Nesta página, descrevemos os registros de auditoria criados pelo Cloud Build.
Resumo dos registros de auditoria
Os serviços do Google Cloud gravam registros de auditoria que ajudam você a determinar quem fez o quê, onde e quando. nos seus projetos e organizações do Google Cloud.
As informações auditadas são divididas em diferentes categorias de informações:
Atividade de administrador: operações que modificam a configuração ou os metadados de um recurso do Cloud Build. Qualquer chamada de API que crie ou cancele uma versão e crie, exclua, ative, desative ou atualize um gatilho se encaixa nessa categoria. Essas informações de auditoria são fornecidas por padrão.
Acesso de dados (ADMIN_READ): operações que leem a configuração ou os metadados de um projeto, uma versão ou um gatilho. Essas informações de auditoria não são fornecidas por padrão.
Acesso a dados (DATA_READ): operações que leem dados fornecidos pelo usuário de um recurso. Essas informações de auditoria não são fornecidas por padrão.
Acesso a dados (DATA_WRITE): operações que gravam dados fornecidos pelo usuário em um recurso. Essas informações de auditoria não são fornecidas por padrão.
Para mais informações, consulte Registro de auditoria do Cloud.
Operações auditadas
A tabela a seguir resume quais operações da API Cloud Build estão listadas em cada categoria de registro de auditoria:
Categoria de registros de auditoria | Operações do Cloud Build |
---|---|
Atividade administrativa |
|
Acesso de dados (ADMIN_READ ) |
|
Acesso de dados (DATA_READ ) |
Nenhum |
Acesso de dados (DATA_WRITE ) |
Nenhum |
Ao contrário dos registros de auditoria para outros serviços, o Cloud Build só tem registros de acesso de dados ADMIN_READ
e não oferece registros DATA_READ
e DATA_WRITE
. Isso ocorre porque os registros DATA_READ
e DATA_WRITE
são usados apenas para serviços que armazenam e gerenciam dados do usuário, e o Cloud Build considera builds e gatilhos como informações de configuração administrativas.
Permissões para acessar os registros
Os usuários a seguir podem ver os registros de atividades administrativas:
- proprietários, editores e leitores de projeto
- usuários com o papel do IAM de Visualizador de registros
- Usuários com a permissão de IAM
logging.logEntries.list
Os usuários a seguir podem ver registros de acesso a dados:
- proprietários de projetos
- usuários com o papel do IAM de Visualizador de registros particulares
- Usuários com a permissão de IAM
logging.privateLogEntries.list
.
Para instruções sobre a concessão de permissões do IAM, consulte Como configurar o controle de acesso.
Formato de registro de auditoria
As entradas de registro de auditoria têm a estrutura abaixo:
- Um objeto do tipo
LogEntry
que contém a entrada de registro completa. - Um objeto do tipo
AuditLog
que é mantido no campoprotoPayload
do objetoLogEntry
.
Saber quais informações estão contidas nesses objetos ajudará você a entender e recuperar as entradas de registro de auditoria usando a Análise de registros e a API Stackdriver Logging.
Todas as entradas de registro de auditoria contêm o nome de um registro de auditoria, um recurso e um serviço:
logName: esse campo indicará se o registro é um registro de auditoria de atividade de administração ou de acesso a dados. Exemplo:
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
Em um projeto ou organização, esses nomes de registro recebem o sufixo das abreviaturas
activity
oudata_access
.Tipo de recurso monitorado:
build
: inclui o projeto, a compilação e o gatilho de compilação para a operação auditada.
serviceName: no Cloud Build, o campo terá
cloudbuild.googleapis.com
.Os tipos de recursos pertencem a um único serviço, mas um serviço pode ter vários tipos de recursos. Para ver uma lista de serviços e recursos, consulte Mapeamento de serviços e recursos.
Para mais detalhes, consulte os Tipos de dados de registros de auditoria.
Como ativar registros
Os registros de atividade de administração são ativados e registrados por padrão. Esses registros não afetam sua cota de processamento de registros.
Os registros de acesso a dados para as operações do Cloud Build não são gravados por padrão. Você pode configurar os registros de auditoria de acesso a dados no seu projeto ou organização. Para saber como ativar os registros para operações do tipo acesso a dados, consulte Como configurar registros de acesso a dados.
Cotas e limites
Os registros de atividade de administração não contam para sua cota de processamento de registro.
As operações de acesso a dados são de alto volume e contam para sua cota de entrada de registro.
Para mais informações, consulte Cotas e limites.
Como visualizar registros
Para visualizar um resumo da sua atividade de administração, siga a instrução a seguir:
Abra a atividade do Google Cloud Platform:
Para selecionar e filtrar seus registros e visualizá-los em detalhes, siga as instruções a seguir:
Abra a página "Buscador de registros":
No primeiro menu suspenso, selecione os registros de auditoria do recurso você quer ver. Selecione um projeto específico ou "todos os projetos".
No segundo menu, selecione o nome do registro que você quer ver:
activity
para registros de auditoria de atividade administrativa edata_access
para registros de auditoria de acesso a dados, se estiverem disponíveis.
Os registros de auditoria aparecem na Análise de registros.
Também é possível usar a interface de filtro avançado da Análise de registros para especificar o tipo de recurso e o nome do registro. Para saber mais, consulte Como recuperar registros de auditoria.
Como exportar seus registros de auditoria
Você pode exportar cópias de alguns ou de todos os registros para outros aplicativos, outros repositórios ou terceiros. Para exportar os registros, consulte Como exportar registros.
Uma organização pode criar um coletor agregado para exportar as entradas de registro de todos os projetos, pastas e contas de faturamento da organização. Como qualquer outro, o coletor agregado contém um filtro que seleciona entradas de registro individuais. Para agregar e exportar os registros de auditoria, consulte Coletores agregados.
Para ler suas entradas de registro por meio da API, veja entries.list. Para ler as entradas de registro usando o SDK, consulte Como ler entradas de registro.
Próximas etapas
- Leia a página Buscador de registros para conferir instruções sobre como filtrar registros.
- Leia a página Configurar e gerenciar coletores para instruções sobre como exportar registros.
- Saiba como armazenar e visualizar registros de build.