重要
このページの日本語コンテンツは古くなっている可能性があります。最新の英語版コンテンツをご覧になるには、こちらをクリックしてください。
Confluent Cloud 監査ログの概念¶
監査ログの最も重要な価値は、Confluent Cloud クラスターに関するセキュリティリスクを評価するために使用できるデータを提供することです。監査ログには、Confluent Cloud クラスターとユーザーとのやり取りを追跡するために必要なすべての情報が含まれているため、以下のことが可能になります。
- ユーザーとアプリケーションによるアクセスを追跡する
- 異常な動作や例外を特定する
- セキュリティリスクをプロアクティブにモニタリングして解決する
Confluent Cloud 監査ログを使用することで、Kafka の認証アクション、認可アクション、組織の操作をスタンダードクラスターと専用クラスターのトピックに取り込み、保護し、保持することができます。具体的には、ACL または RBAC によって保護されているアクションを、ユーザーやサービスアカウントがクラスターに接続して実行しようとしたときに発生するアクセス許可チェックについて、実行時の決定が監査ログに記録されます。また、監査ログは、API キー、Kafka クラスター、ユーザーアカウント、サービスアカウント、シングルサインオン(SSO)接続、コネクターなどの Confluent Cloud リソースを作成、削除、修正する組織の操作の追跡も行います。
監査可能な各イベントレコードには、誰が何をしようとしたか、いつ試行したか、システムが続行を許可したかどうかに関する情報が含まれています。監査可能イベントメッセージはイベントの発生時に出力されますが、運用保守中は、短い遅延やギャップがまれに生じる場合があります。
Confluent Cloud では、クラスターからのすべての監査ログメッセージが、独立したクラスターに 7 日間保持されます。メッセージの変更、削除、生成を、監査ログトピックに対してユーザーが直接行うことはできません。また、ユーザーがメッセージを消費するためには、監査ログクラスターに固有の API キーが必要となります。
ちなみに
Confluent Cloud 監査ログデータをエクスポートし、セキュリティモニタリング用のカスタムダッシュボードの作成に使用できます。例については、Confluent のブログ投稿『How to Visualize Confluent Cloud Audit Log Data』を参照してください。
監査可能イベント¶
Confluent Cloud の監査ログには、監査可能な 3 つのタイプのイベントが含まれます。
- 認証イベント:
io.confluent.kafka.server/authentication
- クライアントが Kafka クラスターに接続するときにイベントログイベントが発生します。
- メソッドの例: kafka.Authentication
- クライアントが Kafka クラスターに接続するときにイベントログイベントが発生します。
- 認可イベント:
io.confluent.kafka.server/authorization
- Kafka クラスターが認可を検証するとき
- メソッドの例:
kafka.IncrementalAlterConfigs
- メソッドの例:
- 指定されたユーザーがその役割に基づいてアクションを実行できるかどうかをクラウドコントロールプレーン(MDS)が検証するとき(RBAC チェック)
- メソッドの例:
mds.Authorize
- メソッドの例:
- Kafka クラスターが認可を検証するとき
- 組織イベント:
io.confluent.cloud/request
- Confluent Cloud サービスが操作またはアクションを実行するときに送信されます。
- メソッドの例:
CreateKafkaCluster
- メソッドの例:
- Confluent Cloud サービスが操作またはアクションを実行するときに送信されます。
注釈
タスクを最後まで実行するのではなく、実行できるかどうかを調べるためだけにユーザーがタスクを認可しようとすることがあります。このような場合でも、認可は監査ログに記録されます。
confluent-audit-log-events
トピック¶
Confluent Cloud の監査ログメッセージはすべて、監査ログトピック confluent-audit-log-events
にキャプチャーされます。
次の例は、サービスアカウント 306343
が API キー MAIDSRFG53RXYTKR
を使用して Kafka クラスター lkc-6k8r8q
に接続したときに送信された認証イベントを示しています。
{
"id": "29ca0e51-fdcd-44bd-a393-43193432b614",
"source": "crn://confluent.cloud/kafka=lkc-6k8r8q",
"specversion": "1.0",
"type": "io.confluent.kafka.server/authentication",
"datacontenttype": "application/json",
"subject": "crn://confluent.cloud/kafka=lkc-6k8r8q",
"time": "2020-12-28T22:41:43.395Z",
"data": {
"serviceName": "crn://confluent.cloud/kafka=lkc-6k8r8q",
"methodName": "kafka.Authentication",
"resourceName": "crn://confluent.cloud/kafka=lkc-6k8r8q",
"authenticationInfo": {
"principal": "User:306343",
"metadata": {
"mechanism": "SASL_SSL/PLAIN",
"identifier": "MAIDSRFG53RXYTKR"
}
},
"result": {
"status": "SUCCESS",
"message": ""
}
}
}
「監査ログイベントスキーマ」も参照してください。