Papéis do IAM para funções de job relacionadas a auditoria

Neste tópico, descrevemos como configurar as permissões do Gerenciamento de identidade e acesso para um conjunto de cenários de auditoria de exemplo. Nele, você encontra quais papéis de IAM conceder aos papéis funcionais relacionados à auditoria na empresa, para cada cenário. Os exemplos deste tópico são voltados principalmente para os administradores de segurança, auditores e funcionários que gerenciam tarefas de auditoria de uma organização.

Contexto

O Google Cloud oferece registros de auditoria do Cloud, que é parte integrante do Cloud Logging. Eles consistem em dois fluxos de registros para cada projeto: atividade administrativa e acesso aos dados, que são gerados pelos serviços do Google Cloud para ajudar você a responder: "quem fez o quê, onde e quando?" nos seus projetos do Google Cloud. Esses registros são diferentes daqueles do aplicativo e estão descritos abaixo:

  • Os Registros de atividade do administrador contêm entradas de registros para chamadas de API ou de outras ações administrativas que modificam a configuração ou os metadados de recursos. Os registros de atividades do administrador estão sempre ativados. Não há cobrança para os registros de auditoria de atividade do administrador.
  • Os Registros de acesso a dados gravam chamadas de API que criam, modificam ou leem dados fornecidos pelo usuário. Por serem grandes, os registros de auditoria de acesso a dados estão desativados por padrão.

Cada serviço que produz registros de auditoria é listado nos serviços do Google com registros de auditoria.

O Cloud Logging retém entradas de registro por um tempo limitado, conhecido como período de armazenamento. Após esse período, as entradas são excluídas. Para manter entradas de registro maiores, elas precisam ser exportadas fora do Cloud Logging para o Pub/Sub, o BigQuery ou um bucket do Cloud Storage.

Os exemplos de cenários neste tópico presumem que uma organização do Cloud já esteja configurada.

Neste documento, não há detalhes sobre os papéis e permissões de registro. Para uma descrição detalhada, consulte o Guia de controle de acesso do Cloud Logging.

Cenário: monitoramento operacional

Neste cenário, uma organização tem uma equipe de segurança central capaz de analisar registros que podem conter informações confidenciais no Cloud Logging e durante o armazenamento de longo prazo.

Os dados do histórico de auditoria são armazenados no Cloud Storage. A organização usa um aplicativo para fornecer acesso aos dados do histórico de auditoria. O aplicativo usa uma conta de serviço para acessar os dados de registro. Devido à confidencialidade de alguns dados de registro de auditoria, eles são editados usando a Prevenção contra perda de dados antes de serem disponibilizados para visualização.

A tabela abaixo explica os papéis do IAM que precisam ser concedidos ao CTO, à equipe de segurança e à conta de serviço, além do nível de recurso em que os papéis são concedidos.

Papel Recurso Membro Descrição
resourcemanager.organizationAdmin Organização CTO O papel resourcemanager.organizationAdmin permite a concessão de permissões à equipe de segurança e à conta de serviço pelo CTO.
logging.viewer Organização Equipe de segurança O papel logging.viewer permite a visualização dos registros de atividade do administrador pela equipe de administração de segurança.
logging.privateLogViewer Organização Equipe de segurança O papel logging.privateLogViewer permite a visualização dos registros de acesso a dados.

Depois que as entradas de registro forem exportadas, o acesso às cópias exportadas será totalmente controlado pelas permissões e papéis do IAM em qualquer um dos destinos: Cloud Storage, BigQuery ou Pub/Sub. Nesse cenário, o Cloud Storage é o destino para o armazenamento de longo prazo dos registros de auditoria.

Papel Recurso Membro Descrição
logging.viewer Organização Conta de serviço O papel logging.viewer permite que a conta de serviço leia os registros de atividades do administrador no Cloud Logging.

Os dados nos registros de acesso a dados são considerados informações de identificação pessoal (PII, na sigla em inglês) para essa organização. A integração do aplicativo com o Cloud DLP permite a edição de dados PII sensíveis quando os registros de acesso a dados são visualizados, estejam eles nos registros de acesso a dados ou no arquivo do histórico no Cloud Storage.

Papel Recurso Membro Descrição
storage.objectViewer bucket Conta de serviço O papel storage.objectViewer permite a leitura dos registros de atividade do administrador pela conta de serviço.

A política do IAM vinculada ao recurso da organização para esse cenário será semelhante a esta:

{
  "bindings": [{
    "role": "roles/resourcemanager.organizationAdmin",
      "members": [
        "user:cto@example.com"
      ]
    },
    {
      "role": "roles/logging.viewer",
      "members": [
        "group:security-team@example.com",
        "serviceAccount:prod-logviewer@admin-resources.iam.gserviceaccount.com"
      ]
    },
    {
      "role": "roles/logging.privateLogViewer",
      "members": [
        "group:security-team@example.com"
      ]
    }
  ]
}

A política do IAM vinculada ao bucket configurado como o coletor de destino desse cenário será semelhante a esta:

{
  "bindings": [{
    "role": "roles/storage.objectViewer",
    "members": [
      "serviceAccount:prod-logviewer@admin-resources.iam.gserviceaccount.com"
    ]
  }]
}

Cenário: equipes de desenvolvimento monitorando os respectivos registros de auditoria

Nesse cenário, os desenvolvedores da organização precisam examinar os registros de auditoria gerados durante o desenvolvimento dos respectivos aplicativos. Eles não têm permissão para analisar os registros de produção, a menos que tenham sido editados usando o Cloud DLP. Um aplicativo de painel está disponível para os desenvolvedores. Ele fornece acesso somente visualização aos dados de produção exportados. A equipe de segurança da organização tem acesso a todos os registros, tanto na produção como no ambiente de desenvolvimento.

A tabela abaixo explica os papéis do IAM que precisam ser concedidos à equipe de segurança, aos desenvolvedores e à conta de serviço, além do nível de recurso em que os papéis são concedidos.

Papel Recurso Membro Descrição
logging.viewer Organização Equipe de segurança O papel logging.viewer permite a visualização dos registros de atividade do administrador pela equipe de administração de segurança.
logging.privateLogViewer Organização Equipe de segurança O papel logging.privateLogViewer permite a visualização dos registros de acesso a dados.
logging.viewer Pasta Equipe de desenvolvedores O papel logging.viewer permite que a equipe de desenvolvedores visualize os registros de atividades administrativas gerados pelos projetos do desenvolvedor, contidos em uma pasta em que todos os projetos de desenvolvedor estão localizados.
logging.privateLogViewer Pasta Equipe de desenvolvedores O papel logging.privateLogViewer permite a visualização dos registros de acesso a dados.

O acesso às cópias exportadas é totalmente controlado por permissões e papéis do IAM em qualquer um dos destinos: Cloud Storage, BigQuery ou Pub/Sub. Nesse cenário, o BigQuery é o destino para o armazenamento dos registros de auditoria.

Papel Recurso Membro Descrição
bigquery.dataViewer Conjunto de dados do BigQuery Conta de serviço do painel O papel bigquery.dataViewer permite que a conta de serviço usada pelo aplicativo do painel faça a leitura dos registros de atividade do administrador exportados.

A política do IAM vinculada ao recurso de pasta da equipe de desenvolvimento para esse cenário será semelhante a esta:

{
  "bindings": [{
    "role": "roles/logging.viewer",
    "members": [
      "group:developer-team@example.com"
    ]
  },
  {
    "role": "roles/logging.privateLogViewer",
    "members": [
      "group:developer-team@example.com"
    ]
  }]
}

A política do IAM vinculada ao recurso da organização para esse cenário será semelhante a esta:

{
  "bindings": [{
    "role": "roles/logging.viewer",
    "members": [
      "group:security-team@example.com"
    ]
  },
  {
    "role": "roles/logging.privateLogViewer",
    "members": [
      "group:security-team@example.com"
    ]
  }]
}

A política do IAM vinculada ao conjunto de dados do BigQuery e configurada como coletor de destino desse cenário será semelhante a esta:

{
  "bindings": [{
    "role": "roles/bigquery.dataViewer",
    "members": [
      "serviceAccount:prod-project-dashboard@admin-resources.iam.gserviceaccount.com"
    ]
  }]
}

Cenário: auditores externos

Nesse cenário, os registros de auditoria de uma organização são agregados e exportados para um local de coletor central. Um auditor de terceiros recebe acesso diversas vezes ao ano para revisar os registros de auditoria da organização. O auditor não está autorizado a ver dados de PII nos registros de atividades do administrador. Para obedecer a esse requisito, há um painel disponível que fornece acesso aos registros históricos armazenados no BigQuery e, mediante solicitação, aos registros de atividades do administrador do Cloud Logging.

A organização cria um grupo do Google para esses auditores externos e adiciona o auditor atual ao grupo. Esse grupo é monitorado e geralmente recebe acesso ao aplicativo do painel.

Durante o acesso normal, o grupo do Google dos auditores só recebe acesso para visualizar os registros históricos armazenados no BigQuery. Se forem encontradas anomalias, o grupo receberá permissão para ver os registros de atividade do administrador do Cloud Logging por meio do modo de acesso elevado do painel. No final de cada período de auditoria, o acesso do grupo é revogado.

Os dados são editados usando o Cloud DLP antes de serem disponibilizados para visualização por meio do aplicativo do painel.

A tabela abaixo explica os papéis de registro do IAM que um administrador da organização pode conceder à conta de serviço usada pelo painel, bem como o nível de recurso em que o papel é concedido.

Papel Recurso Membro Descrição
logging.viewer Organização Conta de serviço do painel O papel logging.viewer permite que a conta de serviço leia os registros de atividades do administrador no Cloud Logging.
bigquery.dataViewer Conjunto de dados do BigQuery Conta de serviço do painel O papel bigquery.dataViewer permite que a conta de serviço usada pelo aplicativo do painel faça a leitura dos registros de atividade do administrador exportados.

A política do IAM vinculada ao recurso da organização para esse cenário será semelhante a esta:

{
  "bindings": [{
    "role": "roles/logging.viewer",
    "members": [
      "serviceAccount:prod-project-dashboard@admin-resources.iam.gserviceaccount.com"
    ]
  }]
}

A política do IAM vinculada ao conjunto de dados do BigQuery e configurada como coletor de destino desse cenário será semelhante a esta:

{
  "bindings": [{
    "role": "roles/bigquery.dataViewer",
    "members": [
      "serviceAccount:prod-project-dashboard@admin-resources.iam.gserviceaccount.com"
    ]
  }]
}