本頁說明如何使用 Chrome Enterprise 進階版保護Google Cloud 主控台和 Google Cloud API 時,稽核記錄的運作方式。
根據預設,Chrome Enterprise Premium 會記錄所有存取要求,包括對Google Cloud 控制台和 Google Cloud API 的存取要求,這些要求因違反安全性政策而遭到 Cloud Logging 拒絕。稽核記錄會妥善存放在 Google 基礎架構中,供日後分析之用。在Google Cloud 控制台中,每個機構的稽核記錄內容是分開的。Chrome Enterprise 進階版稽核記錄會寫入「已稽核的資源」記錄串流中,並可透過 Cloud Logging 查看。
稽核記錄內容
每筆稽核記錄都包含兩大類別的資訊:原始呼叫的相關資訊,以及安全性政策違規相關資訊。填入方式如下:
| 稽核記錄欄位 | 意義 |
logName
|
機構識別和稽核記錄類型。 |
serviceName
|
針對導致這筆稽核記錄產生的呼叫,提供負責處理這個呼叫的服務名稱 contextawareaccess.googleapis.com。 |
authenticationInfo.principal_email
|
發出原始呼叫的使用者電子郵件地址。 |
timestamp
|
指定作業的時間。 |
resource
|
稽核作業的目標。 |
resourceName
|
這個機構是稽核記錄的接收對象。 |
requestMetadata.callerIp
|
產生呼叫的 IP 位址。 |
requestMetadata.requestAttributes.auth.accessLevels
|
要求滿足的有效存取層級。 |
status
|
此記錄所述的作業整體處理狀態。 |
metadata
|
google.cloud.audit.ContextAwareAccessAuditMetadata protobuf 類型的例項,會序列化為 JSON Struct。其「unsatisfiedAccessLevels」欄位包含要求未能滿足的存取層級清單。 |
存取稽核記錄
在Google Cloud 控制台中,每個機構的稽核記錄內容是分開的。Chrome Enterprise 進階版稽核記錄會寫入「已稽核的資源」記錄串流中,並可透過 Cloud Logging 查看。
後續步驟
- 進一步瞭解 Cloud 稽核記錄。
- 進一步瞭解如何在 Identity-Aware Proxy 中啟用 Cloud 稽核記錄。
- 進一步瞭解 VPC Service Controls 中的稽核記錄。