Google Cloud のログインログってどこで見れるの?
誤解しやすい 「Google Cloud へのログイン」 の正体
「ユーザーが Google Cloud にログインした際のログはどこで見れますか?」とご質問をいただくことがあります。
結論を申し上げると 「Google Cloud にログインする」 という概念自体がありません。 以下の図をご覧ください。
Google Cloud だけではなく、Gmail や Google ドライブといった Google サービス を利用するには Google アカウント が必要となります。これらの Google サービスは、Google アカウントで Google にログインしてアクセス することで利用します。Google Cloud や Google ドライブにログインしているわけではなく、Google というサービスにログインしているということですね。
実際に見てみます。Google Cloud の Cloud Console に直接アクセスすると以下の認証画面にリダイレクトされます。URL は https://accounts.google.com/ となっています。
Google ドライブ へのアクセスも同様に https://accounts.google.com/ にリダイレクトされました。
accounts.google.com は Google アカウントの認証のエンドポイントとして機能しています。accounts.google.com によって正当な Google アカウントであることが認証されることによって、ログインユーザーはアクセス可能な範囲(認可された範囲)で Google サービスを利用することができます。
認証画面上の説明には「Google Cloud Platform に移動するには、Google アカウントでログインしてください。」「Google ドライブに移動するには、Google アカウントでログインしてください。」と記載があります。各サービスには「ログイン」ではなく「移動」と表現されていますね。このことより、Google というサービスにログインすることと Google Cloud にアクセスすることは切り離されていることがわかると思います。
Google へのログインイベントのログ
では 「Google へのログインイベントのログは取得できないの?」 という疑問も出てくるかもしれませんが、企業などの組織で管理する Google アカウントであればログインイベントのログが取得ができます。
組織で管理された Google アカウントのログインイベント
組織で Google アカウントを管理する場合、Google Workspace や Cloud Identity のアカウント管理機能を利用します。ここで管理する Google アカウントで Google にログインすると、認証関連のログは Google Workspace または Cloud Idenity の管理コンソール上の レポート に保存されます。
実際に見てみます。管理コンソールにログインし、[レポート] > [監査と調査] > [ユーザーのログイベント] をクリックします。
以下のようにユーザー認証関連のイベントが確認できます。
イベントをクリックすると、詳細が確認できます。
なお、レポートの「監査と調査」機能にアクセスする権限は特権管理者に付与されています。最小権限でのアクセスを構成する場合はカスタムロールに権限付与する必要があります。詳細は以下をご参照ください。
組織外の Google アカウントのログインイベント
一方で gmail.com といった個人向け Google アカウントや他組織で管理する Google アカウントのログインログは取得ができません。
Google Cloud の運用においてはプロジェクトでこのような Google アカウントに IAM ロールを付与するケースもあるかと思いますが、Google 認証イベントに関連するログを取得する方法はありませんので、管理対象となる Google アカウントはできるだけ自組織のドメインの Google Workspace 上で管理しておくのがよいでしょう。
なお、こういった Google アカウントにおいても Google Cloud API に対するリクエストのログは Google Cloud の Cloud Audit Logs を利用して取得することができます。組織管理外の Google アカウントのアクセスログも追跡できるようにカバーしておきましょう。Cloud Audit Logs やログ管理についての詳細は以下をご参照ください。
ログイベントの保持期間とタイムラグ
ユーザーのログインイベントなど、Google Workspace で取得できるログイベントデータは一般的に 6ヶ月 保持されます。
また、ログインイベントのログはデータ反映までの時間が ほぼリアルタイム(数分以内) と記載されています。過去の私の調査でもすぐにデータ反映されないケースはありましたので、タイムラグがあることは認識しておくと良いでしょう。
その他保持期間の異なるログイベントの情報、イベントごとのタイムラグについては以下をご参照ください。
Google Cloud へのイベントログ転送
Google アカウントのログインイベントなど、Google Workspace で取得可能なイベントログは Google Cloud に転送することができます。
トラブルシュートやセキュリティインシデント調査において、Google Workspace の管理コンソール上から複数ログをまとめて時系列分析をするのは正直大変です。また、ログの長期保存やリアルタイムログ検知などを構成したいケースもあるかと思います。Google Cloud への転送により Google Cloud 組織リソース上の Cloud Logging に連携 されるため、ログエクスプローラーによる直感的な分析、プロジェクトへの転送による長期保管やログアラートを利用した運用などが容易となります。なお、組織リソースのログバケットに保存されるログに料金はかかりません。
設定は Google Workspace の管理コンソールから [アカウント] > [アカウント設定] > [共有オプション] を「有効」にして保存するだけです。
Google Cloud の組織リソースにアクセスし、Cloud Logging ログエクスプローラーを参照すると Google Workspace Login Events とカテゴライズされたログインイベントのログが確認できます。
なお、ログインイベントの logName は以下のようになっており Cloud Audit Logs のデータアクセス監査ログであることがわかります(監査ログの種類についての詳細はこちら)。
logName: "organizations/<ORG_ID>/logs/cloudaudit.googleapis.com%2Fdata_access"
(おまけ) Google Cloud の IAM は認証しているわけではない?
Google Cloud IAM は「Identity and Access Management」の略であり、認証・認可の仕組みを提供するサービスです。
しかし、ユーザー認証を IAM で行っているわけではありません。 前章で説明したとおり、ユーザーの認証は Google によって行われます。Google によって認証されたユーザーは、IAM で付与された IAM ロールに従って Google Cloud リソースへのアクセスが「認可」 されます。
一方で、サービスアカウントに対しては IAM が認証機能も提供しています。 サービスアカウントは Google Cloud 上でアプリケーションやワークロードが使用する特別なアカウントであり、その認証情報(短期的な認証情報やサービスアカウントキー)の生成・管理は IAM が行います。
このように、IAM は「認証・認可」を提供するサービスであるものの、ユーザーに対して提供される機能は「認可」である点は注意が必要です。
まとめ
- Google Cloud にログインするという概念はない。Google アカウントで Google というサービスにログインして Google Cloud にアクセスしている。
- 組織で管理する Google アカウントであれば Google Workspace または Cloud Identity でログインイベントのログを取得できる。
- Google Workspace または Cloud Identity のログインイベントは Google Cloud に転送して分析・保管しやすくできる。
