使用 Log Analytics 实现数据安全

本文档介绍了 Google Cloud 功能，这些功能可帮助您在使用 Log Analytics 时防止通过钓鱼式攻击、内部攻击或外部实体数据渗漏。本文档还介绍了 Log Analytics 中可用的两种查询引擎，以及查询引擎的选择对您可以查询的数据有何影响。

组织权限限制

您可以使用组织限制来限制主账号，使其只能访问已获授权的 Google Cloud 组织中的资源。从本质上讲，配置组织权限限制就是配置出站流量代理。例如，您可以使用组织权限限制来防止组织存储的数据在您使用 Log Analytics 时与外部数据相结合。

如需了解详情，请参阅配置组织限制。

VPC Service Controls

VPC Service Controls 有助于防止外部实体或内部实体的意外或针对性操作，从而最大限度地减少 Cloud Storage 和 BigQuery 等 Google Cloud 服务发生不合理的数据渗漏风险。您可以使用 VPC Service Controls 创建边界，该边界可保护您明确指定的服务的资源和数据。

VPC Service Controls 边界是围绕Google Cloud 资源的安全边界。它允许在边界内自由通信，但默认情况下阻止跨边界与 Google Cloud 服务的通信。边界不会阻止访问互联网上的任何第三方 API 或服务。

请勿将 VPC Service Controls 边界与虚拟私有云网络混淆。VPC Service Controls 边界是一种安全边界。

如需了解详情，请参阅设置服务边界。

选择 Log Analytics 查询引擎

借助 Log Analytics，您可以在默认的 Logging 引擎或 BigQuery 引擎上运行 SQL 查询。本部分介绍了这两个选项之间的区别。

如需设置查询引擎，请在 Log Analytics 页面上使用 settings 设置菜单：

转到 Log Analytics

在默认查询引擎上运行查询

默认查询引擎由 Google Cloud Observability 管理。使用此引擎时，您可以查询以下内容：

• 日志视图
• 分析视图

下表总结了 Cloud Logging 如何使用 Identity and Access Management (IAM) 角色来控制对所存储数据的访问权限：

Log Analytics 查询的来源	读取源数据所需的 IAM 角色
_Required 日志存储桶的 _AllLogs 视图	存储 _Required 日志存储桶的项目的 Logs Viewer (roles/logging.viewer) 角色。
_Default 日志存储桶的 _AllLogs 视图	存储 _Default 日志存储桶的项目的 Private Logs Viewer (roles/logging.privateLogViewer) 角色。
_Default 日志存储桶的_Default 视图	存储 _Default 日志存储桶的项目的 Logs Viewer (roles/logging.viewer) 角色。
自定义日志视图 （在任何日志存储桶中）	如需对项目中的所有日志视图拥有读取权限，请为相应项目授予 Logs View Accessor (roles/logging.viewAccessor) 角色。 如需仅对项目中的特定日志视图拥有读取访问权限，请执行以下操作之一： Logs View Accessor (roles/logging.viewAccessor) 角色。不过，请在角色中添加 IAM 条件，以将授予的权限限制为仅针对特定日志视图。 日志视图的 IAM 政策中包含您 ID 的绑定。
分析视图	以下所有内容： 针对项目的 Observability Analytics User (roles/observability.analyticsUser) 。 一种 IAM 角色，可提供对分析视图所查询的日志视图的读取权限。

如需详细了解 Logging 角色，请参阅使用 IAM 进行访问权限控制。

在 BigQuery 引擎上运行查询

BigQuery 引擎可以运行包含日志视图与其他 BigQuery 表联接的查询。不过，如需使用此引擎，您必须在相应的日志存储桶中创建关联的 BigQuery 数据集。关联数据集是一个只读 BigQuery 数据集，用作共享数据集的指针。

如果您为日志存储分区创建关联的数据集，则会将相应数据的安全边界扩大到包含 BigQuery 服务。也就是说，BigQuery 服务现在可以通过向关联的数据集发出查询来查询您的日志数据。

如果您将查询引擎设置为 BigQuery，则以下情况属实：

• 当关联的日志存储桶存在关联的 BigQuery 数据集时，您可以查询日志视图。不过，Log Analytics 服务会增强发送到 BigQuery 引擎的查询。因此，如果您查看 BigQuery 元数据，可能会发现它与预期不同。

• 在运行查询之前，系统会检查您的 BigQuery IAM 权限。

• 您在 BigQuery 引擎上运行的查询需遵守 BigQuery 价格。

下表总结了 BigQuery 引擎如何使用 IAM 来控制对源数据的访问权限：

Log Analytics 查询的来源	读取源数据所需的 IAM 角色
_Required 日志存储桶的 _AllLogs 视图	以下所有内容： 针对 _Required 日志存储桶的项目或关联的数据集的 BigQuery Data Viewer (roles/bigquery.dataViewer) 。 包含 logging.links.list 权限的 IAM 角色。
_Default 日志存储桶的 _AllLogs 视图	以下所有内容： 针对 _Default 日志存储桶的项目或关联的数据集的 BigQuery Data Viewer (roles/bigquery.dataViewer) 。 包含 logging.links.list 权限的 IAM 角色。
_Default 日志存储桶的 _Default 视图	以下所有内容： 针对 _Default 日志存储桶的项目或关联的数据集的 BigQuery Data Viewer (roles/bigquery.dataViewer) 。 包含 logging.links.list 权限的 IAM 角色。
自定义日志视图 （在任何日志存储桶中）	以下所有内容： 针对日志存储桶的项目或关联数据集的 BigQuery Data Viewer (roles/bigquery.dataViewer) 。 包含 logging.links.list 权限的 IAM 角色。
分析视图	不受支持。
与 BigQuery 表联接的日志视图	以下所有内容： 针对日志存储桶和另一个 BigQuery 表的项目或关联数据集的 BigQuery Data Viewer (roles/bigquery.dataViewer) 。 包含 logging.links.list 权限的 IAM 角色。

如需了解如何管理对关联的 BigQuery 数据集的访问权限，请参阅 BigQuery 访问权限控制。

后续步骤

• 保存和共享 SQL 查询。
• 示例 SQL 查询。
• 绘制 SQL 查询结果图表。