In diesem Dokument wird das Audit-Logging für OS Login beschrieben. Google Cloud -Dienste generieren Audit-Logs, in denen Verwaltungs- und Zugriffsaktivitäten in Ihren Google Cloud -Ressourcen aufgezeichnet werden. Weitere Informationen zu Cloud-Audit-Logs finden Sie hier:
- Arten von Audit-Logs
- Struktur von Audit-Logeinträgen
- Audit-Logs speichern und weiterleiten
- Preisübersicht für Cloud Logging
- Audit-Logs zum Datenzugriff aktivieren
Hinweise
In diesem Dokument werden die Audit-Logs beschrieben, die von der OS Login API generiert werden. Ausführliche Informationen zu den IAM-Berechtigungen, die für die Verwendung des OS Login-Dienstes erforderlich sind, finden Sie unter OS Login einrichten.
Dienstname
Für Audit-Logs für die Anmeldung im Betriebssystem wird der Dienstname oslogin.googleapis.com verwendet.
Nach diesem Dienst filtern:
protoPayload.serviceName="oslogin.googleapis.com"
Methoden nach Berechtigungstyp
Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert ein Enum ist, der einen der folgenden vier Werte haben kann: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen, generiert OS Login ein Audit-Log, dessen Kategorie vom Attribut type der Berechtigung abhängt, die für die Ausführung der Methode erforderlich ist.
Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff.
Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.
| Berechtigungstyp | Methoden |
|---|---|
DATA_WRITE |
google.cloud.oslogin.v1.OsLoginService.ImportSshPublicKeygoogle.cloud.oslogin.v1alpha.OsLoginService.SignSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.ImportSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.ProvisionPosixAccountgoogle.cloud.oslogin.v1beta.OsLoginService.SignSshPublicKey |
Audit-Logs der API-Schnittstelle
Informationen dazu, wie und welche Berechtigungen für die einzelnen Methoden evaluiert werden, finden Sie in der Dokumentation zur Identitäts- und Zugriffsverwaltung für OS Login.
google.cloud.oslogin.controlplane.regional.v1alpha.OsLoginRegionalService
Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.oslogin.controlplane.regional.v1alpha.OsLoginRegionalService gehören.
SignSshPublicKey
- Methode:
google.cloud.oslogin.controlplane.regional.v1alpha.OsLoginRegionalService.SignSshPublicKey - Audit-Logtyp: Datenzugriff
- Berechtigungen:
compute.instances.osAdminLogin - ADMIN_READcompute.instances.osLogin - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.oslogin.controlplane.regional.v1alpha.OsLoginRegionalService.SignSshPublicKey"
google.cloud.oslogin.controlplane.regional.v1beta.OsLoginRegionalService
Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.oslogin.controlplane.regional.v1beta.OsLoginRegionalService gehören.
SignSshPublicKey
- Methode:
google.cloud.oslogin.controlplane.regional.v1beta.OsLoginRegionalService.SignSshPublicKey - Audit-Logtyp: Datenzugriff
- Berechtigungen:
compute.instances.osAdminLogin - ADMIN_READcompute.instances.osLogin - ADMIN_READ
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.oslogin.controlplane.regional.v1beta.OsLoginRegionalService.SignSshPublicKey"
google.cloud.oslogin.dataplane.OsLoginDataPlaneService
Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.oslogin.dataplane.OsLoginDataPlaneService gehören.
ListLoginProfiles
- Methode:
google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ListLoginProfiles - Audit-Logtyp: Datenzugriff
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ListLoginProfiles"
CheckPolicy
- Methode:
google.cloud.oslogin.dataplane.OsLoginDataPlaneService.CheckPolicy - Audit-Logtyp: Datenzugriff
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.oslogin.dataplane.OsLoginDataPlaneService.CheckPolicy"
StartSession
- Methode:
google.cloud.oslogin.dataplane.OsLoginDataPlaneService.StartSession - Audit-Logtyp: Datenzugriff
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.oslogin.dataplane.OsLoginDataPlaneService.StartSession"
ContinueSession
- Methode:
google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ContinueSession - Audit-Logtyp: Datenzugriff
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ContinueSession"
google.cloud.oslogin.v1.OsLoginService
Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.oslogin.v1.OsLoginService gehören.
ImportSshPublicKey
- Methode:
google.cloud.oslogin.v1.OsLoginService.ImportSshPublicKey - Audit-Logtyp: Datenzugriff
- Berechtigungen:
compute.oslogin.updateExternalUser - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.oslogin.v1.OsLoginService.ImportSshPublicKey"
google.cloud.oslogin.v1alpha.OsLoginService
Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.oslogin.v1alpha.OsLoginService gehören.
SignSshPublicKey
- Methode:
google.cloud.oslogin.v1alpha.OsLoginService.SignSshPublicKey - Audit-Logtyp: Datenzugriff
- Berechtigungen:
compute.oslogin.updateExternalUser - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.oslogin.v1alpha.OsLoginService.SignSshPublicKey"
google.cloud.oslogin.v1beta.OsLoginService
Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.oslogin.v1beta.OsLoginService gehören.
ImportSshPublicKey
- Methode:
google.cloud.oslogin.v1beta.OsLoginService.ImportSshPublicKey - Audit-Logtyp: Datenzugriff
- Berechtigungen:
compute.oslogin.updateExternalUser - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.oslogin.v1beta.OsLoginService.ImportSshPublicKey"
ProvisionPosixAccount
- Methode:
google.cloud.oslogin.v1beta.OsLoginService.ProvisionPosixAccount - Audit-Logtyp: Datenzugriff
- Berechtigungen:
compute.oslogin.updateExternalUser - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.oslogin.v1beta.OsLoginService.ProvisionPosixAccount"
SignSshPublicKey
- Methode:
google.cloud.oslogin.v1beta.OsLoginService.SignSshPublicKey - Audit-Logtyp: Datenzugriff
- Berechtigungen:
compute.oslogin.updateExternalUser - DATA_WRITE
- Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
- Filter für diese Methode:
protoPayload.methodName="google.cloud.oslogin.v1beta.OsLoginService.SignSshPublicKey"
Methoden, die keine Audit-Logs generieren
Bei einigen OS Login-Methoden werden keine Audit-Logs generiert, da sie auf Ressourcen angewendet werden, die auf einen Nutzer und nicht auf ein Projekt, einen Ordner oder eine Organisation beschränkt sind.
Die folgenden Methoden generieren keine Audit-Logs:
google.cloud.oslogin.v1.OsLoginService.CreateSshPublicKeygoogle.cloud.oslogin.v1.OsLoginService.DeletePosixAccountgoogle.cloud.oslogin.v1.OsLoginService.DeleteSshPublicKeygoogle.cloud.oslogin.v1.OsLoginService.GetLoginProfilegoogle.cloud.oslogin.v1.OsLoginService.GetSshPublicKeygoogle.cloud.oslogin.v1.OsLoginService.UpdateSshPublicKeygoogle.cloud.oslogin.v1alpha.OsLoginService.CreateSshPublicKeygoogle.cloud.oslogin.v1alpha.OsLoginService.DeletePosixAccountgoogle.cloud.oslogin.v1alpha.OsLoginService.DeleteSshPublicKeygoogle.cloud.oslogin.v1alpha.OsLoginService.GetLoginProfilegoogle.cloud.oslogin.v1alpha.OsLoginService.GetSshPublicKeygoogle.cloud.oslogin.v1alpha.OsLoginService.ProvisionPosixAccountgoogle.cloud.oslogin.v1alpha.OsLoginService.UpdateSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.CreateSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.DeletePosixAccountgoogle.cloud.oslogin.v1beta.OsLoginService.DeleteSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.GetLoginProfilegoogle.cloud.oslogin.v1beta.OsLoginService.GetSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.UpdateSshPublicKey
Nächste Schritte
- Logging-Abfragesprache, um Ihre Audit-Log-Abfragen für OS Login anzupassen
- Mehr darüber erfahren, wie SSH-Verbindungen zu Linux-VMs in Compute Engine funktionieren