このページの一部またはすべての情報は、S3NS の Cloud de Confiance に適用されない場合があります。詳細については、Google Cloud との違いをご確認ください。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

組織のポリシーの監査ロギング

このドキュメントでは、組織のポリシーサービスの監査ロギングについて説明します。 Cloud de Confiance by S3NS サービスは、 Cloud de Confiance by S3NS リソース内の管理アクティビティとアクセスアクティビティを記録する監査ログを生成します。Cloud Audit Logs の詳細については、以下をご覧ください。

メモ

このドキュメントでは、組織のポリシーを管理するサービスの監査ロギングについて説明します。Policy Denied ログ自体の詳細については、VPC Service Controls をご覧ください。

Organization Policy API の v1 バージョンは cloudresourcemanager.googleapis.com でホストされています。詳細については、Resource Manager の監査ロギングページをご覧ください。

サービス名

組織のポリシーサービスの監査ログでは、サービス名 orgpolicy.googleapis.com が使用されます。このサービスでフィルタ:

    protoPayload.serviceName="orgpolicy.googleapis.com"

メソッド（権限タイプ別）

各 IAM 権限には type プロパティがあります。このプロパティの値は列挙型で、ADMIN_READ、ADMIN_WRITE、DATA_READ、DATA_WRITE のいずれかになります。メソッドを呼び出すと、Organization Policy Service によって監査ログが生成されます。監査ログのカテゴリは、そのメソッドの実行に必要な権限の type プロパティによって決まります。type プロパティ値が DATA_READ、DATA_WRITE、または ADMIN_READ の IAM 権限を必要とするメソッドは、データアクセス監査ログを生成します。type プロパティ値が ADMIN_WRITE の IAM 権限を必要とするメソッドは、管理アクティビティ監査ログを生成します。

次のリスト中の（LRO）と付記されている API メソッドは、長時間実行オペレーション（LRO）です。これらのメソッドは、通常、2 つの監査ログエントリを生成します。一つはオペレーションの開始時、もう一つは終了時に生成されます。詳細については、長時間実行オペレーションの監査ログをご覧ください。

権限タイプ	メソッド
`ADMIN_READ`	`google.cloud.orgpolicy.v2.OrgPolicy.GetCustomConstraint` `google.cloud.orgpolicy.v2.OrgPolicy.GetEffectivePolicy` `google.cloud.orgpolicy.v2.OrgPolicy.GetPolicy` `google.cloud.orgpolicy.v2.OrgPolicy.ListConstraints` `google.cloud.orgpolicy.v2.OrgPolicy.ListCustomConstraints` `google.cloud.orgpolicy.v2.OrgPolicy.ListPolicies`
`ADMIN_WRITE`	`google.cloud.orgpolicy.v2.OrgPolicy.CreateCustomConstraint` `google.cloud.orgpolicy.v2.OrgPolicy.CreatePolicy` `google.cloud.orgpolicy.v2.OrgPolicy.DeleteCustomConstraint` `google.cloud.orgpolicy.v2.OrgPolicy.DeletePolicy` `google.cloud.orgpolicy.v2.OrgPolicy.UpdateCustomConstraint` `google.cloud.orgpolicy.v2.OrgPolicy.UpdatePolicy`

API インターフェースの監査ログ

各メソッドで評価される権限とその方法については、組織のポリシーサービスの Identity and Access Management のドキュメントをご覧ください。

`google.cloud.orgpolicy.v2.OrgPolicy`

次の監査ログは、google.cloud.orgpolicy.v2.OrgPolicy に属するメソッドに関連付けられています。

`CreateCustomConstraint`

メソッド: google.cloud.orgpolicy.v2.OrgPolicy.CreateCustomConstraint
監査ログのタイプ: 管理アクティビティ
権限:
- orgpolicy.customConstraints.create - ADMIN_WRITE
メソッドが長時間実行オペレーションまたはストリーミングオペレーションのどちらであるか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.CreateCustomConstraint"

`CreatePolicy`

メソッド: google.cloud.orgpolicy.v2.OrgPolicy.CreatePolicy
監査ログのタイプ: 管理アクティビティ
権限:
- orgpolicy.policies.create - ADMIN_WRITE
メソッドが長時間実行オペレーションまたはストリーミングオペレーションのどちらであるか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.CreatePolicy"

`DeleteCustomConstraint`

メソッド: google.cloud.orgpolicy.v2.OrgPolicy.DeleteCustomConstraint
監査ログのタイプ: 管理アクティビティ
権限:
- orgpolicy.customConstraints.delete - ADMIN_WRITE
メソッドが長時間実行オペレーションまたはストリーミングオペレーションのどちらであるか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.DeleteCustomConstraint"

`DeletePolicy`

メソッド: google.cloud.orgpolicy.v2.OrgPolicy.DeletePolicy
監査ログのタイプ: 管理アクティビティ
権限:
- orgpolicy.policies.delete - ADMIN_WRITE
メソッドが長時間実行オペレーションまたはストリーミングオペレーションのどちらであるか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.DeletePolicy"

`GetCustomConstraint`

メソッド: google.cloud.orgpolicy.v2.OrgPolicy.GetCustomConstraint
監査ログのタイプ: データアクセス
権限:
- orgpolicy.customConstraints.get - ADMIN_READ
メソッドが長時間実行オペレーションまたはストリーミングオペレーションのどちらであるか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.GetCustomConstraint"

`GetEffectivePolicy`

メソッド: google.cloud.orgpolicy.v2.OrgPolicy.GetEffectivePolicy
監査ログのタイプ: データアクセス
権限:
- orgpolicy.policy.get - ADMIN_READ
メソッドが長時間実行オペレーションまたはストリーミングオペレーションのどちらであるか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.GetEffectivePolicy"

`GetPolicy`

メソッド: google.cloud.orgpolicy.v2.OrgPolicy.GetPolicy
監査ログのタイプ: データアクセス
権限:
- orgpolicy.policy.get - ADMIN_READ
メソッドが長時間実行オペレーションまたはストリーミングオペレーションのどちらであるか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.GetPolicy"

`ListConstraints`

メソッド: google.cloud.orgpolicy.v2.OrgPolicy.ListConstraints
監査ログのタイプ: データアクセス
権限:
- orgpolicy.constraints.list - ADMIN_READ
メソッドが長時間実行オペレーションまたはストリーミングオペレーションのどちらであるか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.ListConstraints"

`ListCustomConstraints`

メソッド: google.cloud.orgpolicy.v2.OrgPolicy.ListCustomConstraints
監査ログのタイプ: データアクセス
権限:
- orgpolicy.customConstraints.list - ADMIN_READ
メソッドが長時間実行オペレーションまたはストリーミングオペレーションのどちらであるか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.ListCustomConstraints"

`ListPolicies`

メソッド: google.cloud.orgpolicy.v2.OrgPolicy.ListPolicies
監査ログのタイプ: データアクセス
権限:
- orgpolicy.policies.list - ADMIN_READ
メソッドが長時間実行オペレーションまたはストリーミングオペレーションのどちらであるか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.ListPolicies"

`UpdateCustomConstraint`

メソッド: google.cloud.orgpolicy.v2.OrgPolicy.UpdateCustomConstraint
監査ログのタイプ: 管理アクティビティ
権限:
- orgpolicy.customConstraints.update - ADMIN_WRITE
メソッドが長時間実行オペレーションまたはストリーミングオペレーションのどちらであるか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.UpdateCustomConstraint"

`UpdatePolicy`

メソッド: google.cloud.orgpolicy.v2.OrgPolicy.UpdatePolicy
監査ログのタイプ: 管理アクティビティ
権限:
- orgpolicy.policies.update - ADMIN_WRITE
メソッドが長時間実行オペレーションまたはストリーミングオペレーションのどちらであるか: どちらでもない。
このメソッドのフィルタ: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.UpdatePolicy"