Este guia mostra como ver a autorização binária para o Cloud Run nos registos de auditoria do Cloud.
Eventos de implementação bloqueados no Cloud Logging
Logs Explorer
Para ver eventos de implementação bloqueados no Explorador de registos do Cloud Logging, faça o seguinte:
Aceda à página do Explorador de registos do Cloud Audit Logs:
No seletor de projetos na parte superior da página, selecione o Google Cloud ID do projeto no qual executa o Cloud Run.
Introduza a seguinte consulta na caixa search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"Selecione o intervalo de tempo no seletor de intervalo de tempo.
Para pesquisar nas entradas do registo, clique em Expandir campos aninhados.
gcloud
Para ver eventos de violação de políticas da semana anterior no Cloud Logging através da CLI do Google Cloud, faça o seguinte:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"'
Eventos de acesso de emergência no Cloud Logging
Breakglass permite-lhe substituir a aplicação da política de autorização binária e implementar uma imagem de contentor que viole a política.
Consultar o Cloud Logging para revisões com o breakglass especificado
Logs Explorer
Para ver eventos de acesso de emergência no Explorador de registos do Cloud Logging, faça o seguinte:
Aceda à página do Explorador de registos do Cloud Audit Logs:
No seletor de projetos na parte superior da página, selecione o ID do projeto no qual executa o Cloud Run.
Introduza o seguinte na caixa search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "breakglass"Para refinar ainda mais a pesquisa, adicione as seguintes linhas:
resource.labels.service_name = SERVICE_NAME resource.labels.location = LOCATIONVeja implementações de acesso de emergência nos Registos na nuvem
Selecione o intervalo de tempo no seletor de intervalo de tempo.
Para pesquisar nas entradas do registo, clique em Expandir campos aninhados.
gcloud
Para ver eventos de acesso de emergência da semana passada no Cloud Logging através da CLI gcloud, faça o seguinte:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"breakglass"'
Consultar eventos de abertura em caso de falha do Cloud Logging
Logs Explorer
Para ver eventos de abertura em caso de falha no explorador de registos do Cloud Logging, faça o seguinte:
Aceda à página do Explorador de registos do Cloud Audit Logs:
No seletor de projetos na parte superior da página, selecione o ID do projeto no qual executa o Cloud Run.
Introduza o seguinte na caixa search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "encountered an error"Selecione o intervalo de tempo no seletor de intervalo de tempo.
Para pesquisar nas entradas do registo, clique em Expandir campos aninhados.
gcloud
Para ver eventos de abertura com falhas da semana passada no Cloud Logging através da CLI gcloud, faça o seguinte:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"encountered an error"'
Consulte o Cloud Logging para eventos de teste
Logs Explorer
Para ver eventos de teste de execução no Explorador de registos do Cloud Logging, faça o seguinte:
Aceda à página do Explorador de registos do Cloud Audit Logs:
No seletor de projetos na parte superior da página, selecione o ID do projeto no qual executa o Cloud Run.
Introduza o seguinte na caixa search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "dry run"Selecione o intervalo de tempo no seletor de intervalo de tempo.
Para pesquisar nas entradas do registo, clique em Expandir campos aninhados.
gcloud
Para ver eventos de implementação de teste de execução da semana passada no Cloud Logging através da CLI gcloud, faça o seguinte:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"dry run"'
O que se segue?
Configure a política de autorização binária através da Google Cloud consola ou da ferramenta de linha de comandos.
Use atestações para implementar apenas imagens de contentores assinadas.