本文档介绍了 Google Cloud Armor 的审核日志记录。Google Cloud 服务会生成审核日志,以记录 Google Cloud 资源中的管理和访问活动。 如需详细了解 Cloud Audit Logs,请参阅以下内容:
服务名称
Google Cloud Armor 审核日志使用服务名称 compute.googleapis.com
。
针对此服务的过滤条件:
protoPayload.serviceName="compute.googleapis.com"
方法(按权限类型)
每个 IAM 权限都有一个 type
属性,该属性的值是一个枚举,可以是以下四个值之一:ADMIN_READ
、ADMIN_WRITE
、DATA_READ
或 DATA_WRITE
。在您调用某个方法时,Google Cloud Armor 会生成一个审核日志,其类别取决于执行该方法所需权限的 type
属性。需要 IAM 权限且 type
属性值为 DATA_READ
、DATA_WRITE
或 ADMIN_READ
的方法会生成数据访问审核日志。需要 IAM 权限且 type
属性值为 ADMIN_WRITE
的方法会生成管理员活动审核日志。
权限类型 | 方法 |
---|---|
ADMIN_READ |
v1.compute.backendServices.aggregatedList v1.compute.backendServices.get v1.compute.backendServices.getHealth v1.compute.backendServices.getIamPolicy v1.compute.backendServices.list v1.compute.backendServices.testIamPermissions v1.compute.securityPolicies.aggregatedList v1.compute.securityPolicies.get v1.compute.securityPolicies.getRule v1.compute.securityPolicies.list v1.compute.securityPolicies.listPreconfiguredExpressionSets |
ADMIN_WRITE |
v1.compute.backendServices.addSignedUrlKey v1.compute.backendServices.delete v1.compute.backendServices.deleteSignedUrlKey v1.compute.backendServices.insert v1.compute.backendServices.patch v1.compute.backendServices.setEdgeSecurityPolicy v1.compute.backendServices.setIamPolicy v1.compute.backendServices.setSecurityPolicy v1.compute.backendServices.update v1.compute.securityPolicies.addRule v1.compute.securityPolicies.delete v1.compute.securityPolicies.insert v1.compute.securityPolicies.patch v1.compute.securityPolicies.patchRule v1.compute.securityPolicies.removeRule v1.compute.securityPolicies.setLabels |
API 接口审核日志
如需了解如何评估每种方法的权限以及评估哪些权限,请参阅 Google Cloud Armor 的 Identity and Access Management 文档。
compute.v1.BackendServicesService
以下审核日志与属于 compute.v1.BackendServicesService
的方法相关联。
addSignedUrlKey
- 方法:
v1.compute.backendServices.addSignedUrlKey
- 审核日志类型:管理员活动
- 权限:
compute.backendServices.addSignedUrlKey - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.backendServices.addSignedUrlKey"
aggregatedList
- 方法:
v1.compute.backendServices.aggregatedList
- 审核日志类型:数据访问
- 权限:
compute.backendServices.list - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.backendServices.aggregatedList"
delete
- 方法:
v1.compute.backendServices.delete
- 审核日志类型:管理员活动
- 权限:
compute.backendServices.delete - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.backendServices.delete"
deleteSignedUrlKey
- 方法:
v1.compute.backendServices.deleteSignedUrlKey
- 审核日志类型:管理员活动
- 权限:
compute.backendServices.deleteSignedUrlKey - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.backendServices.deleteSignedUrlKey"
get
- 方法:
v1.compute.backendServices.get
- 审核日志类型:数据访问
- 权限:
compute.backendServices.get - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.backendServices.get"
getHealth
- 方法:
v1.compute.backendServices.getHealth
- 审核日志类型:数据访问
- 权限:
compute.backendServices.get - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.backendServices.getHealth"
getIamPolicy
- 方法:
v1.compute.backendServices.getIamPolicy
- 审核日志类型:数据访问
- 权限:
compute.backendServices.getIamPolicy - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.backendServices.getIamPolicy"
insert
- 方法:
v1.compute.backendServices.insert
- 审核日志类型:管理员活动
- 权限:
compute.backendServices.create - ADMIN_WRITE
compute.instanceGroups.use - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.backendServices.insert"
list
- 方法:
v1.compute.backendServices.list
- 审核日志类型:数据访问
- 权限:
compute.backendServices.list - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.backendServices.list"
patch
- 方法:
v1.compute.backendServices.patch
- 审核日志类型:管理员活动
- 权限:
compute.backendServices.get - ADMIN_READ
compute.backendServices.update - ADMIN_WRITE
compute.healthChecks.useReadOnly - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.backendServices.patch"
setEdgeSecurityPolicy
- 方法:
v1.compute.backendServices.setEdgeSecurityPolicy
- 审核日志类型:管理员活动
- 权限:
compute.backendServices.setSecurityPolicy - ADMIN_WRITE
compute.securityPolicies.use - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.backendServices.setEdgeSecurityPolicy"
setIamPolicy
- 方法:
v1.compute.backendServices.setIamPolicy
- 审核日志类型:管理员活动
- 权限:
compute.backendServices.setIamPolicy - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.backendServices.setIamPolicy"
setSecurityPolicy
- 方法:
v1.compute.backendServices.setSecurityPolicy
- 审核日志类型:管理员活动
- 权限:
compute.backendServices.setSecurityPolicy - ADMIN_WRITE
compute.securityPolicies.use - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.backendServices.setSecurityPolicy"
testIamPermissions
- 方法:
v1.compute.backendServices.testIamPermissions
- 审核日志类型:数据访问
- 权限:
compute.backendServices.list - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.backendServices.testIamPermissions"
update
- 方法:
v1.compute.backendServices.update
- 审核日志类型:管理员活动
- 权限:
compute.backendServices.update - ADMIN_WRITE
compute.healthChecks.useReadOnly - ADMIN_READ
compute.instanceGroups.use - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.backendServices.update"
compute.v1.SecurityPoliciesService
以下审核日志与属于 compute.v1.SecurityPoliciesService
的方法相关联。
addRule
- 方法:
v1.compute.securityPolicies.addRule
- 审核日志类型:管理员活动
- 权限:
compute.securityPolicies.update - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.securityPolicies.addRule"
aggregatedList
- 方法:
v1.compute.securityPolicies.aggregatedList
- 审核日志类型:数据访问
- 权限:
compute.securityPolicies.list - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.securityPolicies.aggregatedList"
delete
- 方法:
v1.compute.securityPolicies.delete
- 审核日志类型:管理员活动
- 权限:
compute.securityPolicies.delete - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.securityPolicies.delete"
get
- 方法:
v1.compute.securityPolicies.get
- 审核日志类型:数据访问
- 权限:
compute.securityPolicies.get - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.securityPolicies.get"
getRule
- 方法:
v1.compute.securityPolicies.getRule
- 审核日志类型:数据访问
- 权限:
compute.securityPolicies.get - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.securityPolicies.getRule"
insert
- 方法:
v1.compute.securityPolicies.insert
- 审核日志类型:管理员活动
- 权限:
compute.securityPolicies.create - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.securityPolicies.insert"
list
- 方法:
v1.compute.securityPolicies.list
- 审核日志类型:数据访问
- 权限:
compute.securityPolicies.list - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.securityPolicies.list"
listPreconfiguredExpressionSets
- 方法:
v1.compute.securityPolicies.listPreconfiguredExpressionSets
- 审核日志类型:数据访问
- 权限:
compute.securityPolicies.list - ADMIN_READ
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.securityPolicies.listPreconfiguredExpressionSets"
patch
- 方法:
v1.compute.securityPolicies.patch
- 审核日志类型:管理员活动
- 权限:
compute.securityPolicies.update - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.securityPolicies.patch"
patchRule
- 方法:
v1.compute.securityPolicies.patchRule
- 审核日志类型:管理员活动
- 权限:
compute.securityPolicies.update - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.securityPolicies.patchRule"
removeRule
- 方法:
v1.compute.securityPolicies.removeRule
- 审核日志类型:管理员活动
- 权限:
compute.securityPolicies.update - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.securityPolicies.removeRule"
setLabels
- 方法:
v1.compute.securityPolicies.setLabels
- 审核日志类型:管理员活动
- 权限:
compute.securityPolicies.setLabels - ADMIN_WRITE
- 方法是长时间运行的操作或流式传输操作:否。
- 此方法的过滤条件:
protoPayload.methodName="v1.compute.securityPolicies.setLabels"