透過記錄檔分析保護資料安全

本文說明使用 Log Analytics 時，如何運用 Google Cloud 功能防範透過網路釣魚、內部攻擊或外部實體竊取資料。本文也會說明記錄檔分析提供的兩種查詢引擎，以及選擇查詢引擎對可查詢資料的影響。

組織權限限制

您可以透過機構限制限制主體，讓他們只能存取 Google Cloud 授權機構中的資源。基本上，設定機構限制時，您會設定輸出 Proxy。舉例來說，您可以使用機構限制，在 Log Analytics 中防止機構儲存的資料與外部資料合併。

詳情請參閱「設定機構限制」。

VPC Service Controls

VPC Service Controls 可防範外部或內部實體意外或蓄意採取行動，進而降低 Cloud Storage 和 BigQuery 等 Google Cloud 服務的資料竊取風險。您可以使用 VPC Service Controls 建立 perimeter，保護您明確指定的服務資源和資料。

VPC Service Controls perimeter 是Google Cloud 資源周圍的安全邊界。在服務範圍的區域內可自由通訊，但根據預設，跨範圍的 Google Cloud 服務通訊全都會受到封鎖。perimeter 不會封鎖網際網路上任何第三方 API 或服務的存取權。

請勿將 VPC Service Controls 服務範圍與虛擬私有雲網路混淆。VPC Service Controls 範圍是安全防護界線。

詳情請參閱「設定 service perimeter」。

選擇記錄檔分析查詢引擎

記錄檔分析可讓您在預設的記錄引擎或 BigQuery 引擎上執行 SQL 查詢。本節將說明這兩種做法的差異。

如要設定查詢引擎，請在「Log Analytics」(記錄檔分析) 頁面中，使用「設定」選單 settings：

前往「Log Analytics」(記錄檔分析)

在預設查詢引擎上執行查詢

預設查詢引擎由 Google Cloud Observability 管理。使用這個引擎時，可以查詢下列項目：

• 記錄檢視畫面
• Analytics 資料檢視

下表摘要說明 Cloud Logging 如何使用身分與存取權管理 (IAM) 角色，控管所儲存資料的存取權：

記錄檔分析查詢的來源	讀取來源資料所需的 IAM 角色
_AllLogs 查看 _Required記錄檔 bucket	記錄檢視器 (roles/logging.viewer) 位於儲存 _Required 記錄檔值區的專案中。
_AllLogs 查看 _Default記錄檔 bucket	私人記錄檢視者 (roles/logging.privateLogViewer) 儲存 _Default 記錄檔儲存空間的專案。
_Default 查看 記錄檔 bucket_Default	記錄檢視器 (roles/logging.viewer) 位於儲存 _Default 記錄檔值區的專案中。
自訂記錄檢視畫面 (任何記錄檔 bucket)	如要取得專案中所有記錄檢視畫面的讀取權限： 在專案中指派「記錄檢視存取者」(roles/logging.viewAccessor)。 如要取得專案中特定記錄檢視畫面的讀取權，請執行下列其中一項操作： 專案的「記錄檔檢視存取者」(roles/logging.viewAccessor) 。不過，請在角色中加入 IAM 條件，將授權限制為特定記錄檢視畫面。 記錄檢視的 IAM 政策中會包含您 ID 的繫結。
Analytics 資料檢視	符合下列所有條件： 專案的「可觀測性分析使用者」(roles/observability.analyticsUser )。 IAM 角色，可提供對分析檢視畫面所查詢記錄檢視畫面的讀取權。

如要進一步瞭解 Logging 角色，請參閱「使用 IAM 控管存取權」。

在 BigQuery 引擎上執行查詢

BigQuery 引擎可以執行查詢，包括將記錄檢視區塊與其他 BigQuery 表格聯結。不過，如要使用這個引擎，您必須在對應的記錄檔 bucket 上建立連結的 BigQuery 資料集。連結的資料集是唯讀 BigQuery 資料集，做為共用資料集的指標。

如果您為記錄檔 bucket 建立連結的資料集，則該資料的安全邊界會擴大，納入 BigQuery 服務。也就是說，BigQuery 服務現在可以對連結的資料集發出查詢，藉此查詢記錄檔資料。

如果將查詢引擎設為 BigQuery，則下列情況屬實：

• 如果相關聯的記錄檔值區有連結的 BigQuery 資料集，您就可以查詢記錄檔檢視區塊。不過，記錄檔分析服務會強化傳送至 BigQuery 引擎的查詢。因此，您查看的 BigQuery 中繼資料可能與預期不同。

• 系統會在執行查詢前，檢查您的 BigQuery IAM 權限。

• 在 BigQuery 引擎上執行的查詢會套用 BigQuery 定價。

下表摘要說明 BigQuery 引擎如何使用 IAM 控制來源資料的存取權：

記錄檔分析查詢的來源	讀取來源資料所需的 IAM 角色
_AllLogs 查看 _Required記錄檔 bucket	符合下列所有條件： 專案或連結資料集的 BigQuery 資料檢視者 (roles/bigquery.dataViewer) 角色，適用於 _Required 記錄檔儲存區。 包含 logging.links.list 權限的 IAM 角色。
_AllLogs 查看 _Default記錄檔 bucket	符合下列所有條件： 專案或連結資料集的 BigQuery 資料檢視者 (roles/bigquery.dataViewer) 角色，適用於 _Default 記錄檔儲存區。 包含 logging.links.list 權限的 IAM 角色。
_Default記錄檔 bucket 的_Default檢視畫面	符合下列所有條件： 專案或連結資料集的 BigQuery 資料檢視者 (roles/bigquery.dataViewer) 角色，適用於 _Default 記錄檔儲存區。 包含 logging.links.list 權限的 IAM 角色。
自訂記錄檢視畫面 (任何記錄 bucket)	符合下列所有條件： 專案或連結資料集 (記錄儲存空間) 的 BigQuery 資料檢視者 (roles/bigquery.dataViewer) 。 包含 logging.links.list 權限的 IAM 角色。
Analytics 資料檢視	不支援。
記錄檢視畫面與 BigQuery 資料表 合併	符合下列所有條件： 專案或記錄儲存空間連結的資料集，以及其他 BigQuery 資料表上的 BigQuery 資料檢視者 (roles/bigquery.dataViewer) 。 包含 logging.links.list 權限的 IAM 角色。

如要瞭解如何管理連結的 BigQuery 資料集存取權，請參閱「BigQuery 存取權控管」。

後續步驟

• 儲存及共用 SQL 查詢。
• SQL 查詢示例。
• 圖表 SQL 查詢結果。