Panduan ini menunjukkan cara melihat Otorisasi Biner untuk Cloud Run di Cloud Audit Logs.
Peristiwa deployment yang diblokir di Cloud Logging
Logs Explorer
Untuk melihat peristiwa deployment yang diblokir di Cloud Logging Logs Explorer, lakukan hal berikut:
Buka halaman Cloud Audit Logs Explorer:
Pada Pemilih Project di bagian atas halaman, pilih ID project Google Cloud untuk project tempat Anda menjalankan Cloud Run.
Masukkan kueri berikut di kotak kueri-penelusuran:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"
Pilih rentang waktu di pemilih rentang waktu.
Untuk menelusuri dalam entri log, klik Luaskan kolom bertingkat.
gcloud
Untuk melihat peristiwa pelanggaran kebijakan dari seminggu terakhir di Cloud Logging menggunakan Google Cloud CLI, lakukan tindakan berikut:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"'
Peristiwa akses darurat di Cloud Logging
Breakglass memungkinkan Anda mengganti penegakan kebijakan Otorisasi Biner dan men-deploy image container yang melanggar kebijakan.
Mengkueri Cloud Logging untuk revisi dengan akses darurat yang ditentukan
Logs Explorer
Untuk melihat peristiwa akses darurat di Cloud Logging Logs Explorer, lakukan langkah berikut:
Buka halaman Cloud Audit Logs Explorer:
Pada Pemilih Project di bagian atas halaman, pilih project ID dari project tempat Anda menjalankan Cloud Run.
Masukkan hal berikut di kotak kueri penelusuran:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "breakglass"
Untuk menyaring penelusuran Anda lebih lanjut, tambahkan baris berikut:
resource.labels.service_name = SERVICE_NAME resource.labels.location = LOCATION
Pilih rentang waktu di pemilih rentang waktu.
Untuk menelusuri dalam entri log, klik Luaskan kolom bertingkat.
gcloud
Untuk melihat peristiwa akses darurat dari seminggu terakhir di Cloud Logging menggunakan gcloud CLI, lakukan hal berikut:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"breakglass"'
Peristiwa gagal membuka kueri Cloud Logging
Logs Explorer
Untuk melihat peristiwa kegagalan terbuka di Cloud Logging Logs Explorer, lakukan hal berikut:
Buka halaman Cloud Audit Logs Explorer:
Pada Pemilih Project di bagian atas halaman, pilih project ID dari project tempat Anda menjalankan Cloud Run.
Masukkan hal berikut di kotak kueri penelusuran:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "encountered an error"
Pilih rentang waktu di pemilih rentang waktu.
Untuk menelusuri dalam entri log, klik Luaskan kolom bertingkat.
gcloud
Untuk melihat peristiwa kegagalan terbuka dari seminggu terakhir di Cloud Logging menggunakan gcloud CLI, lakukan hal berikut:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"encountered an error"'
Mengkueri Cloud Logging untuk peristiwa uji coba
Logs Explorer
Untuk melihat peristiwa uji coba di Cloud Logging Logs Explorer, lakukan hal berikut:
Buka halaman Cloud Audit Logs Explorer:
Pada Pemilih Project di bagian atas halaman, pilih project ID dari project tempat Anda menjalankan Cloud Run.
Masukkan hal berikut di kotak kueri penelusuran:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "dry run"
Pilih rentang waktu di pemilih rentang waktu.
Untuk menelusuri dalam entri log, klik Luaskan kolom bertingkat.
gcloud
Untuk melihat peristiwa deployment uji coba dari seminggu terakhir di Cloud Logging menggunakan gcloud CLI, lakukan hal berikut:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"dry run"'
Langkah selanjutnya
Konfigurasikan kebijakan Otorisasi Biner menggunakan Google Cloud Console atau alat command line.
Gunakan pengesahan untuk men-deploy hanya image container yang ditandatangani.