Geração de registros de auditoria da API Cloud Bigtable

Neste documento, descrevemos a geração de registros de auditoria da API Cloud Bigtable.Os serviços do Google Cloud geram registros de auditoria das atividades administrativas e de acesso nos recursos do Google Cloud . Para mais informações sobre os Registros de auditoria do Cloud, consulte:

Observações

Quando uma entrada de registro excede o limite de tamanho, o Cloud Logging divide essa entrada e distribui os dados entre várias entradas. Para saber como identificar e remontar os registros de auditoria divididos, consulte Dividir as entradas de registro de auditoria.

Nome do serviço

Os registros de auditoria da API Cloud Bigtable usam o nome de serviço bigtable.googleapis.com. Filtrar por este serviço: 

    protoPayload.serviceName="bigtable.googleapis.com"

Métodos por tipo de permissão

Cada permissão do IAM tem uma propriedade type, que tem o valor de um tipo enumerado que pode ser um dos quatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Quando você chama um método, a API Cloud Bigtable gera um registro de auditoria com categoria dependente da propriedade type da permissão necessária para executar o método. Métodos que exigem uma permissão do IAM com o valor da propriedade type de DATA_READ, DATA_WRITE ou ADMIN_READ geram registros de auditoria de acesso aos dados. Métodos que exigem uma permissão do IAM com o valor da propriedade type de ADMIN_WRITE geram registros de auditoria de Atividade do administrador.

Os métodos de API na lista a seguir marcados com (LRO) são operações de longa duração (LROs). Esses métodos geralmente geram duas entradas de registro de auditoria: uma quando a operação começa e outra quando ela termina. Para mais informações, consulte Registros de auditoria para operações de longa duração.
Tipo de permissão Métodos
ADMIN_READ google.bigtable.v2.Bigtable.PingAndWarm
DATA_READ google.bigtable.v2.Bigtable.ExecuteQuery
google.bigtable.v2.Bigtable.GenerateInitialChangeStreamPartitions
google.bigtable.v2.Bigtable.PrepareQuery
google.bigtable.v2.Bigtable.ReadChangeStream
google.bigtable.v2.Bigtable.ReadModifyWriteRow
google.bigtable.v2.Bigtable.ReadRows
google.bigtable.v2.Bigtable.SampleRowKeys
DATA_WRITE google.bigtable.v2.Bigtable.CheckAndMutateRow
google.bigtable.v2.Bigtable.MutateRow
google.bigtable.v2.Bigtable.MutateRows
google.bigtable.v2.Bigtable.ReadModifyWriteRow

Registros de auditoria da interface da API

Para saber como e quais permissões são avaliadas para cada método, consulte a documentação do Identity and Access Management para a API Cloud Bigtable.

google.bigtable.v2.Bigtable

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.bigtable.v2.Bigtable.

CheckAndMutateRow

  • Método: google.bigtable.v2.Bigtable.CheckAndMutateRow
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • bigtable.tables.mutateRows - DATA_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.bigtable.v2.Bigtable.CheckAndMutateRow"

ExecuteQuery

  • Método: google.bigtable.v2.Bigtable.ExecuteQuery
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • bigtable.instances.executeQuery - DATA_READ
    • bigtable.tables.readRows - DATA_READ
  • O método é uma operação de streaming ou de longa duração: RPC de streaming
  • Filtrar para este método: protoPayload.methodName="google.bigtable.v2.Bigtable.ExecuteQuery"

GenerateInitialChangeStreamPartitions

  • Método: google.bigtable.v2.Bigtable.GenerateInitialChangeStreamPartitions
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • bigtable.tables.readRows - DATA_READ
  • O método é uma operação de streaming ou de longa duração: RPC de streaming
  • Filtrar para este método: protoPayload.methodName="google.bigtable.v2.Bigtable.GenerateInitialChangeStreamPartitions"

MutateRow

  • Método: google.bigtable.v2.Bigtable.MutateRow
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • bigtable.tables.mutateRows - DATA_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.bigtable.v2.Bigtable.MutateRow"

MutateRows

  • Método: google.bigtable.v2.Bigtable.MutateRows
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • bigtable.tables.mutateRows - DATA_WRITE
  • O método é uma operação de streaming ou de longa duração: RPC de streaming
  • Filtrar para este método: protoPayload.methodName="google.bigtable.v2.Bigtable.MutateRows"

PingAndWarm

  • Método: google.bigtable.v2.Bigtable.PingAndWarm
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • bigtable.instances.ping - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.bigtable.v2.Bigtable.PingAndWarm"

PrepareQuery

  • Método: google.bigtable.v2.Bigtable.PrepareQuery
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • bigtable.instances.executeQuery - DATA_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.bigtable.v2.Bigtable.PrepareQuery"

ReadChangeStream

  • Método: google.bigtable.v2.Bigtable.ReadChangeStream
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • bigtable.tables.readRows - DATA_READ
  • O método é uma operação de streaming ou de longa duração: RPC de streaming
  • Filtrar para este método: protoPayload.methodName="google.bigtable.v2.Bigtable.ReadChangeStream"

ReadModifyWriteRow

  • Método: google.bigtable.v2.Bigtable.ReadModifyWriteRow
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • bigtable.tables.mutateRows - DATA_WRITE
    • bigtable.tables.readRows - DATA_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.bigtable.v2.Bigtable.ReadModifyWriteRow"

ReadRows

  • Método: google.bigtable.v2.Bigtable.ReadRows
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • bigtable.tables.readRows - DATA_READ
  • O método é uma operação de streaming ou de longa duração: RPC de streaming
  • Filtrar para este método: protoPayload.methodName="google.bigtable.v2.Bigtable.ReadRows"

SampleRowKeys

  • Método: google.bigtable.v2.Bigtable.SampleRowKeys
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • bigtable.tables.sampleRowKeys - DATA_READ
  • O método é uma operação de streaming ou de longa duração: RPC de streaming
  • Filtrar para este método: protoPayload.methodName="google.bigtable.v2.Bigtable.SampleRowKeys"

Métodos que não geram registros de auditoria

Um método pode não gerar registros de auditoria por um ou mais dos seguintes motivos:

  • É um método de alto volume que envolve geração de registros significativos e custos de armazenamento.
  • Tem pouco valor para a auditoria.
  • Outro registro de auditoria ou plataforma já oferece cobertura do método.

Os métodos abaixo não geram registros de auditoria:

  • grpc.lookup.v1.RouteLookupService.RouteLookup