Google Cloud – соответствие требованиям Hipaa – журналы аудита PgAudit и IAM

Наша инфраструктура размещена в Google Cloud и использует экземпляры PostgreSQL через Cloud SQL.

Мне нужно настроить ведение журнала для соответствия требованиям HIPAA. Я прочитал 2 статьи из документации Google:

https://cloud.google.com/logging/docs/audit/configure-data-access#config-consolehttps://cloud.google.com/sql/docs/postgres/pg-audit#overview

В первом говорится о включении журналов аудита из IAM. Здесь я могу выбрать Cloud SQL и включить журналы r+w для данных и администраторов.

Второй рассказывает о PgAudit и устанавливает следующий флагpgaudit.log=all

У меня есть несколько вопросов:

1. Чем отличаются журналы IAM и PgAudit, следует ли включать оба или при этом возникает избыточность?
2. Должен ли я войти в систему для обеспечения соответствия требованиям HIPAA с помощью PgAudit?allили есть другое значение, которое имеет смысл