Audit logging

Nesta página, descrevemos os registros de auditoria criados pelo Cloud Build.

Resumo dos registros de auditoria

Os serviços do Google Cloud gravam registros de auditoria que ajudam você a determinar quem fez o quê, onde e quando. nos seus projetos e organizações do Google Cloud.

As informações auditadas são divididas em diferentes categorias de informações:

  • Atividade de administrador: operações que modificam a configuração ou os metadados de um recurso do Cloud Build. Qualquer chamada de API que crie ou cancele uma versão e crie, exclua, ative, desative ou atualize um acionador se encaixa nessa categoria. Essas informações de auditoria são fornecidas por padrão.

  • Acesso de dados (ADMIN_READ): operações que leem a configuração ou os metadados de um projeto, uma versão ou um acionador. Essas informações de auditoria não são fornecidas por padrão.

  • Acesso a dados (DATA_READ): operações que leem dados fornecidos pelo usuário de um recurso. Essas informações de auditoria não são fornecidas por padrão.

  • Acesso a dados (DATA_WRITE): operações que gravam dados fornecidos pelo usuário em um recurso. Essas informações de auditoria não são fornecidas por padrão.

Para mais informações, consulte Registro de auditoria do Cloud.

Operações auditadas

A tabela a seguir resume quais operações da API Cloud Build estão listadas em cada categoria de registro de auditoria:

Categoria de registros de auditoria Operações do Cloud Build
Atividade administrativa
  • projects.builds.create
  • projects.builds.cancel
  • projects.builds.approve
  • projects.triggers.create
  • projects.triggers.delete
  • projects.triggers.update
  • Execução de gatilhos usando o botão Executar gatilho no Console do Google Cloud
  • Criação/atualização de políticas do IAM
Acesso de dados (ADMIN_READ)
  • projects.builds.get
  • projects.builds.list
  • projects.triggers.list
  • projects.triggers.get
  • Recebimento das políticas do IAM
Acesso de dados (DATA_READ) Nenhuma
Acesso de dados (DATA_WRITE) None

Ao contrário dos registros de auditoria para outros serviços, o Cloud Build só tem registros de acesso de dados ADMIN_READ e não oferece registros DATA_READ e DATA_WRITE. Isso ocorre porque os registros DATA_READ e DATA_WRITE são usados apenas para serviços que armazenam e gerenciam dados do usuário, e o Cloud Build considera builds e gatilhos como informações de configuração administrativas.

Permissões para acessar os registros

Os usuários a seguir podem ver os registros de atividades administrativas:

Os usuários a seguir podem ver registros de acesso a dados:

Para instruções sobre a concessão de permissões do IAM, consulte Como configurar o controle de acesso.

Formato de registro de auditoria

As entradas de registro de auditoria têm a estrutura abaixo:

  • Um objeto do tipo LogEntry que contém a entrada de registro completa.
  • Um objeto do tipo AuditLog que é mantido no campo protoPayload do objeto LogEntry.

Saber quais informações são mantidas nesses objetos ajuda você a entender e recuperar suas entradas de registro de auditoria usando o Visualizador de registros e a API do Stackdriver Logging.

Todas as entradas de registro de auditoria contêm o nome de um registro de auditoria, um recurso e um serviço:

  • logName: esse campo indicará se o registro é um registro de auditoria de atividade de administração ou de acesso a dados. Exemplo:

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    

    Em um projeto ou organização, esses nomes de registro recebem o sufixo das abreviaturas activity ou data_access.

  • Tipo de recurso monitorado:

    • build: inclui o projeto, a compilação e o gatilho de compilação para a operação auditada.
  • serviceName: no Cloud Build, o campo terá cloudbuild.googleapis.com.

    Os tipos de recursos pertencem a um único serviço, mas um serviço pode ter vários tipos de recursos. Para ver uma lista de serviços e recursos, consulte Mapeamento de serviços e recursos.

Para mais detalhes, consulte os Tipos de dados de registros de auditoria.

Como ativar registros

Os registros de atividade de administração são ativados e registrados por padrão. Esses registros não afetam sua cota de processamento de registros.

Os registros de acesso a dados para as operações do Cloud Build não são gravados por padrão. Você pode configurar os registros de auditoria de acesso a dados no seu projeto ou organização. Para saber como ativar os registros para operações do tipo acesso a dados, consulte Como configurar registros de acesso a dados.

Cotas e limites

Os registros de atividade de administração não contam para sua cota de processamento de registro.

As operações de acesso a dados são de alto volume e contam para sua cota de entrada de registro.

Para mais informações, consulte Cotas e limites.

Como visualizar registros

Para visualizar um resumo da sua atividade de administração, siga a instrução a seguir:

Para selecionar e filtrar seus registros e visualizá-los em detalhes, siga as instruções a seguir:

  1. Abra a página do visualizador de registros:

    Acesse a página "Logs Viewer".

  2. No primeiro menu suspenso, selecione os registros de auditoria do recurso você quer ver. Selecione um projeto específico ou "todos os projetos".

  3. No segundo menu, selecione o nome do registro que você quer ver: activity para registros de auditoria de atividade administrativa e data_access para registros de auditoria de acesso a dados, se estiverem disponíveis.

Os registros de auditoria aparecem no Visualizador de registros.

Você também pode usar a interface de filtro avançada do visualizador de registros para especificar o tipo de recurso e o nome do registro. Para saber mais, consulte Como recuperar registros de auditoria.

Como exportar seus registros de auditoria

Você pode exportar cópias de alguns ou de todos os registros para outros aplicativos, outros repositórios ou terceiros. Para exportar os registros, consulte Como exportar registros.

Uma organização pode criar um coletor agregado para exportar as entradas de registro de todos os projetos, pastas e contas de faturamento da organização. Como qualquer outro, o coletor agregado contém um filtro que seleciona entradas de registro individuais. Para agregar e exportar os registros de auditoria, consulte Coletores agregados.

Para ler suas entradas de registro por meio da API, veja entries.list. Para ler as entradas de registro usando o SDK, consulte Como ler entradas de registro.

A seguir