Encaminhe eventos de registo de auditoria para os fluxos de trabalho

Um acionador do Eventarc declara o seu interesse num determinado evento ou conjunto de eventos. Pode configurar o encaminhamento de eventos especificando filtros para o acionador, incluindo a origem do evento e o fluxo de trabalho de destino.

Os eventos são entregues no formato CloudEvents através de um pedido HTTP. O serviço Workflows converte o evento num objeto JSON (seguindo a especificação CloudEvents) e passa o evento para a execução do fluxo de trabalho como um argumento de tempo de execução do fluxo de trabalho. Certifique-se de que o tamanho do evento não excede 512 KB. Os eventos superiores ao tamanho máximo dos argumentos dos fluxos de trabalho não acionam execuções de fluxos de trabalho.

Estas instruções mostram-lhe como configurar o encaminhamento de eventos para que uma execução do fluxo de trabalho seja acionada quando é criado um registo de auditoria que corresponde aos critérios de filtro do acionador. Este tipo de evento aplica-se a todos os fornecedores de eventos. Para ver uma lista dos eventos do registo de auditoria suportados pelo Eventarc, incluindo os valores serviceName e methodName, consulte os tipos de eventos Google suportados pelo Eventarc.

Para mais informações sobre a captura de eventos acionados quando é criado um registo de auditoria que corresponde aos critérios de filtro do acionador, consulte o artigo Determine filtros de eventos para registos de auditoria da nuvem.

Prepare-se para criar um acionador

Antes de criar um acionador do Eventarc para um fluxo de trabalho de destino, conclua as seguintes tarefas.

Consola

  1. Na Google Cloud consola, na página do seletor de projetos, selecione ou crie um Google Cloud projeto.

    Aceder ao seletor de projetos

  2. Ative as APIs Eventarc, Eventarc Publishing, Workflows e Workflow Executions.

    Ative as APIs

  3. Se aplicável, ative a API relacionada com os eventos dos registos de auditoria do Google Cloud. Por exemplo, para os registos de auditoria das funções do Cloud Run, ative a API Cloud Functions.

  4. Se ainda não tiver uma, crie uma conta de serviço gerida pelo utilizador e, em seguida, conceda-lhe as funções e as autorizações necessárias para que o Eventarc possa gerir eventos para um fluxo de trabalho de destino.

    1. Na Google Cloud consola, aceda à página Contas de serviço.

      Aceda a Contas de serviço

    2. Selecione o seu projeto.

    3. No campo Nome da conta de serviço, introduza um nome. A Google Cloud consola preenche o campo ID da conta de serviço com base neste nome.

      No campo Descrição da conta de serviço, introduza uma descrição. Por exemplo, Service account for event trigger.

    4. Clique em Criar e continuar.

    5. Para conceder o acesso adequado, na lista Selecionar uma função, selecione as funções de gestão de identidade e de acesso (IAM) necessárias para conceder à sua conta de serviço. Para mais informações, consulte o artigo Funções e autorizações para alvos de fluxos de trabalho.

      Para funções adicionais, clique em Adicionar outra função e adicione cada função adicional.

    6. Clique em Continuar.

    7. Para concluir a criação da conta, clique em Concluído.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Ative as APIs Eventarc, Eventarc Publishing, Workflows e Workflow Executions:

    gcloud services enable eventarc.googleapis.com \
    eventarcpublishing.googleapis.com \
    workflows.googleapis.com \
    workflowexecutions.googleapis.com

  3. Se aplicável, ative a API relacionada com os eventos dos registos de auditoria do Google Cloud. Por exemplo, para os registos de auditoria das funções do Cloud Run, ative cloudfunctions.googleapis.com.

  4. Se ainda não tiver uma, crie uma conta de serviço gerida pelo utilizador e, em seguida, conceda-lhe as funções e as autorizações necessárias para que o Eventarc possa gerir eventos para um fluxo de trabalho de destino.

    1. Crie a conta de serviço:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Substitua SERVICE_ACCOUNT_NAME pelo nome da conta de serviço. Tem de ter entre 6 e 30 carateres e pode conter carateres alfanuméricos em minúsculas e traços. Depois de criar uma conta de serviço, não pode alterar o respetivo nome.

    2. Conceda as funções ou as autorizações da gestão de identidade e de acesso (IAM) necessárias. Para mais informações, consulte o artigo Funções e autorizações para alvos de fluxos de trabalho.

Crie um acionador

Pode criar um acionador do Eventarc com um fluxo de trabalho implementado como o recetor de eventos através da CLI Google Cloud (gcloud ou Terraform) ou através da consola Google Cloud .

Consola

  1. Na Google Cloud consola, aceda à página Triggers do Eventarc.

    Aceda a Acionadores

  2. Clique em Criar acionador.
  3. Escreva um Nome do acionador.

    Este é o ID do acionador e tem de começar com uma letra. Pode conter até 63 letras minúsculas, números ou hífenes.

  4. Para o Tipo de acionador, selecione Fontes Google.
  5. Selecione um Fornecedor de eventos.

    Este é o serviço Google que é a origem dos eventos através dos respetivos registos de auditoria. Por exemplo, selecione BigQuery.

    Tenha em atenção que o nome do fornecedor de eventos usado na Google Cloud documentação associada pode não ter um prefixo de Cloud ou Google Cloud. Por exemplo, na consola, o Memorystore for Redis é denominado Google Cloud Memorystore for Redis.

  6. Na lista Tipo de evento, nos eventos através dos registos de auditoria na nuvem, selecione um tipo de evento.
  7. Selecione uma das seguintes opções:
    • Qualquer recurso: esta é a predefinição e inclui recursos criados dinamicamente com identificadores gerados no momento da criação.
    • Recurso específico: tem de indicar o nome do recurso completo.
    • Padrão do caminho: pode filtrar recursos através de um padrão do caminho. Por exemplo, escreva projects/_/buckets/eventarc-bucket/objects/random.txt ou escreva projects/_/buckets/**/r*.txt.
  8. Para especificar a codificação da carga útil do evento, na lista Tipo de conteúdo dos dados do evento, selecione application/json ou application/protobuf.

    Tenha em atenção que um payload de evento formatado em JSON é maior do que um formatado em Protobuf. Isto pode afetar a fiabilidade, dependendo do destino do evento e dos respetivos limites de tamanho do evento. Para mais informações, consulte a secção Problemas conhecidos.

  9. Na lista Região, selecione uma região.

    Os registos de auditoria na nuvem para o Eventarc estão disponíveis em regiões específicas e na região global, mas não estão disponíveis em localizações de duas regiões e multirregionais. Para evitar problemas de desempenho e residência de dados causados por um acionador global, a Google recomenda que a localização corresponda à do serviço que está a gerar eventos. Google Cloud Para mais informações, consulte o artigo Localizações do Eventarc.

    Se especificar a localização global, recebe eventos de todas as localizações que geram correspondências para os filtros de eventos. Por exemplo, ao criar um acionador do Eventarc global, pode receber eventos de recursos nas multirregiões da UE e dos EUA.

    Tenha em atenção que existe um problema conhecido com os acionadores dos registos de auditoria do Cloud para o Compute Engine que resulta em eventos originários de uma única região: us-central1. Isto é independente da localização real da instância da máquina virtual. Quando criar o acionador, defina a localização do acionador como us-central1 ou global.

  10. Selecione a conta de serviço que vai invocar o seu serviço ou fluxo de trabalho.

    Em alternativa, pode criar uma nova conta de serviço.

    Isto especifica o email da conta de serviço de gestão de identidade e de acesso (IAM) associado ao acionador e ao qual concedeu anteriormente funções específicas necessárias pelo Eventarc.

  11. Na lista Destino do evento, selecione Workflows.
  12. Selecione um fluxo de trabalho.

    Este é o nome do fluxo de trabalho para o qual os eventos são transmitidos. Os eventos de uma execução do fluxo de trabalho são transformados e transmitidos ao fluxo de trabalho como argumentos de tempo de execução.

    Para mais informações, consulte o artigo Crie um acionador para fluxos de trabalho.

  13. Opcionalmente, para adicionar uma etiqueta, pode clicar em Adicionar etiqueta. As etiquetas são pares de chave-valor que ajudam a organizar os seus Google Cloud recursos. Para mais informações, consulte o artigo O que são etiquetas?
  14. Clique em Criar.

    15. Depois de criar um acionador, não é possível modificar os filtros da origem do evento. Em alternativa, crie um novo acionador e elimine o antigo. Para mais informações, consulte o artigo Faça a gestão dos acionadores.

gcloud

Pode criar um acionador executando um comando gcloud eventarc triggers create juntamente com as flags obrigatórias e opcionais.

gcloud eventarc triggers create TRIGGER \
    --location=LOCATION \
    --destination-workflow=DESTINATION_WORKFLOW \
    --destination-workflow-location=DESTINATION_WORKFLOW_LOCATION \
    --event-filters="type=google.cloud.audit.log.v1.written" \
    --event-filters="serviceName=SERVICE_NAME" \
    --event-filters="methodName=METHOD_NAME" \
    --event-data-content-type="EVENT_DATA_CONTENT_TYPE" \
    --service-account="MY_SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com"

Substitua o seguinte:

  • TRIGGER: o ID do acionador ou um identificador totalmente qualificado.
  • LOCATION: a localização do acionador do Eventarc. Em alternativa, pode definir a propriedade eventarc/location; por exemplo, gcloud config set eventarc/location us-central1.

    O Eventarc está disponível em localizações específicas e na localização global, mas não está disponível em localizações de região dupla e multirregião. Para evitar problemas de desempenho e residência de dados causados por um acionador global, recomendamos que a localização corresponda à do serviço que está a gerar eventos.Google Cloud

    Se especificar a localização global, recebe eventos de todas as localizações para as quais os filtros de eventos correspondem. Por exemplo, ao criar um acionador do Eventarc global, pode receber eventos de recursos como contentores do Cloud Storage nas multirregiões da UE e dos EUA.

  • DESTINATION_WORKFLOW: o ID do fluxo de trabalho implementado que recebe os eventos do acionador. O fluxo de trabalho pode estar em qualquer uma das localizações suportadas e não tem de estar na mesma localização que o acionador. No entanto, o fluxo de trabalho tem de estar no mesmo projeto que o acionador.
  • DESTINATION_WORKFLOW_LOCATION (opcional): a localização em que o fluxo de trabalho de destino é implementado. Se não for especificado, assume-se que o fluxo de trabalho está na mesma localização que o acionador.
  • SERVICE_NAME: o identificador do Google Cloud serviço
  • METHOD_NAME: o identificador da operação
  • EVENT_DATA_CONTENT_TYPE: (opcional) a codificação da carga útil do evento. Pode ser application/json ou application/protobuf. A codificação predefinida é application/json.

    Tenha em atenção que um payload de evento formatado em JSON é maior do que um formatado em Protobuf. Isto pode afetar a fiabilidade, dependendo do destino do evento e dos respetivos limites de tamanho do evento. Para mais informações, consulte a secção Problemas conhecidos.

  • SERVICE_ACCOUNT_NAME: o nome da conta de serviço do IAM que criou à qual concedeu funções específicas exigidas pelos Workflows.
  • PROJECT_ID: o ID do seu Google Cloud projeto

Notas:

  • Estas flags são obrigatórias:
    • --event-filters="type=google.cloud.audit.log.v1.written"
    • --event-filters="serviceName=VALUE"
    • --event-filters="methodName=VALUE"
  • Depois de criar um acionador, não é possível alterá-lo.--event-filters="type=google.cloud.audit.log.v1.written" Para um tipo de evento diferente, tem de criar um novo acionador.
  • --service-account: O email da conta de serviço do IAM que o acionador do Eventarc vai usar para invocar as execuções do fluxo de trabalho e para receber registos de auditoria do Google Cloud. Recomendamos vivamente que use uma conta de serviço com o mínimo de privilégios necessários para aceder aos recursos necessários. Para saber mais sobre as contas de serviço, consulte o artigo Crie e faça a gestão de contas de serviço.
  • Para ver uma lista dos eventos do registo de auditoria suportados pelo Eventarc, incluindo os valores serviceName e methodName, consulte o artigo Eventos suportados pelo Eventarc.
  • Cada acionador pode ter vários filtros de eventos, separados por vírgulas numa flag --event-filters=[ATTRIBUTE=VALUE,...] ou pode repetir a flag para adicionar mais filtros. Apenas os eventos que correspondem a todos os filtros são enviados para o destino. Os carateres universais e as expressões regulares não são suportados.
    • Consulte o artigo Determine filtros de eventos para os registos de auditoria do Cloud.
  • Opcionalmente, pode filtrar eventos para um recurso específico usando a flag --event-filters="resourceName=VALUE" e especificando o caminho completo para o recurso. Omita a flag para recursos criados dinamicamente que tenham identificadores gerados no momento da criação. Em alternativa, pode filtrar eventos para um conjunto de recursos usando a flag --event-filters-path-pattern="resourceName=VALUE" e especificando o padrão do caminho do recurso.
  • Por predefinição, as subscrições do Pub/Sub criadas para o Eventarc persistem independentemente da atividade e não expiram. Para alterar a duração da inatividade, consulte o artigo Propriedades da subscrição.

Exemplo:

gcloud eventarc triggers create helloworld-trigger \
    --location=us-central1 \
    --destination-workflow=my-workflow \
    --destination-workflow-location=europe-west4 \
    --event-filters="type=google.cloud.audit.log.v1.written" \
    --event-filters="serviceName=bigquery.googleapis.com" \
    --event-filters="methodName=jobservice.jobcompleted" \
    --service-account="${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com"

Isto cria um acionador denominado helloworld-trigger para registos de auditoria escritos por bigquery.googleapis.com e para a operação identificada como jobservice.jobcompleted.

Terraform

Pode criar um acionador para um fluxo de trabalho com o Terraform. Para ver detalhes, consulte o artigo Acione um fluxo de trabalho com o Eventarc e o Terraform.

Crie uma lista de um acionador

Pode confirmar a criação de um acionador listando os acionadores do Eventarc através da CLI do Google Cloud ou da Google Cloud consola.

Consola

  1. Na Google Cloud consola, aceda à página Triggers do Eventarc.

    Aceda a Acionadores

    Esta página lista os seus acionadores em todas as localizações e inclui detalhes como nomes, regiões, fornecedores de eventos, destinos e muito mais.

  2. Para filtrar os acionadores:

    1. Clique em Filtro ou no campo Acionadores de filtro.
    2. Na lista Propriedades, selecione uma opção para filtrar os acionadores.

    Pode selecionar uma única propriedade ou usar o operador lógico OR para adicionar mais propriedades.

  3. Para ordenar os acionadores, junto ao título de qualquer coluna suportada, clique em Ordenar.

gcloud

Execute o seguinte comando para listar os seus acionadores:

gcloud eventarc triggers list --location=-

Este comando lista os seus acionadores em todas as localizações e inclui detalhes como nomes, tipos, destinos e estados.

O que se segue?