Google 云 - Hippa 合规性 - PgAudit 与 IAM 审计日志

Question

我们的基础架构托管在 Google 云端，并通过云端使用 postgresql 实例 SQL

我需要为 HIPAA 合规性配置日志记录。 我已阅读 Google 文档中的 2 篇文章：

https://cloud.google.com/logging/docs/audit/configure-data-access#config-console https://cloud.google.com/sql/docs/postgres/pg-audit#overview

第一次谈论从 IAM 中启用审计日志，在这里我可以 select 云 SQL 并为数据和管理员启用 r+w 日志

第二篇讲PgAudit，设置如下标志pgaudit.log=all

我有几个问题：

1. IAM 日志和 PgAudit 有何不同，我应该启用两者还是这样做有冗余？
2. 对于使用 PgAudit 的 HIPAA 合规性，我应该记录 all 还是有其他有意义的值

Answer 1

IAM 日志和 PgAudit 有何不同，我应该启用两者还是这样做有冗余？

好吧 IAM Logs 专注于管理 Activity 和数据访问：

• Admin Activity 审核日志：包括“admin write”操作 写入元数据或配置信息。
• 数据访问审核日志：包括读取的“管理员读取”操作 元数据或配置信息。还包括“数据读取”和 读取或写入用户提供的数据的“数据写入”操作。

另一方面，pgAudit extension 适用于已执行的 SQL 命令和查询。

Basic statement logging can be provided by the standard logging facility with log_statement = all. This is acceptable for monitoring and other usages but does not provide the level of detail generally required for an audit. It is not enough to have a list of all the operations performed against the database. It must also be possible to find particular statements that are of interest to an auditor. The standard logging facility shows what the user requested, while pgAudit focuses on the details of what happened while the database was satisfying the request.

对于使用 PgAudit 的 HIPAA 合规性，我应该记录所有还是有其他有意义的值

说到 HIPAA 合规性，我没有任何经验，但是 in this page 提到 HIPAA 安全规则的技术保障部分是引入 activity 日志和审计控制。

也许可以将 IAM 日志（谁在何时何地做了什么？）与 pgAudit（已执行的命令和查询）相结合将提供更好的覆盖面来面对这个实现规范。