使用 Cloud Audit Logs 接收事件 (gcloud CLI)

本快速入门介绍如何使用 Eventarc 在未经身份验证的 Cloud Run 服务中接收来自 Cloud Storage 的事件。

您可以使用 Google Cloud CLI 来完成本快速入门。如需了解如何使用控制台，请参阅使用 Google Cloud 控制台创建触发器。

在本快速入门中，您将执行以下操作：

创建 Cloud Storage 存储桶作为事件来源。
将事件接收器服务部署到 Cloud Run。
创建事件触发器。
通过将文件上传到 Cloud Storage 存储桶来创建事件，并在 Cloud Run 日志中查看该事件。

准备工作

您的组织定义的安全限制条件可能会导致您无法完成以下步骤。如需了解相关问题排查信息，请参阅在受限的 Google Cloud 环境中开发应用。

Install the Google Cloud CLI.
To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Create or select a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.
- Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
  Replace PROJECT_ID with a name for the Google Cloud project you are creating.
- Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
  Replace PROJECT_ID with your Google Cloud project name.

确保您的 Google Cloud 项目已启用结算功能。

Enable the Artifact Registry, Cloud Build, Cloud Run, Eventarc, and Pub/Sub APIs:

gcloud services enable artifactregistry.googleapis.com cloudbuild.googleapis.com run.googleapis.com eventarc.googleapis.com pubsub.googleapis.com

更新 gcloud 组件：
```
gcloud components update
```

使用您的账号登录：
```
gcloud auth login
```

设置本快速入门中使用的配置变量：

export REGION=us-central1
gcloud config set run/region ${REGION}
gcloud config set run/platform managed
gcloud config set eventarc/location ${REGION}

如果您是项目创建者，则会被授予基本 Owner 角色 (roles/owner)。默认情况下，此 Identity and Access Management (IAM) 角色可提供完全访问大多数 Google Cloud 资源所需的权限，您可以跳过此步骤。

如果您不是项目创建者，则必须向主账号授予项目的必需权限。例如，主账号可以是 Google 账号（针对最终用户）或服务账号（针对应用和计算工作负载）。如需了解详情，请参阅事件目标位置的角色和权限页面。

请注意，默认情况下，Cloud Build 权限包含上传和下载 Artifact Registry 工件的权限。
所需权限

如需获得完成本教程所需的权限，请让您的管理员为您授予项目的以下 IAM 角色：
- Cloud Build Editor (roles/cloudbuild.builds.editor)
- Cloud Run Admin (roles/run.admin)
- Eventarc Admin (roles/eventarc.admin)
- Logs View Accessor (roles/logging.viewAccessor)
- Project IAM Admin (roles/resourcemanager.projectIamAdmin)
- Service Account Admin (roles/iam.serviceAccountAdmin)
- Service Account User (roles/iam.serviceAccountUser)
- Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
- Storage Admin (roles/storage.admin)
如需详细了解如何授予角色，请参阅管理访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

在 Cloud Storage 中启用 Cloud Audit Logs 管理员读取、数据读取和数据写入日志类型。
请注意，在项目级层，您需要 roles/owner Identity and Access Management 角色才能为 Google Cloud 资源配置数据访问审核日志。
1. 读取您项目的 IAM 政策，并将其存储在一个文件中：
```
gcloud projects get-iam-policy PROJECT_ID > /tmp/policy.yaml
```
2. 在 /tmp/policy.yaml 中修改政策，仅添加或更改数据访问审核日志配置。
  
  注意：您必须保留 bindings: 和 etag: 部分而不进行任何更改。否则可能导致您的项目不可用。
```
auditConfigs:
- auditLogConfigs:
- logType: ADMIN_READ
- logType: DATA_WRITE
- logType: DATA_READ
service: storage.googleapis.com
```
3. 写入新的 IAM 政策：
```
gcloud projects set-iam-policy PROJECT_ID /tmp/policy.yaml
```
  如果上述命令报告与其他更改发生冲突，请重复以上步骤（从读取项目的 IAM 政策开始）。
记下 Compute Engine 默认服务账号，因为您将把它附加到 Eventarc 触发器以代表触发器的身份信息进行测试。启用或使用包含 Compute Engine 的 Google Cloud 服务后，系统会自动创建此服务账号，其电子邮件地址格式如下：
```
PROJECT_NUMBER-compute@developer.gserviceaccount.com
```
将 PROJECT_NUMBER 替换为您的 Google Cloud 项目编号。您可以在 Google Cloud 控制台的欢迎页面上或者通过运行以下命令找到项目编号：
```
gcloud projects describe PROJECT_ID --format='value(projectNumber)'
```
对于生产环境，我们强烈建议创建新的服务账号，并为其授予一个或多个 IAM 角色，这些角色包含所需的最小权限并遵循最小权限原则。

注意：
iam.automaticIamGrantsForDefaultServiceAccounts 组织政策限制条件可以防止将 Editor 角色自动授予默认服务账号。如果您的组织是在 2024 年 5 月 3 日之后创建的，则默认情况下会强制执行此限制条件。

我们强烈建议您实施此限制条件，以停用自动角色授予功能。如果您停用自动角色授予功能，则必须决定向默认服务账号授予哪些角色，然后自行授予这些角色。

如果默认服务账号已具有 Editor 角色，我们建议您将 Editor 角色替换为权限较少的角色。如需安全地修改服务账号的角色，请使用 Policy Simulator 查看更改的影响，然后授予和撤消相应的角色。
将项目的 Eventarc Event Receiver 角色 (roles/eventarc.eventReceiver) 授予 Compute Engine 默认服务账号，以便 Eventarc 触发器可以接收来自事件提供程序的事件。
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
    --role=roles/eventarc.eventReceiver
```
如果您在 2021 年 4 月 8 日或之前启用了 Cloud Pub/Sub 服务代理，以支持经过身份验证的 Pub/Sub 推送请求，请向该服务代理授予 Service Account Token Creator 角色 (roles/iam.serviceAccountTokenCreator)。否则，系统会默认授予此角色：
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \
    --role=roles/iam.serviceAccountTokenCreator
```
下载并安装 Git 源代码管理工具。

创建 Artifact Registry 标准制品库

创建 Artifact Registry 标准制品库以存储您的容器映像：

gcloud artifacts repositories create REPOSITORY \
    --repository-format=docker \
    --location=$REGION

将 REPOSITORY 替换为制品库的唯一名称。

创建 Cloud Storage 存储桶

本快速入门使用 Cloud Storage 作为事件来源。要创建存储桶，请执行以下操作：

gsutil mb -l ${REGION} gs://events-quickstart-PROJECT_ID/

创建事件来源后，您可以在 Cloud Run 上部署事件接收器服务。

将事件接收器服务部署到 Cloud Run

部署接收和记录事件的 Cloud Run 服务。要部署示例事件接收器服务，请执行以下操作：

克隆 GitHub 代码库：

Go

git clone https://github.com/GoogleCloudPlatform/golang-samples.git
cd golang-samples/eventarc/audit_storage

Java

git clone https://github.com/GoogleCloudPlatform/java-docs-samples.git
cd java-docs-samples/eventarc/audit-storage

.NET

git clone https://github.com/GoogleCloudPlatform/dotnet-docs-samples.git
cd dotnet-docs-samples/eventarc/audit-storage

Node.js

git clone https://github.com/GoogleCloudPlatform/nodejs-docs-samples.git
cd nodejs-docs-samples/eventarc/audit-storage

Python

git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
cd python-docs-samples/eventarc/audit-storage

构建容器并将其上传到 Cloud Build：

gcloud builds submit --tag $REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/helloworld-events:v1

将容器映像部署到 Cloud Run：
```
gcloud run deploy helloworld-events \
    --image $REGION-docker.pkg.dev/PROJECT_ID/REPOSITORY/helloworld-events:v1 \
    --allow-unauthenticated
```
部署成功后，命令行会显示服务网址。

现在，您已将名为 helloworld-events 的事件接收器服务部署到 Cloud Run，接下来便可以设置触发器了。

创建 Eventarc 触发器

Eventarc 触发器会将 Cloud Storage 存储桶中的事件发送到 helloworld-events Cloud Run 服务。

创建一个用于过滤 Cloud Storage 事件并且使用 Google Cloud 项目的 Compute Engine 默认服务账号的触发器：
```
gcloud eventarc triggers create events-quickstart-trigger \
    --destination-run-service=helloworld-events \
    --destination-run-region=${REGION} \
    --event-filters="type=google.cloud.audit.log.v1.written" \
    --event-filters="serviceName=storage.googleapis.com" \
    --event-filters="methodName=storage.objects.create" \
    --service-account=PROJECT_NUMBER-compute@developer.gserviceaccount.com
```
这将创建一个名为 events-quickstart-trigger 的触发器。

请注意，首次在 Google Cloud 项目中创建 Eventarc 触发器时，预配 Eventarc 服务代理可能会有延迟。通常，您可以尝试再次创建触发器，以解决此问题。如需了解详情，请参阅权限遭拒错误。
如需确认 events-quickstart-trigger 已成功创建，请运行以下命令：
```
gcloud eventarc triggers list --location=${REGION}
```
events-quickstart-trigger 列出的目标位置是 Cloud Run 服务 helloworld-events。

生成并查看事件

如需生成事件，请将一个文本文件上传到 Cloud Storage：
```
 echo "Hello World" > random.txt
 gsutil cp random.txt gs://events-quickstart-PROJECT_ID/random.txt
```
上传操作会生成事件，而 Cloud Run 服务会记录事件的消息。
如需查看服务创建的与事件相关的日志条目，请运行以下命令：
```
gcloud logging read 'textPayload: "Detected change in Cloud Storage bucket"'
```
查找类似如下的日志条目：
```
Detected change in Cloud Storage bucket: storage.googleapis.com/projects/_/buckets/BUCKET_NAME/objects/random.txt
```
其中，BUCKET_NAME 是 Cloud Storage 存储桶的名称。

注意：如果您没有看到日志条目，请等待几分钟，然后重试 gcloud logging read 命令。触发器创建后可能最长需要两分钟才能开始过滤事件。

您已成功将事件接收器服务部署到 Cloud Run，创建 Eventarc 触发器，在 Cloud Storage 中生成事件并在 Cloud Run 日志中查看该事件。

清理

虽然当服务未在使用时 Cloud Run 不会产生费用，但您可能仍然需要为在 Artifact Registry 中存储容器映像、在 Cloud Storage 存储桶中存储文件以及 Eventarc 资源付费。

您可以：

或者，您也可以删除 Google Cloud 项目，以避免产生费用。删除 Google Cloud 项目后，系统会停止对该项目中使用的所有资源计费。

删除 Google Cloud 项目：

gcloud projects delete PROJECT_ID