本文說明 OS Login 的稽核記錄。 Google Cloud 服務會產生稽核記錄,記錄 Google Cloud 資源中的管理和存取活動。如要進一步瞭解 Cloud 稽核記錄,請參閱下列資源:
附註
本文件說明 OS 登入 API 產生的稽核記錄。如要進一步瞭解使用 OS 登入服務所需的 IAM 權限,請參閱「設定 OS 登入」。
服務名稱
OS Login 稽核記錄會使用服務名稱 oslogin.googleapis.com。這項服務的篩選器:
protoPayload.serviceName="oslogin.googleapis.com"
依權限類型劃分的方法
每個 IAM 權限都有一個 type 屬性,其值是枚舉,可為四個值之一:ADMIN_READ、ADMIN_WRITE、DATA_READ 或 DATA_WRITE。當您呼叫方法時,OS 登入會產生稽核記錄,其類別取決於執行方法所需權限的 type 屬性。需要 DATA_READ、DATA_WRITE 或 ADMIN_READ 的 type 屬性值的 IAM 權限的程式會產生資料存取稽核記錄。需要 IAM 權限,且 type 屬性值為 ADMIN_WRITE 的方法會產生管理員活動稽核記錄。
| 權限類型 | 方法 |
|---|---|
DATA_WRITE |
google.cloud.oslogin.v1.OsLoginService.ImportSshPublicKeygoogle.cloud.oslogin.v1alpha.OsLoginService.SignSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.ImportSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.ProvisionPosixAccountgoogle.cloud.oslogin.v1beta.OsLoginService.SignSshPublicKey |
API 介面稽核記錄
如要瞭解每種方法的權限評估方式和權限,請參閱 OS 登入的 身分與存取權管理說明文件。
google.cloud.oslogin.controlplane.regional.v1alpha.OsLoginRegionalService
下列稽核記錄與屬於 google.cloud.oslogin.controlplane.regional.v1alpha.OsLoginRegionalService 的方法相關聯。
SignSshPublicKey
- 方法:
google.cloud.oslogin.controlplane.regional.v1alpha.OsLoginRegionalService.SignSshPublicKey - 稽核記錄類型:資料存取
- 權限:
compute.instances.osAdminLogin - ADMIN_READcompute.instances.osLogin - ADMIN_READ
- 方法是長期執行或串流作業:否。
- 適用於此方法的篩選器:
protoPayload.methodName="google.cloud.oslogin.controlplane.regional.v1alpha.OsLoginRegionalService.SignSshPublicKey"
google.cloud.oslogin.controlplane.regional.v1beta.OsLoginRegionalService
下列稽核記錄與屬於 google.cloud.oslogin.controlplane.regional.v1beta.OsLoginRegionalService 的方法相關聯。
SignSshPublicKey
- 方法:
google.cloud.oslogin.controlplane.regional.v1beta.OsLoginRegionalService.SignSshPublicKey - 稽核記錄類型:資料存取
- 權限:
compute.instances.osAdminLogin - ADMIN_READcompute.instances.osLogin - ADMIN_READ
- 方法是長期執行或串流作業:否。
- 適用於此方法的篩選器:
protoPayload.methodName="google.cloud.oslogin.controlplane.regional.v1beta.OsLoginRegionalService.SignSshPublicKey"
google.cloud.oslogin.dataplane.OsLoginDataPlaneService
下列稽核記錄與屬於 google.cloud.oslogin.dataplane.OsLoginDataPlaneService 的方法相關聯。
ListLoginProfiles
- 方法:
google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ListLoginProfiles - 稽核記錄類型:資料存取
- 方法是長期執行或串流作業:否。
- 適用於此方法的篩選器:
protoPayload.methodName="google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ListLoginProfiles"
CheckPolicy
- 方法:
google.cloud.oslogin.dataplane.OsLoginDataPlaneService.CheckPolicy - 稽核記錄類型:資料存取
- 方法是長期執行或串流作業:否。
- 適用於此方法的篩選器:
protoPayload.methodName="google.cloud.oslogin.dataplane.OsLoginDataPlaneService.CheckPolicy"
StartSession
- 方法:
google.cloud.oslogin.dataplane.OsLoginDataPlaneService.StartSession - 稽核記錄類型:資料存取
- 方法是長期執行或串流作業:否。
- 適用於此方法的篩選器:
protoPayload.methodName="google.cloud.oslogin.dataplane.OsLoginDataPlaneService.StartSession"
ContinueSession
- 方法:
google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ContinueSession - 稽核記錄類型:資料存取
- 方法是長期執行或串流作業:否。
- 適用於此方法的篩選器:
protoPayload.methodName="google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ContinueSession"
google.cloud.oslogin.v1.OsLoginService
下列稽核記錄與屬於 google.cloud.oslogin.v1.OsLoginService 的方法相關聯。
ImportSshPublicKey
- 方法:
google.cloud.oslogin.v1.OsLoginService.ImportSshPublicKey - 稽核記錄類型:資料存取
- 權限:
compute.oslogin.updateExternalUser - DATA_WRITE
- 方法是長期執行或串流作業:否。
- 適用於此方法的篩選器:
protoPayload.methodName="google.cloud.oslogin.v1.OsLoginService.ImportSshPublicKey"
google.cloud.oslogin.v1alpha.OsLoginService
下列稽核記錄與屬於 google.cloud.oslogin.v1alpha.OsLoginService 的方法相關聯。
SignSshPublicKey
- 方法:
google.cloud.oslogin.v1alpha.OsLoginService.SignSshPublicKey - 稽核記錄類型:資料存取
- 權限:
compute.oslogin.updateExternalUser - DATA_WRITE
- 方法是長期執行或串流作業:否。
- 適用於此方法的篩選器:
protoPayload.methodName="google.cloud.oslogin.v1alpha.OsLoginService.SignSshPublicKey"
google.cloud.oslogin.v1beta.OsLoginService
下列稽核記錄與屬於 google.cloud.oslogin.v1beta.OsLoginService 的方法相關聯。
ImportSshPublicKey
- 方法:
google.cloud.oslogin.v1beta.OsLoginService.ImportSshPublicKey - 稽核記錄類型:資料存取
- 權限:
compute.oslogin.updateExternalUser - DATA_WRITE
- 方法是長期執行或串流作業:否。
- 適用於此方法的篩選器:
protoPayload.methodName="google.cloud.oslogin.v1beta.OsLoginService.ImportSshPublicKey"
ProvisionPosixAccount
- 方法:
google.cloud.oslogin.v1beta.OsLoginService.ProvisionPosixAccount - 稽核記錄類型:資料存取
- 權限:
compute.oslogin.updateExternalUser - DATA_WRITE
- 方法是長期執行或串流作業:否。
- 適用於此方法的篩選器:
protoPayload.methodName="google.cloud.oslogin.v1beta.OsLoginService.ProvisionPosixAccount"
SignSshPublicKey
- 方法:
google.cloud.oslogin.v1beta.OsLoginService.SignSshPublicKey - 稽核記錄類型:資料存取
- 權限:
compute.oslogin.updateExternalUser - DATA_WRITE
- 方法是長期執行或串流作業:否。
- 適用於此方法的篩選器:
protoPayload.methodName="google.cloud.oslogin.v1beta.OsLoginService.SignSshPublicKey"
不會產生稽核記錄的方法
部分 OS 登入方法不會產生稽核記錄,因為這些方法會針對使用者範圍的資源執行操作,而非專案、資料夾或機構。
下列方法不會產生稽核記錄:
google.cloud.oslogin.v1.OsLoginService.CreateSshPublicKeygoogle.cloud.oslogin.v1.OsLoginService.DeletePosixAccountgoogle.cloud.oslogin.v1.OsLoginService.DeleteSshPublicKeygoogle.cloud.oslogin.v1.OsLoginService.GetLoginProfilegoogle.cloud.oslogin.v1.OsLoginService.GetSshPublicKeygoogle.cloud.oslogin.v1.OsLoginService.UpdateSshPublicKeygoogle.cloud.oslogin.v1alpha.OsLoginService.CreateSshPublicKeygoogle.cloud.oslogin.v1alpha.OsLoginService.DeletePosixAccountgoogle.cloud.oslogin.v1alpha.OsLoginService.DeleteSshPublicKeygoogle.cloud.oslogin.v1alpha.OsLoginService.GetLoginProfilegoogle.cloud.oslogin.v1alpha.OsLoginService.GetSshPublicKeygoogle.cloud.oslogin.v1alpha.OsLoginService.ProvisionPosixAccountgoogle.cloud.oslogin.v1alpha.OsLoginService.UpdateSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.CreateSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.DeletePosixAccountgoogle.cloud.oslogin.v1beta.OsLoginService.DeleteSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.GetLoginProfilegoogle.cloud.oslogin.v1beta.OsLoginService.GetSshPublicKeygoogle.cloud.oslogin.v1beta.OsLoginService.UpdateSshPublicKey
後續步驟
- 進一步瞭解 Logging 查詢語言,以便自訂 OS Login 稽核記錄查詢。
- 瞭解如何透過 SSH 連線至 Linux VM,在 Compute Engine 上執行工作負載。