Google Cloud - Hipaa 合规性 - PgAudit 与 IAM 审核日志

回答第一个问题：

IAM 可以使用两种类型的审计日志：

1. 管理员活动审核日志：包括写入元数据或配置信息的“管理员写入”操作。您不能禁用管理员活动审核日志。
2. 数据访问审核日志：包括读取元数据或配置信息的“管理员读取”操作。还包括读取或写入用户提供的数据的“数据读取”和“数据写入”操作。要接收数据访问审核日志，您必须明确启用它们。

这些日志主要用于审核在 Cloud SQL 实例上执行的管理和维护操作。

相比之下，Cloud SQL for PostgreSQL 中的数据库审计可通过开源 pgAudit 扩展获得。使用此扩展，您可以有选择地记录和跟踪对给定数据库实例执行的 SQL 操作。该扩展为您提供了监控和记录选定操作子集的审计功能。pgAudit 扩展适用于执行的 SQL 命令和查询。详情可以参考链接。

 
And to answer the second question:

PostgreSQL 审计扩展 (pgAudit) 通过标准 PostgreSQL 日志记录工具提供详细的会话和/或对象审计日志。pgAudit 的目标是为 PostgreSQL 用户提供生成审计日志的能力，这些日志通常需要遵守政府、财务或 ISO 认证。

pg.auditlog 可以取值 read、write、function、role、ddl、misc、misc_set、all、none。您可以使用逗号分隔的列表提供多个类，并通过在类前加上 - 符号来减去一个类。默认值为无。

基本语句日志记录可以由标准日志记录工具提供，log_statement = all。这对于监控和其他用途是可以接受的，但不能提供审计通常所需的详细程度。拥有对数据库执行的所有操作的列表是不够的。还必须能够找到审计员感兴趣的特定陈述。标准日志记录工具显示用户请求的内容，而 pgAudit 专注于数据库满足请求时发生的事情的详细信息。

对于 HIPAA 合规性，在技术保障下提到引入活动日志和审计控制。您可以参考链接了解更多详情。

正如@Mousu​​mi 分享的这个链接PgAudit中提到的，推荐。

在 Cloud SQL for PostgreSQL 中推荐的审计方法是 pgAudit 扩展；请参阅使用 pgAudit 对 PostgreSQL 进行审计。

此外，如此处所述，对于 Cloud SQL 和其他受支持的产品，Google 将根据 HIPAA 与客户签订业务伙伴协议 (BAA)。但是，由于缺乏美国 HHS 认可的 HIPAA 认证，最终客户有责任评估自己的 HIPAA 合规性。