Enruta eventos de registro de auditoría a Workflows

Consola

1. En la página del selector de proyectos de la consola de Google Cloud, elige o crea un proyecto de Google Cloud.

   Ir al selector de proyectos

2. Habilitar las APIs de Eventarc, publicación de Eventarc, Workflows y Workflow Executions.

   Habilita las API

3. Si corresponde, habilita la API relacionada con los eventos de los registros de auditoría de Cloud. Por ejemplo, para los registros de auditoría de Cloud Functions, habilita la API de Cloud Functions.

4. Si aún no tienes una, crea una cuenta de servicio administrada por el usuario y, luego, otórgale los roles y los permisos necesarios para que Eventarc pueda administrar los eventos para el servicio de destino.

   1. En la consola de Google Cloud, ve a la página Cuentas de servicio.

      Ir a Cuentas de servicio

   2. Elige tu proyecto.

   3. Escribe un nombre en el campo Nombre de cuenta de servicio. La consola de Google Cloud completa el campo ID de la cuenta de servicio en función de este nombre.

      Opcional: en el campo Descripción de la cuenta de servicio, escribe una descripción. Por ejemplo, Service account for event trigger.

   4. Haz clic en Crear y continuar.

   5. Para proporcionar el acceso adecuado, en la lista Seleccionar un rol, elige los roles de Identity and Access Management (IAM) necesarios para otorgar a tu cuenta de servicio. Si deseas obtener más información, consulta Roles y permisos para destinos de Workflows.

      Para obtener roles adicionales, haz clic en add Agregar otro rol y agrega cada rol adicional.

   6. Haz clic en Continuar.

   7. Para terminar de crear la cuenta, haz clic en Listo.

gcloud

1. En la consola de Google Cloud, activa Cloud Shell.

   Activar Cloud Shell

   En la parte inferior de la consola de Google Cloud, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.

2. Habilitar las APIs de Eventarc, publicación de Eventarc, Workflows y Workflow Executions:

   gcloud services enable eventarc.googleapis.com \
       eventarcpublishing.googleapis.com \
       workflows.googleapis.com \
       workflowexecutions.googleapis.com
   

3. Si corresponde, habilita la API relacionada con los eventos de los registros de auditoría de Cloud. Por ejemplo, para los registros de auditoría de Cloud Functions, habilita cloudfunctions.googleapis.com.

4. Si aún no tienes una, crea una cuenta de servicio administrada por el usuario y, luego, otórgale los roles y los permisos necesarios para que Eventarc pueda administrar los eventos para el servicio de destino.

   1. Cree la cuenta de servicio:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Reemplaza SERVICE_ACCOUNT_NAME por el nombre de la cuenta de servicio. Debe tener entre 6 y 30 caracteres y puede contener guiones y caracteres alfanuméricos en minúscula. Después de crear una cuenta de servicio, no podrás cambiar su nombre.

   2. Otorga los roles o los permisos de Identity and Access Management (IAM) necesarios. Si deseas obtener más información, consulta Roles y permisos para destinos de Workflows.

Consola

1. En la consola de Google Cloud, ve a la página Activadores de Eventarc.

   Ir a Activadores

2. Haz clic en add_boxCrear activador.
3. Escribe un nombre de activador.

   Este es el ID del activador y debe empezar con una letra. Puede contener hasta 63 letras en minúscula, números o guiones.

4. Para el Tipo de activador, elige Fuentes de Google.
5. Elige un Proveedor de eventos.

   Este es el servicio de Google que es la fuente de los eventos a través de sus registros de auditoría. Por ejemplo, elige BigQuery.

   Ten en cuenta que el nombre del proveedor de eventos que se usa en la documentación de Google Cloud asociada podría no tener el prefijo Cloud o Google Cloud. Por ejemplo, en la consola, Memorystore for Redis se denomina Google Cloud Memorystore para Redis.

6. En la lista Tipo de evento, en los eventos a través de los Registros de auditoría de Cloud, elige un tipo de evento.
7. Elige una de las siguientes opciones:
   • Cualquier recurso: es el valor predeterminado y, además, incluye los recursos creados de forma dinámica que tienen identificadores generados en el momento de la creación.
   • Recurso específico: debes proporcionar el nombre completo del recurso.
   • Patrón de ruta de acceso: puedes filtrar los recursos con un patrón de ruta de acceso. Por ejemplo, escribe projects/_/buckets/eventarc-bucket/objects/random.txt o projects/_/buckets/**/r*.txt.
8. Para especificar la codificación de la carga útil del evento, en la lista Tipo de contenido de datos de eventos, elige application/json o application/protobuf.

   Ten en cuenta que una carga útil de evento con formato JSON es mayor que una con formato en Protobuf. Esto puede afectar la confiabilidad según el destino del evento y los límites de tamaño del evento. Para obtener más información, consulta Problemas conocidos.

9. En la lista Región, elige una región.

   Los activadores de los Registros de auditoría de Cloud para Eventarc están disponibles en regiones específicas y en la global, pero no están disponibles en ubicaciones birregionales o multirregionales. Para evitar cualquier problema de rendimiento y residencia de datos causado por un activador global, te recomendamos que la ubicación coincida con la del servicio de Google Cloud que genera eventos. Para obtener más información, consulta Ubicaciones de Eventarc.

   Si especificas la ubicación global, recibirás eventos de todas las ubicaciones que generen coincidencias para los filtros de eventos. Por ejemplo, si creas un activador de Eventarc global, puedes recibir eventos de recursos en las multirregiones de EE.UU. y UE.

   Ten en cuenta que hay un problema conocido con los activadores de los Registros de auditoría de Cloud para Compute Engine que da como resultado eventos que se originan en una sola región: us-central1. Esto ocurre sin importar dónde se encuentre la instancia de máquina virtual. Cuando crees tu activador, configura su ubicación como us-central1 o global.

?
10. Elige la cuenta de servicio que invocará el servicio o el flujo de trabajo.

    O bien, puedes crear una cuenta de servicio nueva.

    Esto especifica el correo electrónico de la cuenta de servicio de Identity and Access Management (IAM) asociado con el activador y al que otorgaste antes roles específicos que requiere Eventarc.

11. En la lista Destino del evento, elige Workflows.
12. Elige un flujo de trabajo.
    

    Este es el nombre del flujo de trabajo al que se pasan los eventos. Los eventos para una ejecución del flujo de trabajo se transforman y se pasan al flujo de trabajo como argumentos del entorno de ejecución.

    Para obtener más información, consulta Crea un activador para Workflows.

13. Haz clic en Crear.

Después de que se crea un activador, los filtros de fuente del evento no se pueden cambiar. En su lugar, crea un activador nuevo y borra el anterior. Para obtener más información, consulta Administra activadores.

gcloud

Para crear un activador, ejecuta un comando gcloud eventarc triggers create junto con las marcas obligatorias y opcionales.

gcloud eventarc triggers create TRIGGER \
    --location=LOCATION \
    --destination-workflow=DESTINATION_WORKFLOW \
    --destination-workflow-location=DESTINATION_WORKFLOW_LOCATION \
    --event-filters="type=google.cloud.audit.log.v1.written" \
    --event-filters="serviceName=SERVICE_NAME" \
    --event-filters="methodName=METHOD_NAME" \
    --event-data-content-type="EVENT_DATA_CONTENT_TYPE" \
    --service-account="MY_SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com"

Reemplaza lo siguiente:

• TRIGGER: el ID del activador o un identificador completamente calificado.
• LOCATION: ubicación del activador de Eventarc. De forma alternativa, puedes establecer la propiedad eventarc/location; por ejemplo, gcloud config set eventarc/location us-central1.

  Eventarc está disponible en ubicaciones específicas y en la ubicación global, pero no está disponible en ubicaciones birregionales o multirregionales. Para evitar cualquier problema de rendimiento y residencia de datos que causa un activador global, te recomendamos que la ubicación coincida con la del servicio de Google Cloud que genera eventos.

  Si especificas la ubicación global global, recibirás eventos de todas las ubicaciones para las que coincidan los filtros de evento. Por ejemplo, si creas un activador de Eventarc global, puedes recibir eventos de recursos como los buckets de Cloud Storage en las multirregiones de EE.UU. y UE.

• DESTINATION_WORKFLOW: Es el ID del flujo de trabajo implementado que recibe los eventos del activador. El flujo de trabajo puede estar en cualquiera de las ubicaciones compatibles con Workflows y no necesita estar en la misma ubicación que el activador. Sin embargo, el flujo de trabajo debe estar en el mismo proyecto que el activador.
• DESTINATION_WORKFLOW_LOCATION (opcional): la ubicación en la que se implementa el flujo de trabajo de destino. Si no se especifica, se supone que el flujo de trabajo se encuentra en la misma ubicación que el activador.

• SERVICE_NAME: es el identificador del servicio de Google Cloud.
• METHOD_NAME: Es el identificador de la operación.
• EVENT_DATA_CONTENT_TYPE: la codificación de la carga útil del evento (opcional). Puede ser application/json o application/protobuf. La codificación predeterminada es application/json.

  Ten en cuenta que una carga útil de evento con formato JSON es mayor que una con formato Protobuf. Esto puede afectar la confiabilidad según el destino del evento y los límites de tamaño del evento. Para obtener más información, consulta Problemas conocidos.

• SERVICE_ACCOUNT_NAME: El nombre de la cuenta de servicio de IAM que creaste a la que otorgaste roles específicos que requieren los flujos de trabajo.
• PROJECT_ID: El ID del proyecto de Google Cloud.

Notas:

• Estas marcas son obligatorias:
  • --event-filters="type=google.cloud.audit.log.v1.written"
  • --event-filters="serviceName=VALUE"
  • --event-filters="methodName=VALUE"
• Después de crear un activador, --event-filters="type=google.cloud.audit.log.v1.written" no se puede cambiar. Para un tipo de evento diferente, debes crear un activador nuevo.
• --service-account: El correo electrónico de la cuenta de servicio de IAM que el activador de Eventarc usará para invocar las ejecuciones del flujo de trabajo y recibir los registros de auditoría en la nube. Recomendamos usar una cuenta de servicio con los privilegios mínimos necesarios para acceder a los recursos requeridos. Para obtener más información sobre las cuentas de servicio, consulta Crea y administra cuentas de servicio.
• Para obtener una lista de los eventos de registro de auditoría compatibles con Eventarc, incluidos los valores serviceName y methodName, consulta Eventos compatibles con Eventarc.
• Cada activador tiene varios filtros de eventos, delimitados por comas en una marca --event-filters=[ATTRIBUTE=VALUE,…], o puedes repetir la marca para agregar más filtros. Solo los eventos que coinciden con todos los filtros se envían al destino. No se admiten comodines ni expresiones regulares.
Consulta Determina filtros de eventos para registros de auditoría de Cloud.
• De manera opcional, puedes filtrar eventos para un recurso específico mediante la marca --event-filters="resourceName=VALUE" y la especificación de la ruta completa al recurso. Omite la marca para los recursos creados de forma dinámica que tienen identificadores generados en el momento de la creación. O bien, puedes filtrar eventos para un conjunto de recursos mediante la marca --event-filters-path-pattern="resourceName=VALUE" y la especificación del patrón de ruta de recurso.
• De forma predeterminada, las suscripciones de Pub/Sub creadas para Eventarc persisten, independientemente de la actividad, y no vencen. Para cambiar la duración de la inactividad, consulta Propiedades de la suscripción.

Ejemplo:

gcloud eventarc triggers create helloworld-trigger \
    --location=us-central1 \
    --destination-workflow=my-workflow \
    --destination-workflow-location=europe-west4 \
    --event-filters="type=google.cloud.audit.log.v1.written" \
    --event-filters="serviceName=bigquery.googleapis.com" \
    --event-filters="methodName=jobservice.jobcompleted" \
    --service-account="${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com"

Esto crea un activador llamado helloworld-trigger para los registros de auditoría que escribe bigquery.googleapis.com y para la operación identificada como jobservice.jobcompleted.

Terraform

Puedes crear un activador para un flujo de trabajo con Terraform. Para obtener más detalles, consulta Activa un flujo de trabajo con Eventarc y Terraform.

Consola

1. En la consola de Google Cloud, ve a la página Activadores de Eventarc.

   Ir a Activadores

   En esta página, se enumeran tus activadores en todas las ubicaciones y se incluyen detalles, como nombres, regiones, proveedores de eventos, destinos y mucho más.

2. Para filtrar tus activadores, haz lo siguiente:

   1. Haz clic en filter_list Filtrar o en el campo Filtrar activadores.
   2. En la lista Propiedades, elige una opción para filtrar los activadores.

   Puedes elegir una sola propiedad o usar el operador lógico OR para agregar más propiedades.

3. Para ordenar los activadores, junto con el encabezado de la columna compatible, haz clic en arrow_upward Ordenar.

gcloud

Ejecuta el siguiente comando para enumerar los activadores:

gcloud eventarc triggers list --location=-

Este comando enumera tus activadores en todas las ubicaciones y, además, incluye detalles como nombres, tipos, destinos y estados.