceName="iap.googleapis.com"

Metodi per tipo di autorizzazione

Ogni autorizzazione IAM ha una proprietà type, il cui valore è un enum che può essere uno dei quattro valori: ADMIN_READ, ADMIN_WRITE, DATA_READ o DATA_WRITE. Quando chiami un metodo, Identity-Aware Proxy genera un audit log la cui categoria dipende dalla proprietà type dell'autorizzazione richiesta per eseguire il metodo. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type corrispondente a DATA_READ, DATA_WRITE o ADMIN_READ generano audit log degli Accessi ai dati. I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type ADMIN_WRITE generano audit log delle Attività di amministrazione.

I metodi API nel seguente elenco contrassegnati con (LRO) sono operazioni a lunga esecuzione (LRO). Questi metodi in genere generano due voci del log di controllo: una all'inizio dell'operazione e un'altra al termine. Per saperne di più, consulta Audit log per le operazioni a lunga esecuzione.
Tipo di autorizzazione Metodi
ADMIN_READ google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy
google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy
ADMIN_WRITE google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy
google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy
DATA_READ google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup
google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups
DATA_WRITE google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup
google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup
google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings
google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup
google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression

Audit log dell'interfaccia API

Per informazioni su come e quali autorizzazioni vengono valutate per ogni metodo, consulta la documentazione di Identity and Access Management per Identity-Aware Proxy.

google.cloud.iap.v1.IdentityAwareProxyAdminService

I seguenti audit log sono associati ai metodi appartenenti a google.cloud.iap.v1.IdentityAwareProxyAdminService.

CreateTunnelDestGroup

  • Metodo: google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iap.tunnelDestGroups.create - DATA_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.CreateTunnelDestGroup"

DeleteTunnelDestGroup

  • Metodo: google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iap.tunnelDestGroups.delete - DATA_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.DeleteTunnelDestGroup"

GetIamPolicy

  • Metodo: google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iap.web.getIamPolicy - ADMIN_READ
    • iap.webServiceVersions.getIamPolicy - ADMIN_READ
    • iap.webServices.getIamPolicy - ADMIN_READ
    • iap.webTypes.getIamPolicy - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIamPolicy"

GetIapSettings

  • Metodo: google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iap.projects.getSettings - ADMIN_READ
    • iap.web.getSettings - ADMIN_READ
    • iap.webServiceVersions.getSettings - ADMIN_READ
    • iap.webServices.getSettings - ADMIN_READ
    • iap.webTypes.getSettings - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetIapSettings"

GetTunnelDestGroup

  • Metodo: google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iap.tunnelDestGroups.get - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.GetTunnelDestGroup"

ListTunnelDestGroups

  • Metodo: google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iap.tunnelDestGroups.list - DATA_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.ListTunnelDestGroups"

SetIamPolicy

  • Metodo: google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • iap.web.setIamPolicy - ADMIN_WRITE
    • iap.webServiceVersions.setIamPolicy - ADMIN_WRITE
    • iap.webServices.setIamPolicy - ADMIN_WRITE
    • iap.webTypes.setIamPolicy - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.SetIamPolicy"

UpdateIapSettings

  • Metodo: google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iap.projects.updateSettings - DATA_WRITE
    • iap.web.updateSettings - DATA_WRITE
    • iap.webServiceVersions.updateSettings - DATA_WRITE
    • iap.webServices.updateSettings - DATA_WRITE
    • iap.webTypes.updateSettings - DATA_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateIapSettings"

UpdateTunnelDestGroup

  • Metodo: google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iap.tunnelDestGroups.update - DATA_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.UpdateTunnelDestGroup"

ValidateIapAttributeExpression

  • Metodo: google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iap.projects.updateSettings - DATA_WRITE
    • iap.web.updateSettings - DATA_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.iap.v1.IdentityAwareProxyAdminService.ValidateIapAttributeExpression"

google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1

I seguenti audit log sono associati ai metodi appartenenti a google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.

GetIamPolicy

  • Metodo: google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy
  • Tipo di audit log: accesso ai dati
  • Autorizzazioni:
    • iap.web.getIamPolicy - ADMIN_READ
    • iap.webServiceVersions.getIamPolicy - ADMIN_READ
    • iap.webServices.getIamPolicy - ADMIN_READ
    • iap.webTypes.getIamPolicy - ADMIN_READ
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.GetIamPolicy"

SetIamPolicy

  • Metodo: google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy
  • Tipo di audit log: attività di amministrazione
  • Autorizzazioni:
    • iap.webServiceVersions.setIamPolicy - ADMIN_WRITE
    • iap.webServices.setIamPolicy - ADMIN_WRITE
    • iap.webTypes.setIamPolicy - ADMIN_WRITE
  • Il metodo è un'operazione a lunga esecuzione o in streaming: no.
  • Filtra per questo metodo: protoPayload.methodName="google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.SetIamPolicy"

Metodi che non generano audit log

Un metodo potrebbe non generare audit log per uno o più dei seguenti motivi:

  • Si tratta di un metodo ad alto volume che comporta costi significativi per la generazione e l'archiviazione dei log.
  • Ha un valore di auditing basso.
  • Un altro audit log o log della piattaforma fornisce già la copertura del metodo.

I seguenti metodi non generano audit log:

  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.CreateBrand
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.CreateIdentityAwareProxyClient
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.DeleteIdentityAwareProxyClient
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.GetBrand
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.GetIdentityAwareProxyClient
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.ListBrands
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.ListIdentityAwareProxyClients
  • google.cloud.iap.v1.IdentityAwareProxyOAuthService.ResetIdentityAwareProxyClientSecret
  • google.cloud.iap.v1beta1.IdentityAwareProxyAdminV1Beta1.TestIamPermissions

Campi

I log contengono solo informazioni sui livelli di accesso soddisfatti da un utente. I livelli di accesso che hanno bloccato una richiesta non autorizzata non sono elencati nella voce di log. Per determinare quali condizioni sono necessarie per effettuare una richiesta riuscita per una determinata risorsa, controlla i livelli di accesso per la risorsa.

Di seguito sono riportati alcuni dettagli importanti su alcuni campi del log:

Campo Valore
authenticationInfo L'email dell'utente che ha tentato di accedere alla risorsa come principalEmail. Queste informazioni non sono presenti nei log per le richieste non autenticate.
requestMetadata.callerIp L'indirizzo IP da cui ha avuto origine la richiesta.
requestMetadata.requestAttributes Il metodo di richiesta e l'URL.
authorizationInfo.resource La risorsa a cui si sta accedendo.
authorizationInfo.granted Un valore booleano che indica se IAP ha consentito l'accesso richiesto.