Audit-Logging der Container Security API

In diesem Dokument wird das Audit-Logging für die Container Security API beschrieben. Google Cloud -Dienste generieren Audit-Logs, in denen Verwaltungs- und Zugriffsaktivitäten in Ihren Google Cloud -Ressourcen aufgezeichnet werden. Weitere Informationen zu Cloud-Audit-Logs finden Sie unter den folgenden Links:

Hinweise

Diese API kann nicht direkt aufgerufen werden und ist nur über das Dashboard in der Google Cloud Console zugänglich.

Dienstname

Für Audit-Logs der Container Security API wird der Dienstname containersecurity.googleapis.com verwendet. Filter für diesen Dienst: 

    protoPayload.serviceName="containersecurity.googleapis.com"

Methoden nach Berechtigungstyp

Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert „enum“ ist. Er kann einen der folgenden vier Werte haben: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen, generiert die Container Security API ein Audit-Log, dessen Kategorie vom Attribut type der Berechtigung abhängt, die für die Ausführung der Methode erforderlich ist. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.

API-Methoden in der folgenden Liste, die mit (LRO) gekennzeichnet sind, sind Vorgänge mit langer Ausführungszeit. Diese Methoden generieren in der Regel zwei Audit-Log-Einträge: einen beim Start und einen beim Ende des Vorgangs. Weitere Informationen finden Sie unter Audit-Logs für Vorgänge mit langer Ausführungszeit.
Berechtigungstyp Methoden
DATA_READ google.cloud.containersecurity.v1beta.ContainerSecurity.ListFindings
google.cloud.containersecurity.v1beta.ContainerSecurity.SearchClusterFindingSummaries

Audit-Logs der API-Schnittstelle

Informationen dazu, wie und welche Berechtigungen für die einzelnen Methoden evaluiert werden, finden Sie in der Dokumentation zu Identity and Access Management für die Container Security API.

google.cloud.containersecurity.v1beta.ContainerSecurity

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.containersecurity.v1beta.ContainerSecurity gehören.

ListFindings

  • Methode: google.cloud.containersecurity.v1beta.ContainerSecurity.ListFindings
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • containersecurity.findings.list - DATA_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.containersecurity.v1beta.ContainerSecurity.ListFindings"

SearchClusterFindingSummaries

  • Methode: google.cloud.containersecurity.v1beta.ContainerSecurity.SearchClusterFindingSummaries
  • Audit-Logtyp: Datenzugriff
  • Berechtigungen:
    • containersecurity.clusterSummaries.list - DATA_READ
  • Methode ist ein Vorgang mit langer Ausführungszeit oder ein Streamingvorgang: Nein.
  • Filter für diese Methode: protoPayload.methodName="google.cloud.containersecurity.v1beta.ContainerSecurity.SearchClusterFindingSummaries"

Methoden, die keine Audit-Logs generieren

Folgende Gründe können dazu führen, dass eine Methode möglicherweise keine Audit-Logs generiert:

  • Es ist eine Methode mit hohem Volumen, die erhebliche Kosten für die Generierung und Speicherung von Logs erzeugt.
  • Die Methode hat einen geringen Audit-Wert.
  • Die Methode wird bereits von einem anderen Audit- oder Plattformlog abgedeckt.

Die folgenden Methoden generieren keine Audit-Logs:

  • google.cloud.location.Locations.GetLocation
  • google.cloud.location.Locations.ListLocations