指定服務的稽核設定。這類設定可判斷要記錄的權限類型,以及哪些身分識別不必記錄 (如適用)。AuditConfig 必須具有一或多個 AuditLogConfig。
如果 allServices 和特定服務都有 AuditConfigs,則該服務會使用這兩個 AuditConfig 的聯集:每個 AuditConfig 中指定的 log_types 都會啟用,而每個 AuditLogConfig 中的 exemptedMembers 則不啟用。
具有多個 AuditConfigs 的範例政策:
{
"auditConfigs": [
{
"service": "allServices",
"auditLogConfigs": [
{
"logType": "DATA_READ",
"exemptedMembers": [
"user:jose@example.com"
]
},
{
"logType": "DATA_WRITE"
},
{
"logType": "ADMIN_READ"
}
]
},
{
"service": "sampleservice.googleapis.com",
"auditLogConfigs": [
{
"logType": "DATA_READ"
},
{
"logType": "DATA_WRITE",
"exemptedMembers": [
"user:aliya@example.com"
]
}
]
}
]
}
針對 sampleservice,這項政策會啟用 DATA_READ、DATA_WRITE 和 ADMIN_READ 記錄功能。此外,該政策會將 jose@example.com 從 DATA_READ 記錄中排除,並將 aliya@example.com 從 DATA_WRITE 記錄中排除。
| JSON 表示法 |
|---|
{
"service": string,
"auditLogConfigs": [
{
object ( |
| 欄位 | |
|---|---|
service |
指定要啟用稽核記錄功能的服務,例如: |
auditLogConfigs[] |
用於記錄各類型權限的設定。 |
AuditLogConfig
提供用於記錄權限類型的設定,例如:
{
"auditLogConfigs": [
{
"logType": "DATA_READ",
"exemptedMembers": [
"user:jose@example.com"
]
},
{
"logType": "DATA_WRITE"
}
]
}
這樣可以啟用「DATA_READ」和「DATA_WRITE」記錄功能,同時避免 DATA_READ 記錄 jose@example.com。
| JSON 表示法 |
|---|
{
"logType": enum ( |
| 欄位 | |
|---|---|
logType |
此設定啟用的記錄類型。 |
exemptedMembers[] |
指定不會導致記錄這類權限的身分識別,遵循 |