Questa guida illustra come visualizzare Autorizzazione binaria per Cloud Run in Cloud Audit Logs.
Eventi di deployment bloccati in Cloud Logging
Esplora log
Per visualizzare gli eventi di deployment bloccato in Esplora log di Cloud Logging, procedi le seguenti:
Vai alla pagina Esplora log di Cloud Audit Logs:
Nel selettore di progetto nella parte superiore della pagina, seleziona L'ID del progetto Google Cloud in cui viene eseguito in Cloud Run.
Inserisci la seguente query nella casella search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"Seleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
Per cercare all'interno delle voci di log, fai clic su Espandi campi nidificati.
gcloud
Per visualizzare in Cloud Logging gli eventi di violazione delle norme della scorsa settimana utilizzando Google Cloud CLI, segui questi passaggi:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"'
Eventi di deployment di emergenza in Cloud Logging
La funzionalità Breakglass ti consente di ignorare l'applicazione dei criteri di Autorizzazione binaria ed eseguire il deployment di un'immagine container che viola il criterio.
Esegui query su Cloud Logging per le revisioni con il deployment di emergenza specificato
Esplora log
Per visualizzare gli eventi del deployment di emergenza in Esplora log di Cloud Logging, esegui le seguenti:
Vai alla pagina Esplora log dei log di controllo cloud:
Nel selettore di progetto nella parte superiore della pagina, seleziona all'ID del progetto in cui viene eseguito in Cloud Run.
Inserisci quanto segue nella casella search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "breakglass"Per perfezionare ulteriormente la ricerca, aggiungi le seguenti righe:
resource.labels.service_name = SERVICE_NAME resource.labels.location = LOCATIONSeleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
Per cercare all'interno delle voci di log, fai clic su Espandi campi nidificati.
gcloud
Per visualizzare gli eventi di accesso forzato della settimana precedente in Cloud Logging utilizzando gcloud CLI, segui questi passaggi:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"breakglass"'
Query sugli eventi di fail open di Cloud Logging
Esplora log
Per visualizzare gli eventi di fail open in Esplora log di Cloud Logging, segui questi passaggi:
Vai alla pagina Esplora log dei log di controllo cloud:
Nel selettore di progetto nella parte superiore della pagina, seleziona all'ID del progetto in cui viene eseguito in Cloud Run.
Inserisci quanto segue nella casella search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "encountered an error"Seleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
Per cercare all'interno delle voci di log, fai clic su Espandi campi nidificati.
gcloud
Per visualizzare gli eventi di fail open della settimana precedente in Cloud Logging utilizzando l'interfaccia a riga di comando gcloud, segui questi passaggi:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"encountered an error"'
Query su Cloud Logging per eventi dry run
Esplora log
Per visualizzare gli eventi dry run in Esplora log di Cloud Logging, esegui le seguenti:
Vai alla pagina Esplora log degli audit log di Cloud:
Nel Selettore di progetti nella parte superiore della pagina, seleziona l'ID progetto in cui esegui Cloud Run.
Inserisci quanto segue nella casella search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "dry run"Seleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
Per cercare all'interno delle voci di log, fai clic su Espandi campi nidificati.
gcloud
Per visualizzare gli eventi di deployment dry run dell'ultima settimana in Cloud Logging utilizzando con gcloud CLI, segui questi passaggi:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"dry run"'
Passaggi successivi
Configura il criterio di Autorizzazione binaria utilizzando la console Google Cloud o lo strumento a riga di comando.
Utilizza le attestazioni per eseguire il deployment solo di immagini container firmate.