Esta documentação é referente à versão atual do GKE na AWS, lançada em novembro de 2021. Consulte as Notas de lançamento para mais informações.

Registros de auditoria do Cloud

Visão geral

O GKE na AWS é compatível com a geração de registros de auditoria nos níveis da API do Cloud e do cluster do Kubernetes. Neste documento, você encontra informações sobre a geração de registros de auditoria de clusters do Kubernetes. Para mais informações sobre a geração de registros de auditoria de APIs do Cloud, consulte esta página.

O GKE na AWS usa o Kubernetes Audit Logging, que mantém um registro cronológico das chamadas feitas ao servidor da API Kubernetes de um cluster. Os registros de auditoria são úteis para investigar solicitações de API suspeitas e coletar estatísticas.

Nas versões 1.23 e mais recentes do cluster, o GKE na AWS grava registros de auditoria do Cloud em um projeto do Google Cloud por padrão. A gravação nos registros de auditoria do Cloud tem os seguintes benefícios:

Os registros de auditoria de todos os clusters do GKE podem ser centralizados.
As entradas de registro gravadas nos registros de auditoria do Cloud são imutáveis.
As entradas de registros de auditoria do Cloud são mantidas por 400 dias.
Os registros de auditoria do Cloud estão incluídos no preço do Anthos.

Limitações

A versão atual dos Registros de auditoria do Cloud para o GKE na AWS tem várias limitações:

A geração de registros de acesso a dados (solicitações get, list e watch) não é compatível.
Não é possível modificar a política de auditoria do Kubernetes.
Os registros de auditoria do Cloud não são resilientes a interrupções de rede estendidas. Se as entradas de registro não puderem ser exportadas para o Google Cloud, elas serão armazenadas em um buffer de disco de 10G. Se esse buffer for preenchido, as entradas subsequentes serão descartadas.

Antes de começar

Para ativar os Registros de auditoria do Cloud, adicione o acesso de saída às servicecontrol.googleapis.com das sub-redes do plano de controle.

Política de auditoria

O comportamento dos Registros de auditoria do Cloud é determinado por uma política de registro de auditoria do Kubernetes configurada estaticamente. No momento, não é possível alterar essa política, mas ela estará disponível em uma versão futura.

Acessar os registros de auditoria do Cloud

É possível acessar os registros de auditoria do Cloud no Console do Google Cloud ou com a CLI do Google Cloud.

Console

No console do Google Cloud, acesse a página Explorador de registros no menu Logging.

Acessar a página Registros
Clique no botão de alternância Mostrar consulta.

Preencha a caixa de texto com o filtro a seguir:

resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"

A tela será parecida com esta:

Explorador de registros com a opção "Exibir consulta" marcada e preenchida

Clique em Executar consulta para exibir todos os registros de auditoria do GKE em clusters da AWS que foram configurados para fazer login neste projeto.

gcloud

Liste as duas primeiras entradas no registro de atividade do administrador do projeto que se aplicam ao tipo de recurso k8s_cluster:

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
    AND resource.type="k8s_cluster" ' \
    --limit 2 \
    --freshness 300d

PROJECT_ID é o ID do projeto.

A saída mostra duas entradas de registro. Observe que, para cada entrada de registro, o campo logName tem o valor projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity, e protoPayload.serviceName é igual a gkemulticloud.googleapis.com.