[Cloud IAM] 특정 리소스에 대한 Data Access Audit Log를 활성화 하고 싶습니다. : 베스핀글로벌

안녕하세요,

베스핀글로벌 GCP Support팀입니다.

이번 아티클에서는 주제로 "Data Access Audit Log를 활성화 하는 방법"을 다루고자 합니다.

Data Access Audit Log란?

Google Cloud 서비스는 Google Cloud 리소스 내의 관리 활동과 액세스를 기록하는 Audit Log를 작성합니다.

Audit Log에는 항상 기록되는 Admin Activity audit log, System event audit log 등이 있습니다.

그 외에 리소스의 구성 또는 메타데이터를 읽는 API 호출, 사용자가 제공한 리소스 데이터 생성, 수정, 읽기에 대한 사용자 주도 API 호출에 대한 Audit Log인 Data Access Audit Log가 있습니다.

다른 Audit Log 와 달리 Data Access Audit Log는 많은 용량의 Log가 발생할 수 있음으로 기본적으로 중지되어 있습니다.

매월 기본적으로 50GiB까지의 Log는 요금이 발생하지 않지만 무료 할당량 이후 추가 로그 사용량에 따라 높은 금액의 요금이 청구 됩니다.

따라서 필요하지 않은 Data Access Audit Log를 활성화 하는 것은 권장되지 않으며 exclusion filter를 사용해서 수집 시 제외 처리를 할 수도 있습니다.

※ _Required 로그 버킷에 저장된 로그는 보관 요금이 없으며, 보관 기간은 400일로 고정되어 있습니다.

Data Access Audit Log를 활성화 하는 방법은 Console의 Iam & Admin 섹션에서 진행 할 수 있습니다.

- 콘솔 > IAM & Admin > Audit Logs

여기서 활성하고자 하는 리소스 API를 filtering 한 후 Data Access audit log를 사용 설정 할 수 있습니다.

이 때 Exempted Principals 탭에서 특정 구성원에 대해 Data Access audit log 생성을 제외할 수 있습니다.

활성화된 Data Access Audit Log는 Logs Explorer에서 확인할 수 있습니다.

우측 상단의 Log Name 검색에서 data_access를 선택하여 data access audit log를 필터링 해 확인할 수 있습니다.

- 콘솔 > Logging > Logs Explorer

[1] Data Access Audit Log 사용 설정

[2] GCP Cloud Suite 제품 비용 문서

관련 문의사항이 있으시면 Support Portal에 문의해 주시기 바랍니다.

감사합니다.