Na página a seguir, você verá como ativar os registros de auditoria do Cloud para os recursos protegidos pelo Identity-Aware Proxy (IAP). A ativação desses registros permite que você veja uma solicitação e todos os níveis de acesso que um usuário alcançou ou não.
Os registros de auditoria do Cloud nunca geram registros para recursos públicos.
A geração de registros de auditoria para usuários autenticados com um ID externo não está disponível.
Antes de começar
Antes de começar, os seguintes itens são necessários:
- Um app da Web com o IAP ativado ou uma máquina virtual acessada por IAP para TCP.
- Uma versão atualizada do SDK Google Cloud. Instale o SDK Google Cloud.
Como ativar os Registros de auditoria do Cloud usando o SDK Google Cloud
Ativar os registros de auditoria do Cloud para seu projeto protegido pelo IAP permite que você veja as solicitações de acesso autorizadas e não autorizadas. Veja as solicitações e todos os níveis de acesso que um solicitante atendeu seguindo o processo abaixo:
-
Faça o download das configurações de política do Identity and Access Management (IAM) para
projeto executando o seguinte comando da linha de comando gcloud:
gcloud projects get-iam-policy PROJECT_ID > policy.yaml
-
Edite o arquivo
policy.yaml
que você salvou adicionando uma seçãoauditConfigs
da maneira a seguir. Não altere nenhum valor etag.auditConfigs: - auditLogConfigs: - logType: ADMIN_READ - logType: DATA_READ - logType: DATA_WRITE service: iap.googleapis.com
-
Atualize as configurações da política do IAM com a versão
arquivo
.yaml
executando o este comando da linha de comando gcloud:gcloud projects set-iam-policy PROJECT_ID policy.yaml
Todas as solicitações de acesso aos recursos do projeto gerarão registros de auditoria.
Como ativar os Registros de auditoria do Cloud usando o console
No console do Google Cloud, selecione IAM e Administrador > Registros de auditoria:
Em Filtro, digite Identity-Aware Proxy.
Selecione API Cloud Identity-Aware Proxy e marque ou desmarque os registros que que você quer ativar ou desativar.
Como exibir registros de auditoria do Cloud
Para visualizar os registros de auditoria do Cloud, siga o processo abaixo:
- Acesse a página de registros do seu projeto no console do Google Cloud.
Acessar a página "Registros" - Na lista suspensa Seletor de recursos, selecione um recurso. Os recursos protegidos pelo IAP estão em Aplicativo do GAE, Serviço de back-end do GCE e Instância de VM.
- Na lista suspensa Nome do registro, selecione data_access.
- O nome de registro data_access só será exibido se houver tráfego no seu recurso depois que você ativar os registros de auditoria do Cloud para o IAP.
- Clique para expandir a data e a hora do acesso que você quer avaliar.
- O acesso autorizado tem um ícone
i
azul. - O acesso não autorizado tem um ícone
!!
laranja.
- O acesso autorizado tem um ícone
Os registros somente contêm informações sobre os níveis de acesso que um usuário alcançou. Os níveis de acesso que bloquearam uma solicitação não autorizada não são listados na entrada de registro. Para determinar quais condições são necessárias para fazer uma solicitação bem-sucedida para um determinado recurso, verifique os níveis de acesso do recurso.
Veja a seguir detalhes importantes sobre os campos de registro:
Campo | Valor |
---|---|
authenticationInfo |
O e-mail do usuário que tentou acessar o recurso como principalEmail . Essas informações não estão presentes nos registros de solicitações não autenticadas. |
requestMetadata.callerIp |
O endereço IP de origem da solicitação. |
requestMetadata.requestAttributes |
O método de solicitação e o URL. |
authorizationInfo.resource |
O recurso que está sendo acessado. |
authorizationInfo.granted |
Um booleano que representa se o IAP permitiu o acesso solicitado. |
Observe que UpdateIapSettings
e ValidateIapAttributeExpression
são classificados como registros data_access e só aparecem depois da ativação dos Registros de auditoria do Cloud para seu projeto.
A seguir
- Saiba mais sobre os registros de auditoria do Cloud.