במאמר הזה מוסבר על רישום ביומני ביקורת במסגרת Organization Policy Service.שירותי Google Cloud יוצרים יומני ביקורת שבהם מתועדים אירועי גישה למשאבי Google Cloud ופעילויות אדמין שנעשות בהם. אתם יכולים לקרוא מידע נוסף על יומני הביקורת של Cloud במאמרים האלה:
- הסוגים של יומני הביקורת
- המבנה של רשומות ביומני הביקורת
- שמירה וניתוב של יומני ביקורת
- מחירון מקוצר של Cloud Logging
- הפעלת יומני ביקורת של גישה לנתונים
הערות
במאמר הזה מוסבר על רישום ביומני ביקורת בשירות שמנהל את מדיניות הארגון. פרטים על היומנים של בקשות שנדחו על ידי מדיניות זמינים במאמר בנושא VPC Service Controls.
שם השירות
יומני הביקורת של Organization Policy Service משתמשים בשם השירות orgpolicy.googleapis.com.
אתם יכולים לסנן לפי השירות הזה:
protoPayload.serviceName="orgpolicy.googleapis.com"
Methods לפי סוג ההרשאה
לכל הרשאה ב-IAM יש מאפיין type עם enum שיכול להיות אחד מארבעת הערכים הבאים: ADMIN_READ, ADMIN_WRITE, DATA_READ או DATA_WRITE. כשקוראים ל-method, במסגרת Organization Policy Service נוצר יומן ביקורת שהקטגוריה שלו תלויה במאפיין type של ההרשאה שנדרשת לביצוע ה-method.
ה-methods שבשבילן צריך הרשאה ב-IAM עם הערכים DATA_READ, DATA_WRITE או ADMIN_READ במאפיין type יוצרות יומני ביקורת של Data Access.
ה-methods שבשבילן צריך הרשאה ב-IAM עם הערכים ADMIN_WRITE במאפיין type יוצרות יומני ביקורת של Admin Activity.
| סוג ההרשאה | Methods |
|---|---|
ADMIN_READ |
google.cloud.orgpolicy.v2.OrgPolicy.GetCustomConstraintgoogle.cloud.orgpolicy.v2.OrgPolicy.GetEffectivePolicygoogle.cloud.orgpolicy.v2.OrgPolicy.GetPolicygoogle.cloud.orgpolicy.v2.OrgPolicy.ListConstraintsgoogle.cloud.orgpolicy.v2.OrgPolicy.ListCustomConstraintsgoogle.cloud.orgpolicy.v2.OrgPolicy.ListPolicies |
ADMIN_WRITE |
google.cloud.orgpolicy.v2.OrgPolicy.CreateCustomConstraintgoogle.cloud.orgpolicy.v2.OrgPolicy.CreatePolicygoogle.cloud.orgpolicy.v2.OrgPolicy.DeleteCustomConstraintgoogle.cloud.orgpolicy.v2.OrgPolicy.DeletePolicygoogle.cloud.orgpolicy.v2.OrgPolicy.UpdateCustomConstraintgoogle.cloud.orgpolicy.v2.OrgPolicy.UpdatePolicy |
יומני ביקורת של ממשק ה-API
במאמר בנושא ניהול הזהויות והרשאות הגישה (IAM) ל-Organization Policy Service מוסבר איך מתבצעת הבדיקה של ההרשאות לכל method ואילו הרשאות נבדקות.
google.cloud.orgpolicy.v2.OrgPolicy
יומני הביקורת הבאים משויכים ל-methods ששייכות ל-google.cloud.orgpolicy.v2.OrgPolicy.
CreateCustomConstraint
- Method:
google.cloud.orgpolicy.v2.OrgPolicy.CreateCustomConstraint - סוג יומן הביקורת: פעילות אדמין
- הרשאות:
orgpolicy.customConstraints.create - ADMIN_WRITE
- ה-method היא פעולה ממושכת או פעולת סטרימינג:
לא.
- סינון לפי ה-method:
protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.CreateCustomConstraint"
CreatePolicy
- Method:
google.cloud.orgpolicy.v2.OrgPolicy.CreatePolicy - סוג יומן הביקורת: פעילות אדמין
- הרשאות:
orgpolicy.policies.create - ADMIN_WRITE
- ה-method היא פעולה ממושכת או פעולת סטרימינג:
לא.
- סינון לפי ה-method:
protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.CreatePolicy"
DeleteCustomConstraint
- Method:
google.cloud.orgpolicy.v2.OrgPolicy.DeleteCustomConstraint - סוג יומן הביקורת: פעילות אדמין
- הרשאות:
orgpolicy.customConstraints.delete - ADMIN_WRITE
- ה-method היא פעולה ממושכת או פעולת סטרימינג:
לא.
- סינון לפי ה-method:
protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.DeleteCustomConstraint"
DeletePolicy
- Method:
google.cloud.orgpolicy.v2.OrgPolicy.DeletePolicy - סוג יומן הביקורת: פעילות אדמין
- הרשאות:
orgpolicy.policies.delete - ADMIN_WRITE
- ה-method היא פעולה ממושכת או פעולת סטרימינג:
לא.
- סינון לפי ה-method:
protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.DeletePolicy"
GetCustomConstraint
- Method:
google.cloud.orgpolicy.v2.OrgPolicy.GetCustomConstraint - סוג יומן הביקורת: גישה לנתונים
- הרשאות:
orgpolicy.customConstraints.get - ADMIN_READ
- ה-method היא פעולה ממושכת או פעולת סטרימינג:
לא.
- סינון לפי ה-method:
protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.GetCustomConstraint"
GetEffectivePolicy
- Method:
google.cloud.orgpolicy.v2.OrgPolicy.GetEffectivePolicy - סוג יומן הביקורת: גישה לנתונים
- הרשאות:
orgpolicy.policy.get - ADMIN_READ
- ה-method היא פעולה ממושכת או פעולת סטרימינג:
לא.
- סינון לפי ה-method:
protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.GetEffectivePolicy"
GetPolicy
- Method:
google.cloud.orgpolicy.v2.OrgPolicy.GetPolicy - סוג יומן הביקורת: גישה לנתונים
- הרשאות:
orgpolicy.policy.get - ADMIN_READ
- ה-method היא פעולה ממושכת או פעולת סטרימינג:
לא.
- סינון לפי ה-method:
protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.GetPolicy"
ListConstraints
- Method:
google.cloud.orgpolicy.v2.OrgPolicy.ListConstraints - סוג יומן הביקורת: גישה לנתונים
- הרשאות:
orgpolicy.constraints.list - ADMIN_READ
- ה-method היא פעולה ממושכת או פעולת סטרימינג:
לא.
- סינון לפי ה-method:
protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.ListConstraints"
ListCustomConstraints
- Method:
google.cloud.orgpolicy.v2.OrgPolicy.ListCustomConstraints - סוג יומן הביקורת: גישה לנתונים
- הרשאות:
orgpolicy.customConstraints.list - ADMIN_READ
- ה-method היא פעולה ממושכת או פעולת סטרימינג:
לא.
- סינון לפי ה-method:
protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.ListCustomConstraints"
ListPolicies
- Method:
google.cloud.orgpolicy.v2.OrgPolicy.ListPolicies - סוג יומן הביקורת: גישה לנתונים
- הרשאות:
orgpolicy.policies.list - ADMIN_READ
- ה-method היא פעולה ממושכת או פעולת סטרימינג:
לא.
- סינון לפי ה-method:
protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.ListPolicies"
UpdateCustomConstraint
- Method:
google.cloud.orgpolicy.v2.OrgPolicy.UpdateCustomConstraint - סוג יומן הביקורת: פעילות אדמין
- הרשאות:
orgpolicy.customConstraints.update - ADMIN_WRITE
- ה-method היא פעולה ממושכת או פעולת סטרימינג:
לא.
- סינון לפי ה-method:
protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.UpdateCustomConstraint"
UpdatePolicy
- Method:
google.cloud.orgpolicy.v2.OrgPolicy.UpdatePolicy - סוג יומן הביקורת: פעילות אדמין
- הרשאות:
orgpolicy.policies.update - ADMIN_WRITE
- ה-method היא פעולה ממושכת או פעולת סטרימינג:
לא.
- סינון לפי ה-method:
protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.UpdatePolicy"