Neste guia, mostramos como ver a autorização binária do Cloud Run nos registros de auditoria do Cloud.
Eventos de implantação bloqueados no Cloud Logging
Explorador de registros
Para ver eventos de implantação bloqueados no explorador de registros do Cloud Logging:
Acesse a página Explorador de registros de auditoria do Cloud:
No Seletor do projeto na parte superior da página, selecione o ID do projeto do Google Cloud em que você executa o Cloud Run.
Insira a seguinte consulta na caixa search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"Selecione o intervalo de tempo no seletor de intervalo de tempo.
Para pesquisar nas entradas de registro, clique em Expandir campos aninhados.
gcloud
Para ver eventos de violação de política da semana passada no Cloud Logging usando a Google Cloud CLI, faça o seguinte:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"'
Eventos de acesso de emergência no Cloud Logging
A implantação forçada permite modificar a aplicação da política de autorização binária e implantar uma imagem de contêiner que viole a política.
Consultar revisões no Cloud Logging com a implantação forçada
Explorador de registros
Para ver eventos de implantação forçada no Explorador de registros do Cloud Logging, faça o seguinte:
Acesse a página Explorador de registros de auditoria do Cloud:
No Seletor do projeto na parte superior da página, selecione o ID do projeto em que você executa o Cloud Run.
Digite o seguinte na caixa search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "breakglass"Para refinar ainda mais sua pesquisa, adicione estas linhas:
resource.labels.service_name = SERVICE_NAME resource.labels.location = LOCATIONSelecione o intervalo de tempo no seletor de intervalo de tempo.
Para pesquisar nas entradas de registro, clique em Expandir campos aninhados.
gcloud
Para ver eventos de implantação forçada da última semana no Cloud Logging usando a CLI gcloud, faça o seguinte:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"breakglass"'
Consulta de eventos abertos com falha no Cloud Logging
Explorador de registros
Para ver eventos de falha ao abrir no Explorador de registros do Cloud Logging, siga estas etapas:
Acesse a página Explorador de registros de auditoria do Cloud:
No Seletor do projeto na parte superior da página, selecione o ID do projeto em que você executa o Cloud Run.
Digite o seguinte na caixa search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "encountered an error"Selecione o intervalo de tempo no seletor de intervalo de tempo.
Para pesquisar nas entradas de registro, clique em Expandir campos aninhados.
gcloud
Para ver eventos de falha ao abrir da última semana no Cloud Logging usando a CLI gcloud, faça o seguinte:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"encountered an error"'
Consultar eventos de simulação no Cloud Logging
Explorador de registros
Para ver eventos de teste no Explorador de registros do Cloud Logging, faça o seguinte:
Acesse a página Explorador de registros de auditoria do Cloud:
No Seletor do projeto na parte superior da página, selecione o ID do projeto em que você executa o Cloud Run.
Digite o seguinte na caixa search-query:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "dry run"Selecione o intervalo de tempo no seletor de intervalo de tempo.
Para pesquisar nas entradas de registro, clique em Expandir campos aninhados.
gcloud
Para ver eventos de implantação de teste da última semana no Cloud Logging usando a CLI gcloud, faça o seguinte:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"dry run"'
A seguir
Configure a política de autorização binária usando o Console do Google Cloud ou a ferramenta de linha de comando.
Use atestados para implantar somente imagens de contêiner assinadas.