Papéis do IAM para funções de job relacionadas a auditoria

Neste tópico, descrevemos como configurar as permissões do Gerenciamento de identidade e acesso para um conjunto de cenários de auditoria de exemplo. Nele, você encontra quais papéis de IAM conceder aos papéis funcionais relacionados à auditoria na empresa, para cada cenário. Os exemplos deste tópico são voltados principalmente para os administradores de segurança, auditores e funcionários que gerenciam tarefas de auditoria de uma organização.

Para saber mais sobre os registros de auditoria do Google Cloud, consulte Registros de auditoria do Cloud. Para saber mais sobre os registros de auditoria gerados pelo IAM, consulte Geração de registros de auditoria do IAM para contas de serviço.

Cenário: monitoramento operacional

Neste cenário, uma organização tem uma equipe de segurança central capaz de analisar registros que podem conter informações confidenciais no Cloud Logging e durante o armazenamento de longo prazo.

Os dados do histórico de auditoria são armazenados no Cloud Storage. A organização usa um aplicativo para fornecer acesso aos dados do histórico de auditoria. O aplicativo usa uma conta de serviço para acessar os dados de registro. Devido à sensibilidade de alguns dados do registro de auditoria, eles são encobertos usando a Proteção de dados sensíveis antes de serem disponibilizados para visualização.

A tabela abaixo explica os papéis do IAM que precisam ser concedidos ao CTO, à equipe de segurança e à conta de serviço, além do nível de recurso em que os papéis são concedidos.

Papel Recurso Principal Descrição
resourcemanager.organizationAdmin Organização CTO O papel resourcemanager.organizationAdmin permite a concessão de permissões à equipe de segurança e à conta de serviço pelo CTO.
logging.viewer Organização Equipe de segurança O papel logging.viewer permite a visualização dos registros de atividade do administrador pela equipe de administração de segurança.
logging.privateLogViewer Organização Equipe de segurança O papel logging.privateLogViewer permite a visualização dos registros de acesso a dados.

Depois que as entradas de registro forem exportadas, o acesso às cópias exportadas será totalmente controlado pelas permissões e papéis do IAM em qualquer um dos destinos: Cloud Storage, BigQuery ou Pub/Sub. Nesse cenário, o Cloud Storage é o destino para o armazenamento de longo prazo dos registros de auditoria.

Papel Recurso Principal Descrição
logging.viewer Organização Conta de serviço O papel logging.viewer permite que a conta de serviço leia os registros de atividades do administrador no Cloud Logging.

Os dados nos registros de acesso a dados são considerados informações de identificação pessoal (PII, na sigla em inglês) para essa organização. A integração do aplicativo com a Proteção de dados sensíveis permite encobrir dados PII sensíveis ao visualizar registros de acesso a dados, estejam eles nesses registros ou no arquivo histórico do Cloud Storage.

Papel Recurso Principal Descrição
storage.objectViewer bucket Conta de serviço O papel storage.objectViewer permite a leitura dos registros de atividade do administrador pela conta de serviço.

A política do IAM vinculada ao recurso da organização para esse cenário será semelhante a esta:

{
  "bindings": [{
    "role": "roles/resourcemanager.organizationAdmin",
      "members": [
        "user:cto@example.com"
      ]
    },
    {
      "role": "roles/logging.viewer",
      "members": [
        "group:security-team@example.com",
        "serviceAccount:prod-logviewer@admin-resources.iam.gserviceaccount.com"
      ]
    },
    {
      "role": "roles/logging.privateLogViewer",
      "members": [
        "group:security-team@example.com"
      ]
    }
  ]
}

A política do IAM vinculada ao bucket configurado como o coletor de destino desse cenário será semelhante a esta:

{
  "bindings": [{
    "role": "roles/storage.objectViewer",
    "members": [
      "serviceAccount:prod-logviewer@admin-resources.iam.gserviceaccount.com"
    ]
  }]
}

Cenário: equipes de desenvolvimento monitorando os respectivos registros de auditoria

Nesse cenário, os desenvolvedores da organização precisam examinar os registros de auditoria gerados durante o desenvolvimento dos respectivos aplicativos. Eles não têm permissão para revisar os registros de produção, a menos que tenham sido encobertos pela Proteção de dados sensíveis. Um aplicativo de painel está disponível para os desenvolvedores. Ele fornece acesso somente visualização aos dados de produção exportados. A equipe de segurança da organização tem acesso a todos os registros, tanto na produção como no ambiente de desenvolvimento.

A tabela abaixo explica os papéis do IAM que precisam ser concedidos à equipe de segurança, aos desenvolvedores e à conta de serviço, além do nível de recurso em que os papéis são concedidos.

Papel Recurso Principal Descrição
logging.viewer Organização Equipe de segurança O papel logging.viewer permite a visualização dos registros de atividade do administrador pela equipe de administração de segurança.
logging.privateLogViewer Organização Equipe de segurança O papel logging.privateLogViewer permite a visualização dos registros de acesso a dados.
logging.viewer Pasta Equipe de desenvolvedores O papel logging.viewer permite que a equipe de desenvolvedores visualize os registros de atividades administrativas gerados pelos projetos do desenvolvedor, contidos em uma pasta em que todos os projetos de desenvolvedor estão localizados.
logging.privateLogViewer Pasta Equipe de desenvolvedores O papel logging.privateLogViewer permite a visualização dos registros de acesso a dados.

O acesso às cópias exportadas é totalmente controlado por permissões e papéis do IAM em qualquer um dos destinos: Cloud Storage, BigQuery ou Pub/Sub. Nesse cenário, o BigQuery é o destino para o armazenamento dos registros de auditoria.

Papel Recurso Principal Descrição
bigquery.dataViewer Conjunto de dados do BigQuery Conta de serviço do painel O papel bigquery.dataViewer permite que a conta de serviço usada pelo aplicativo do painel faça a leitura dos registros de atividade do administrador exportados.

A política do IAM vinculada ao recurso de pasta da equipe de desenvolvimento para esse cenário será semelhante a esta:

{
  "bindings": [{
    "role": "roles/logging.viewer",
    "members": [
      "group:developer-team@example.com"
    ]
  },
  {
    "role": "roles/logging.privateLogViewer",
    "members": [
      "group:developer-team@example.com"
    ]
  }]
}

A política do IAM vinculada ao recurso da organização para esse cenário será semelhante a esta:

{
  "bindings": [{
    "role": "roles/logging.viewer",
    "members": [
      "group:security-team@example.com"
    ]
  },
  {
    "role": "roles/logging.privateLogViewer",
    "members": [
      "group:security-team@example.com"
    ]
  }]
}

A política do IAM vinculada ao conjunto de dados do BigQuery e configurada como coletor de destino desse cenário será semelhante a esta:

{
  "bindings": [{
    "role": "roles/bigquery.dataViewer",
    "members": [
      "serviceAccount:prod-project-dashboard@admin-resources.iam.gserviceaccount.com"
    ]
  }]
}

Cenário: auditores externos

Nesse cenário, os registros de auditoria de uma organização são agregados e exportados para um local de coletor central. Um auditor de terceiros recebe acesso diversas vezes ao ano para revisar os registros de auditoria da organização. O auditor não está autorizado a ver dados de PII nos registros de atividades do administrador. Para obedecer a esse requisito, há um painel disponível que fornece acesso aos registros históricos armazenados no BigQuery e, mediante solicitação, aos registros de atividades do administrador do Cloud Logging.

A organização cria um grupo do Google para esses auditores externos e adiciona o auditor atual ao grupo. Esse grupo é monitorado e geralmente recebe acesso ao aplicativo do painel.

Durante o acesso normal, o grupo do Google dos auditores só recebe acesso para visualizar os registros históricos armazenados no BigQuery. Se forem encontradas anomalias, o grupo receberá permissão para ver os registros de atividade do administrador do Cloud Logging por meio do modo de acesso elevado do painel. No final de cada período de auditoria, o acesso do grupo é revogado.

Os dados são encobertos pela Proteção de dados sensíveis antes de serem disponibilizados para visualização no aplicativo do painel.

A tabela abaixo explica os papéis de registro do IAM que um administrador da organização pode conceder à conta de serviço usada pelo painel, bem como o nível de recurso em que o papel é concedido.

Papel Recurso Principal Descrição
logging.viewer Organização Conta de serviço do painel O papel logging.viewer permite que a conta de serviço leia os registros de atividades do administrador no Cloud Logging.
bigquery.dataViewer Conjunto de dados do BigQuery Conta de serviço do painel O papel bigquery.dataViewer permite que a conta de serviço usada pelo aplicativo do painel faça a leitura dos registros de atividade do administrador exportados.

A política do IAM vinculada ao recurso da organização para esse cenário será semelhante a esta:

{
  "bindings": [{
    "role": "roles/logging.viewer",
    "members": [
      "serviceAccount:prod-project-dashboard@admin-resources.iam.gserviceaccount.com"
    ]
  }]
}

A política do IAM vinculada ao conjunto de dados do BigQuery e configurada como coletor de destino desse cenário será semelhante a esta:

{
  "bindings": [{
    "role": "roles/bigquery.dataViewer",
    "members": [
      "serviceAccount:prod-project-dashboard@admin-resources.iam.gserviceaccount.com"
    ]
  }]
}