Audit-Logging für Organisationsrichtlinien

In diesem Dokument wird das Audit-Logging für den Organisationsrichtliniendienst beschrieben. Google Cloud -Dienste generieren Audit-Logs, die Verwaltungs- und Zugriffsaktivitäten in Ihren Google Cloud -Ressourcen aufzeichnen. Weitere Informationen zu Cloud-Audit-Logs finden Sie hier:

• Arten von Audit-Logs
• Struktur von Audit-Logeinträgen
• Audit-Logs speichern und weiterleiten
• Preisübersicht für Cloud Logging
• Audit-Logs zum Datenzugriff aktivieren

Hinweise

In diesem Dokument wird das Audit-Logging für den Dienst beschrieben, mit dem die Richtlinien der Organisation verwaltet werden. Weitere Informationen zu Protokollen mit der Meldung „Richtlinienverstoß“ finden Sie unter VPC Service Controls.

Dienstname

Audit-Logs für den Organisationsrichtliniendienst verwenden den Dienstnamen orgpolicy.googleapis.com. Nach diesem Dienst filtern:

    protoPayload.serviceName="orgpolicy.googleapis.com"
  

Methoden nach Berechtigungstyp

Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert ein Enum ist, der einen der folgenden vier Werte haben kann: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen, generiert der Organisationsrichtliniendienst ein Audit-Log, dessen Kategorie vom Attribut type der Berechtigung abhängt, die für die Ausführung der Methode erforderlich ist. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff. Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.

Audit-Logs der API-Schnittstelle

Informationen dazu, wie und welche Berechtigungen für die einzelnen Methoden evaluiert werden, finden Sie in der Dokumentation zur Identitäts- und Zugriffsverwaltung für den Organisationsrichtliniendienst.

google.cloud.orgpolicy.v2.OrgPolicy

Die folgenden Audit-Logs sind Methoden zugeordnet, die zu google.cloud.orgpolicy.v2.OrgPolicy gehören.

CreateCustomConstraint

• Methode: google.cloud.orgpolicy.v2.OrgPolicy.CreateCustomConstraint
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • orgpolicy.customConstraints.create - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.CreateCustomConstraint"
  

CreatePolicy

• Methode: google.cloud.orgpolicy.v2.OrgPolicy.CreatePolicy
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • orgpolicy.policies.create - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.CreatePolicy"
  

DeleteCustomConstraint

• Methode: google.cloud.orgpolicy.v2.OrgPolicy.DeleteCustomConstraint
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • orgpolicy.customConstraints.delete - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.DeleteCustomConstraint"
  

DeletePolicy

• Methode: google.cloud.orgpolicy.v2.OrgPolicy.DeletePolicy
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • orgpolicy.policies.delete - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.DeletePolicy"
  

GetCustomConstraint

• Methode: google.cloud.orgpolicy.v2.OrgPolicy.GetCustomConstraint
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • orgpolicy.customConstraints.get - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.GetCustomConstraint"
  

GetEffectivePolicy

• Methode: google.cloud.orgpolicy.v2.OrgPolicy.GetEffectivePolicy
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • orgpolicy.policy.get - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.GetEffectivePolicy"
  

GetPolicy

• Methode: google.cloud.orgpolicy.v2.OrgPolicy.GetPolicy
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • orgpolicy.policy.get - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.GetPolicy"
  

ListConstraints

• Methode: google.cloud.orgpolicy.v2.OrgPolicy.ListConstraints
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • orgpolicy.constraints.list - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.ListConstraints"
  

ListCustomConstraints

• Methode: google.cloud.orgpolicy.v2.OrgPolicy.ListCustomConstraints
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • orgpolicy.customConstraints.list - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.ListCustomConstraints"
  

ListPolicies

• Methode: google.cloud.orgpolicy.v2.OrgPolicy.ListPolicies
  
• Audit-Logtyp: Datenzugriff
  
• Berechtigungen:
  • orgpolicy.policies.list - ADMIN_READ
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.ListPolicies"
  

UpdateCustomConstraint

• Methode: google.cloud.orgpolicy.v2.OrgPolicy.UpdateCustomConstraint
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • orgpolicy.customConstraints.update - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.UpdateCustomConstraint"
  

UpdatePolicy

• Methode: google.cloud.orgpolicy.v2.OrgPolicy.UpdatePolicy
  
• Audit-Logtyp: Administratoraktivität
  
• Berechtigungen:
  • orgpolicy.policies.update - ADMIN_WRITE
• Methode ist ein Vorgang mit langer Ausführungszeit oder Streamingvorgang: Nr.
  
• Filter für diese Methode: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.UpdatePolicy"