Como ativar registros de auditoria do Cloud

Na página a seguir, você verá como ativar os registros de auditoria do Cloud para os recursos protegidos pelo Identity-Aware Proxy (IAP). A ativação desses registros permite que você veja uma solicitação e todos os níveis de acesso que um usuário alcançou ou não.

Os registros de auditoria do Cloud nunca geram registros para recursos públicos.

A geração de registros de auditoria para usuários autenticados com um ID externo não está disponível.

Antes de começar

Antes de começar, os seguintes itens são necessários:

  • Um app da Web com o IAP ativado ou uma máquina virtual acessada por IAP para TCP.
  • Uma versão atualizada do SDK Google Cloud. Instale o SDK Google Cloud.

Como ativar os Registros de auditoria do Cloud usando o SDK Google Cloud

Ativar os registros de auditoria do Cloud para seu projeto protegido pelo IAP permite que você veja as solicitações de acesso autorizadas e não autorizadas. Veja as solicitações e todos os níveis de acesso que um solicitante atendeu seguindo o processo abaixo:

  1. Faça o download das configurações de política do Identity and Access Management (IAM) para projeto executando o seguinte comando da linha de comando gcloud: 
    gcloud projects get-iam-policy PROJECT_ID > policy.yaml
  2. Edite o arquivo policy.yaml que você salvou adicionando uma seção auditConfigs da maneira a seguir. Não altere nenhum valor etag. 
    auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_READ
  - logType: DATA_WRITE
  service: iap.googleapis.com
  3. Atualize as configurações da política do IAM com a versão arquivo .yaml executando o este comando da linha de comando gcloud: 
    gcloud projects set-iam-policy PROJECT_ID policy.yaml

Todas as solicitações de acesso aos recursos do projeto gerarão registros de auditoria.

Como ativar os Registros de auditoria do Cloud usando o console

  1. No console do Google Cloud, selecione IAM e Administrador > Registros de auditoria:

    Vá para "Registros de Auditoria"

  2. Em Filtro, digite Identity-Aware Proxy.

  3. Selecione API Cloud Identity-Aware Proxy e marque ou desmarque os registros que que você quer ativar ou desativar.

Como exibir registros de auditoria do Cloud

Para visualizar os registros de auditoria do Cloud, siga o processo abaixo:

  1. Acesse a página de registros do seu projeto no console do Google Cloud.
    Acessar a página "Registros"
  2. Na lista suspensa Seletor de recursos, selecione um recurso. Os recursos protegidos pelo IAP estão em Aplicativo do GAE, Serviço de back-end do GCE e Instância de VM.
  3. Na lista suspensa Nome do registro, selecione data_access.
    1. O nome de registro data_access só será exibido se houver tráfego no seu recurso depois que você ativar os registros de auditoria do Cloud para o IAP.
  4. Clique para expandir a data e a hora do acesso que você quer avaliar.
    1. O acesso autorizado tem um ícone i azul.
    2. O acesso não autorizado tem um ícone !! laranja.

Os registros somente contêm informações sobre os níveis de acesso que um usuário alcançou. Os níveis de acesso que bloquearam uma solicitação não autorizada não são listados na entrada de registro. Para determinar quais condições são necessárias para fazer uma solicitação bem-sucedida para um determinado recurso, verifique os níveis de acesso do recurso.

Veja a seguir detalhes importantes sobre os campos de registro:

Campo Valor
authenticationInfo O e-mail do usuário que tentou acessar o recurso como principalEmail. Essas informações não estão presentes nos registros de solicitações não autenticadas.
requestMetadata.callerIp O endereço IP de origem da solicitação.
requestMetadata.requestAttributes O método de solicitação e o URL.
authorizationInfo.resource O recurso que está sendo acessado.
authorizationInfo.granted Um booleano que representa se o IAP permitiu o acesso solicitado.

Observe que UpdateIapSettings e ValidateIapAttributeExpression são classificados como registros data_access e só aparecem depois da ativação dos Registros de auditoria do Cloud para seu projeto.

A seguir