Encaminhar eventos de registro de auditoria para os Workflows

Um gatilho do Eventarc declara seu interesse em um determinado evento ou conjunto de eventos. Para configurar o roteamento de eventos, especifique filtros para o gatilho, incluindo a origem do evento e o serviço de destino.

Os eventos são entregues no formato CloudEvents por meio de uma solicitação HTTP. O serviço do Workflows converte o evento em um objeto JSON (seguindo a especificação do CloudEvents) e transmite o evento para a execução do fluxo de trabalho como um argumento do ambiente de execução do fluxo de trabalho. Verifique se o tamanho do evento não ultrapassa 512 KB. Eventos maiores que o tamanho máximo de argumentos do Workflows não acionarão execuções de fluxo de trabalho.

Nestas instruções, mostramos como configurar o encaminhamento de eventos para que uma execução do fluxo de trabalho seja acionada quando for criado um registro de auditoria que corresponda aos critérios de filtro do acionador. Esse tipo de evento se aplica a todos os provedores de eventos. Para verificar uma lista dos eventos de registros de auditoria aceitos pelo Eventarc, incluindo valores serviceName e methodName, consulte Eventos compatíveis com o Eventarc.

Para mais informações sobre como capturar eventos acionados quando um registro de auditoria é criado e corresponde aos critérios do filtro, consulte Determinar filtros de evento para os registros de auditoria do Cloud.

Preparar para criar um gatilho

Antes de criar um gatilho do Eventarc para um fluxo de trabalho de destino, conclua as tarefas a seguir.

Console

  1. No Console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  2. Ative as APIs Eventarc, Eventarc Publishing, Workflows e Workflow Executions.

    Ative as APIs

  3. Se aplicável, ative a API relacionada aos eventos dos Registros de auditoria do Cloud. Por exemplo, para os registros de auditoria do Cloud Run functions, ative a API Cloud Functions.

  4. Se você ainda não tiver uma, crie uma conta de serviço gerenciada pelo usuário e conceda a ela os papéis e as permissões necessários para que o Eventarc gerencie eventos de um fluxo de trabalho de destino.

    1. No console do Google Cloud, acesse a página Contas de serviço.

      Acessar a página "Contas de serviço"

    2. Selecione o projeto.

    3. No campo Nome da conta de serviço, insira um nome. O Console do Google Cloud preenche o campo ID da conta de serviço com base nesse nome.

      No campo Descrição da conta de serviço, insira uma descrição. Por exemplo, Service account for event trigger.

    4. Clique em Criar e continuar.

    5. Para fornecer o acesso apropriado, na lista Selecionar um papel, escolha os papéis necessários do Identity and Access Management (IAM) para conceder à sua conta de serviço. Para mais informações, consulte Papéis e permissões para destinos do Workflows.

      Para papéis adicionais, clique em Adicionar outro papel e adicione cada papel adicional.

    6. Clique em Continuar.

    7. Para concluir a criação da conta de serviço, clique em Concluído.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Ative as APIs Eventarc, Eventarc Publishing, Workflows e Workflow Executions:

    gcloud services enable eventarc.googleapis.com \
    eventarcpublishing.googleapis.com \
    workflows.googleapis.com \
    workflowexecutions.googleapis.com

  3. Se aplicável, ative a API relacionada aos eventos dos Registros de auditoria do Cloud. Por exemplo, nos registros de auditoria do Cloud Run functions, ative cloudfunctions.googleapis.com.

  4. Se você ainda não tiver uma, crie uma conta de serviço gerenciada pelo usuário e conceda a ela os papéis e as permissões necessários para que o Eventarc possa gerenciar eventos de um fluxo de trabalho de destino.

    1. Crie a conta de serviço:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Substitua SERVICE_ACCOUNT_NAME pelo nome da conta de serviço. Ele precisa ter entre 6 e 30 caracteres e pode conter letras minúsculas, caracteres alfanuméricos e traços. Depois de criar uma conta de serviço, não é possível alterar o nome dela.

    2. Conceda os papéis ou as permissões necessários do Identity and Access Management (IAM). Para mais informações, consulte Papéis e permissões para destinos do Workflows.

Criar um gatilho

É possível criar um gatilho do Eventarc com um fluxo de trabalho implantado como receptor de eventos usando a CLI do Google Cloud (gcloud ou Terraform) ou o console do Google Cloud.

Console

  1. No Console do Google Cloud, acesse a página Gatilhos do Eventarc.

    Acessar gatilhos

  2. Clique em Criar gatilho.
  3. Digite um Nome de gatilho.

    Esse é o ID do gatilho e precisa começar com uma letra. Ele pode conter até 63 letras minúsculas, números ou hífens.

  4. Em Tipo de gatilho, selecione Fontes do Google.
  5. Selecione um Provedor de eventos.

    Esse é o serviço do Google que é a origem dos eventos usando os registros de auditoria. Por exemplo, selecione BigQuery.

    O nome do provedor de eventos usado na documentação do Google Cloud associada pode não ter o prefixo Cloud ou Google Cloud. Por exemplo, no console, o Memorystore para Redis é chamado de Google Cloud Memorystore para Redis.

  6. Na lista Tipo de evento, nos eventos pelos Registros de auditoria do Cloud, selecione um tipo de evento.
  7. Selecione uma opção:
    • Qualquer recurso: esse é o padrão e inclui recursos criados dinamicamente que têm identificadores gerados no momento da criação.
    • Recurso específico: é necessário fornecer o nome completo do recurso.
    • Padrão de caminho: é possível filtrar recursos usando um padrão de caminho. Por exemplo, digite projects/_/buckets/eventarc-bucket/objects/random.txt ou projects/_/buckets/**/r*.txt.
  8. Para especificar a codificação do payload do evento, na lista Tipo de conteúdo de dados do evento, selecione application/json ou application/protobuf.

    Um payload de evento formatado em JSON é maior que um formatado em Protobuf. Isso pode afetar a confiabilidade dependendo do destino do evento e dos limites do tamanho do evento. Saiba mais em Problemas conhecidos.

  9. Na lista Região, selecione uma região.

    Os gatilhos dos Registros de auditoria do Cloud para o Eventarc estão disponíveis em regiões específicas e na região global, mas não em locais birregionais e multirregionais. Para evitar problemas de desempenho e de residência de dados causados por um gatilho global, o Google recomenda que o local corresponda ao do serviço do Google Cloud que está gerando eventos. Saiba mais em Locais do Eventarc.

    Se você especificar o local global, receberá eventos de todos os locais que produzem correspondências para os filtros de eventos. Por exemplo, ao criar um gatilho global do Eventarc, é possível receber eventos de recursos nas multirregiões da UE e dos EUA.

    Há um problema conhecido com os gatilhos dos Registros de auditoria do Cloud para o Compute Engine que resulta em eventos originados de uma única região: us-central1. Isso não depende da localização da instância da máquina virtual. Ao criar o gatilho, defina o local dele como us-central1 ou global.

  10. Selecione a conta de serviço que vai invocar seu serviço ou fluxo de trabalho.

    ou crie uma nova conta de serviço.

    Ele especifica o e-mail da conta de serviço do Identity and Access Management (IAM) associado ao gatilho e aos quais você já concedeu papéis específicos exigidos pelo Eventarc.

  11. Na lista Destino do evento, selecione Workflows.
  12. Selecione um fluxo de trabalho.

    Esse é o nome do fluxo de trabalho para o qual transmitir eventos. Os eventos de uma execução de fluxo de trabalho são transformados e transmitidos para o fluxo de trabalho como argumentos de ambiente de execução.

    Para mais informações, consulte Criar um gatilho para os Workflows.

  13. Clique em Criar.

    14. Depois que um gatilho é criado, os filtros da origem de eventos não podem ser modificados. Crie um novo gatilho e exclua o antigo. Para mais informações, consulte Gerenciar acionadores.

gcloud

Para criar um gatilho, execute um comando gcloud eventarc triggers create com as sinalizações obrigatórias e opcionais.

gcloud eventarc triggers create TRIGGER \
    --location=LOCATION \
    --destination-workflow=DESTINATION_WORKFLOW \
    --destination-workflow-location=DESTINATION_WORKFLOW_LOCATION \
    --event-filters="type=google.cloud.audit.log.v1.written" \
    --event-filters="serviceName=SERVICE_NAME" \
    --event-filters="methodName=METHOD_NAME" \
    --event-data-content-type="EVENT_DATA_CONTENT_TYPE" \
    --service-account="MY_SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com"

Substitua:

  • TRIGGER: o ID do gatilho ou um identificador totalmente qualificado.
  • LOCATION: o local do gatilho do Eventarc. Como alternativa, é possível definir a propriedade eventarc/location, por exemplo: gcloud config set eventarc/location us-central1.

    O Eventarc está disponível em locais específicos e no local global, mas não em locais birregionais e multirregionais. Para evitar problemas de desempenho e de residência de dados causados por um gatilho global, recomendamos que o local corresponda ao do serviço do Google Cloud que está gerando eventos.

    Se você especificar o local global, receberá eventos de todos os locais aos quais os filtros de evento correspondem. Por exemplo, ao criar um gatilho global do Eventarc, é possível receber eventos de recursos, como buckets do Cloud Storage nas multirregiões da UE e dos EUA.

  • DESTINATION_WORKFLOW: o ID do fluxo de trabalho implantado que recebe os eventos do gatilho. O fluxo de trabalho pode estar em qualquer um dos locais compatíveis com o Workflows e não precisa estar no mesmo local do gatilho. No entanto, o fluxo de trabalho precisa estar no mesmo projeto que o gatilho.
  • DESTINATION_WORKFLOW_LOCATION (opcional): o local em que o fluxo de trabalho de destino está implantado. Se não for especificado, presumimos que o fluxo de trabalho está no mesmo local que o gatilho.
  • SERVICE_NAME: o identificador do serviço do Google Cloud
  • METHOD_NAME: o identificador da operação
  • EVENT_DATA_CONTENT_TYPE: (opcional) a codificação do payload do evento. Os valores podem ser application/json ou application/protobuf. A codificação padrão é application/json.

    Um payload de evento formatado em JSON é maior do que um formatado em Protobuf. Isso pode afetar a confiabilidade dependendo do destino do evento e dos limites dele no tamanho. Saiba mais em Problemas conhecidos.

  • SERVICE_ACCOUNT_NAME: o nome da conta de serviço do IAM que você criou para a qual você concedeu papéis específicos exigidos pelos fluxos de trabalho.
  • PROJECT_ID: o ID do projeto do Google Cloud

Observações:

  • Essas sinalizações são necessárias:
    • --event-filters="type=google.cloud.audit.log.v1.written"
    • --event-filters="serviceName=VALUE"
    • --event-filters="methodName=VALUE"
  • Após a criação de um gatilho, --event-filters="type=google.cloud.audit.log.v1.written" não pode ser alterado. Para um tipo de evento diferente, crie um novo gatilho.
  • --service-account: o e-mail da conta de serviço do IAM que o gatilho do Eventarc vai usar para invocar as execuções do fluxo de trabalho e receber os registros de auditoria do Cloud. Recomendamos o uso de uma conta de serviço com os privilégios mínimos necessários para acessar os recursos necessários. Para saber mais sobre contas de serviço, consulte Criar e gerenciar contas de serviço.
  • Para ver uma lista dos eventos de registros de auditoria aceitos pelo Eventarc, incluindo valores serviceName e methodName, consulte Eventos compatíveis com o Eventarc.
  • Cada gatilho pode ter vários filtros de eventos separados por vírgula em uma sinalização --event-filters=[ATTRIBUTE=VALUE,...] ou repita a sinalização para adicionar mais filtros. Somente eventos que correspondam a todos os filtros são enviados para o destino. Caracteres curinga e expressões regulares não são aceitos.
    • Consulte Determinar filtros de evento para registros de auditoria do Cloud.
  • Opcionalmente, é possível filtrar eventos para um recurso específico usando a sinalização --event-filters="resourceName=VALUE" e especificando o caminho completo para o recurso. Omita a sinalização para recursos criados dinamicamente com identificadores gerados no momento da criação. Também é possível filtrar eventos para um conjunto de recursos usando a sinalização --event-filters-path-pattern="resourceName=VALUE" e especificando o padrão de caminho do recurso.
  • Por padrão, as assinaturas do Pub/Sub criadas para o Eventarc são mantidas independentemente da atividade e não expiram. Para mudar a duração da inatividade, consulte Propriedades da assinatura.

Exemplo:

gcloud eventarc triggers create helloworld-trigger \
    --location=us-central1 \
    --destination-workflow=my-workflow \
    --destination-workflow-location=europe-west4 \
    --event-filters="type=google.cloud.audit.log.v1.written" \
    --event-filters="serviceName=bigquery.googleapis.com" \
    --event-filters="methodName=jobservice.jobcompleted" \
    --service-account="${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com"

Isso cria um gatilho chamado helloworld-trigger para registros de auditoria que são gravados por bigquery.googleapis.com e para a operação identificada como jobservice.jobcompleted.

Terraform

É possível criar um gatilho para um fluxo de trabalho usando o Terraform. Para mais detalhes, acesse Como acionar um fluxo de trabalho usando o Eventarc e o Terraform.

Listar um gatilho

É possível confirmar a criação de um gatilho listando os gatilhos do Eventarc usando a CLI do Google Cloud ou o console do Google Cloud.

Console

  1. No Console do Google Cloud, acesse a página Gatilhos do Eventarc.

    Acessar gatilhos

    Confira nesta página os gatilhos em todos os locais e os detalhes como nomes, regiões, provedores de eventos, destinos e muito mais.

  2. Para filtrar os gatilhos, siga estas etapas:

    1. Clique em Filtrar ou no campo Filtrar gatilhos.
    2. Na lista Propriedades, selecione uma opção para filtrar os gatilhos.

    É possível selecionar uma única propriedade ou usar o operador lógico OR para adicionar mais propriedades.

  3. Para classificar gatilhos, ao lado de qualquer cabeçalho de coluna com suporte, clique em Ordenar.

gcloud

Execute o comando a seguir para listar os gatilhos:

gcloud eventarc triggers list --location=-

Esse comando lista os gatilhos em todos os locais e inclui detalhes como nomes, tipos, destinos e status.

A seguir