Registros de auditoría de Cloud

Descripción general

GKE on AWS admite los registros de auditoría a nivel de la API de Cloud y del clúster de Kubernetes. En este documento, se proporciona información sobre el registro de auditoría del clúster de Kubernetes. Para obtener información sobre el registro de auditoría de la API de Cloud, consulta Información de registro de auditoría de la API de Cloud.

GKE en AWS usa el registro de auditoría de Kubernetes, que mantiene un registro cronológico de las llamadas realizadas al servidor de la API de Kubernetes de un clúster. Los registros de auditoría son útiles para investigar solicitudes a la API sospechosas y recopilar estadísticas.

En las versiones 1.23 y posteriores del clúster, GKE on AWS escribe Registros de auditoría de Cloud en un proyecto de Google Cloud de forma predeterminada. Escribir en los Registros de auditoría de Cloud tiene los siguientes beneficios:

  • Los registros de auditoría para todos los clústeres de GKE se pueden centralizar.
  • Las entradas de registro escritas en los registros de auditoría de Cloud son inmutables.
  • Las entradas de los registros de auditoría de Cloud se retienen durante 400 días.
  • Los registros de auditoría de Cloud se incluyen en el precio de Anthos.

Limitaciones

La versión actual de los Registros de auditoría de Cloud para GKE en AWS tiene varias limitaciones:

  • No se admite el registro de acceso a los datos (solicitudes get, list y watch).

  • No se admite la modificación de la política de auditoría de Kubernetes.

  • Los registros de auditoría de Cloud no es resiliente a las interrupciones de red ampliada. Si las entradas de registro no se pueden exportar a Google Cloud, se almacenan en caché en un búfer de disco de 10 G. Si se completa ese búfer, se descartan las entradas posteriores.

Antes de comenzar

Para habilitar los registros de auditoría de Cloud, debes agregar acceso saliente a servicecontrol.googleapis.com desde las subredes del plano de control.

Política de auditoría

El comportamiento de los registros de auditoría de Cloud se determina mediante una política de registro de auditoría de Kubernetes configurada de manera estática. Por el momento, no se admite el cambio de esta política, pero estará disponible en una versión futura.

Accede a los Registros de auditoría de Cloud

Puedes acceder a los Registros de auditoría de Cloud en la consola de Google Cloud o con Google Cloud CLI.

Consola

  1. En la consola de Google Cloud, ve a la página Explorador de registros en el menú de Logging.

    Ir a la página Registros

  2. Haz clic en el botón de activar o desactivar Mostrar consulta.

  3. Completa el cuadro de texto con el siguiente filtro:

    resource.type="k8s_cluster"
    logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
    

    La pantalla luce de la siguiente manera:

    Explorador de registros con la opción Mostrar consulta activada y la consulta propagada

  4. Haz clic en Ejecutar consulta a fin de mostrar todos los registros de auditoría de los clústeres de GKE en AWS que se configuraron para acceder a este proyecto.

gcloud

Enumera las dos primeras entradas en el registro de actividad de administrador de tu proyecto que se aplican al tipo de recurso k8s_cluster:

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
    AND resource.type="k8s_cluster" ' \
    --limit 2 \
    --freshness 300d

En el ejemplo anterior, PROJECT_ID es el ID del proyecto.

Los resultados muestran dos entradas de registro. Ten en cuenta que para cada entrada de registro, el campo logName tiene el valor projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity, y protoPayload.serviceName es igual a gkemulticloud.googleapis.com.