En esta guía se explica cómo ver la autorización binaria para Cloud Run en los registros de auditoría de Cloud.
Eventos de despliegue bloqueado en Cloud Logging
Explorador de registros
Para ver los eventos de despliegues bloqueados en el explorador de registros de Cloud Logging, haz lo siguiente:
Ve a la página Explorador de registros de Cloud Audit Logs:
En el selector de proyectos de la parte superior de la página, selecciona elGoogle Cloud ID del proyecto en el que ejecutas Cloud Run.
Introduce la siguiente consulta en el cuadro search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"Seleccione el periodo en el selector de periodo.
Para buscar en las entradas del registro, haz clic en Mostrar campos anidados.
gcloud
Para ver los eventos de infracción de políticas de la semana pasada en Cloud Logging mediante la CLI de Google Cloud, haz lo siguiente:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"'
Eventos de acceso de emergencia en Cloud Logging
Breakglass te permite anular la aplicación de la política de autorización binaria y desplegar una imagen de contenedor que infringe la política.
Consultar Cloud Logging para ver las revisiones con breakglass especificado
Explorador de registros
Para ver los eventos de acceso de emergencia en el explorador de registros de Cloud Logging, haz lo siguiente:
Ve a la página Explorador de registros de Cloud Audit Logs:
En el selector de proyectos de la parte superior de la página, selecciona el ID del proyecto en el que ejecutas Cloud Run.
Escribe lo siguiente en el cuadro search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "breakglass"Para acotar aún más la búsqueda, añade las siguientes líneas:
resource.labels.service_name = SERVICE_NAME resource.labels.location = LOCATIONVer implementaciones de acceso de emergencia en Cloud Logging
Seleccione el periodo en el selector de periodo.
Para buscar en las entradas del registro, haz clic en Mostrar campos anidados.
gcloud
Para ver los eventos de acceso de emergencia de la última semana en Cloud Logging con la CLI de gcloud, haz lo siguiente:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"breakglass"'
Consultar eventos de apertura en caso de fallo de Cloud Logging
Explorador de registros
Para ver los eventos de apertura en caso de fallo en el Explorador de registros de Cloud Logging, haz lo siguiente:
Ve a la página Explorador de registros de Cloud Audit Logs:
En el selector de proyectos de la parte superior de la página, selecciona el ID del proyecto en el que ejecutas Cloud Run.
Escribe lo siguiente en el cuadro search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "encountered an error"Seleccione el periodo en el selector de periodo.
Para buscar en las entradas del registro, haz clic en Mostrar campos anidados.
gcloud
Para ver los eventos de apertura en caso de fallo de la semana pasada en Cloud Logging mediante la CLI de gcloud, haz lo siguiente:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"encountered an error"'
Consultar Cloud Logging para ver los eventos de ejecución de prueba
Explorador de registros
Para ver los eventos de ejecución de prueba en Explorador de registros de Cloud Logging, haga lo siguiente:
Ve a la página Explorador de registros de Cloud Audit Logs:
En el selector de proyectos de la parte superior de la página, selecciona el ID del proyecto en el que ejecutas Cloud Run.
Escribe lo siguiente en el cuadro search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "dry run"Seleccione el periodo en el selector de periodo.
Para buscar en las entradas del registro, haz clic en Mostrar campos anidados.
gcloud
Para ver los eventos de despliegue de ejecución de prueba de la semana pasada en Cloud Logging mediante la CLI de gcloud, haz lo siguiente:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"dry run"'
Siguientes pasos
Configura la política de autorización binaria con la Google Cloud consola o la herramienta de línea de comandos.
Usa certificaciones para desplegar solo imágenes de contenedor firmadas.