搭配 Cloud Build 使用 Cloud 稽核記錄

本頁說明 Cloud Build 建立的稽核記錄。

稽核記錄摘要

Google Cloud Platform 服務會製作一份稽核記錄來幫助您解答:「什麼人在什麼時間地點之下從事了哪些行為?」的問題。

稽核資訊分成幾種不同類型的資訊:

  • 管理員活動:修改 Cloud Build 資源設定或中繼資料的作業。建立或取消建構,以及建立、刪除、啟用、停用或更新觸發條件的任何 API 呼叫都歸為此類。根據預設,系統會提供此稽核資訊。

  • 資料存取 (ADMIN_READ):讀取專案、建構或觸發條件設定或中繼資料的作業。根據預設,系統不提供此稽核資訊。

  • 資料存取 (DATA_READ):從資源讀取使用者提供資料的作業。根據預設,系統不提供此稽核資訊。

  • 資料存取 (DATA_WRITE):將使用者提供的資料寫入資源的作業。根據預設,系統不提供此稽核資訊。

詳情請參閱 Cloud 稽核記錄

稽核的作業

下表摘要列出在每個稽核記錄類別中列出哪些 Cloud Build API 作業。

稽核記錄類別 Cloud Build 作業
管理員活動
  • projects.builds.create
  • projects.builds.cancel
  • projects.triggers.create
  • projects.triggers.delete
  • projects.triggers.update
  • 在 Google Cloud Platform 主控台中使用 [Run Trigger] (執行觸發條件) 按鈕執行觸發條件
  • 建立/更新身分與存取權管理政策
資料存取 (ADMIN_READ)
  • projects.builds.get
  • projects.builds.list
  • projects.triggers.list
  • projects.triggers.get
  • 取得身分與存取權管理政策
資料存取 (DATA_READ)
資料存取 (DATA_WRITE)

有別於其他服務的稽核記錄,Cloud Build 只有 ADMIN_READ 資料存取記錄,不提供 DATA_READDATA_WRITE 記錄。這是因為僅有用於儲存和管理使用者資料的服務,才會使用到 DATA_READDATA_WRITE 記錄,且 Cloud Build 將建構與觸發條件視為管理設定資訊。

存取記錄的權限

下列使用者可檢視管理員活動記錄:

下列使用者可檢視資料存取記錄:

  • 專案擁有者
  • 具有私密記錄檢視者這種身分與存取權管理角色的使用者。
  • 具有 logging.privateLogEntries.list 身分與存取權管理權限的使用者。

如需授予身分與存取權管理權限的操作說明,請參閱設定存取權控管

稽核記錄格式

稽核記錄項目的結構如下:

  • LogEntry 類型的物件,包含整個記錄項目。
  • AuditLog 類型的物件,保存於 LogEntry 物件的 protoPayload 欄位中。

瞭解儲存在這些物件中的資訊,將有助於您瞭解稽核記錄,並協助您使用記錄檢視器與 Stackdriver Logging API 擷取稽核記錄項目。

所有稽核記錄項目都包含稽核記錄的名稱、資源與服務:

  • logName:此欄位將指示記錄是「管理員活動」還是「資料存取」稽核記錄。例如:

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    

    在專案或機構內,這些記錄名稱後面通常會加上縮寫的 activitydata_access 後置字串。

  • 受控資源類型

    • build:包含已稽核作業的專案、建構與建構觸發條件。
  • serviceName:在 Cloud Build 中,此欄位包含 cloudbuild.googleapis.com

    多種資源類型屬於單一服務,但一項服務可以擁有多種資源類型。如需服務與資源的清單,請參閱將服務對應至資源

詳情請參閱稽核記錄資料類型

啟用記錄

根據預設,系統會啟用並記錄下管理員活動記錄。這些記錄不會計入您的記錄擷取配額之中。

根據預設,系統並不會記錄 Cloud Build 作業的資料存取記錄。您可以在您的專案或機構中設定「資料存取」稽核記錄。如要瞭解如何啟用資料存取類型的作業記錄,請參閱設定資料存取記錄

配額與限制

管理員活動記錄不會計入您的記錄擷取配額之中。

資料存取作業流量頗高,會計入您的記錄擷取配額之中。

詳情請參閱配額與限制

查看記錄

如要查看管理員活動的摘要:

如要選取及篩選記錄,並詳細查看記錄:

  1. 開啟 [Logs Viewer] (記錄檢視器) 頁面:

    前往記錄檢視器頁面

  2. 在第一個下拉式選單中,選取您要查看稽核記錄的資源。選取特定專案或「所有專案」。

  3. 在第二個選單中,選取您要查看的記錄名稱。若要查看「管理員活動」稽核記錄,請選取 activity;若要查看「資料存取」稽核記錄,請選取 data_access (如有記錄)。

稽核記錄會顯示在記錄檢視器中。

您也可以使用記錄檢視器的進階篩選器介面指定資源類型和記錄名稱。詳情請參閱擷取稽核記錄

匯出稽核記錄

您可以將部分或全部記錄的複本匯出至其他應用程式、其他存放區或第三方。如要匯出記錄,請參閱匯出記錄

機構可以建立匯總匯出接收器,從機構的所有專案、資料夾與帳單帳戶匯出記錄項目。就像所有接收器一樣,匯總匯出接收器也包含可選取個別記錄項目的篩選器。如要匯總及匯出稽核記錄,請參閱選擇稽核記錄

如要透過 API 讀取記錄項目,請參閱 entries.list。如要使用 SDK 讀取記錄項目,請參閱讀取記錄項目

後續步驟

傳送您對下列選項的寶貴意見...

這個網頁
Cloud Build