Como ativar registros de auditoria do Cloud

Na página a seguir, você verá como ativar os registros de auditoria do Cloud para os recursos protegidos pelo Identity-Aware Proxy (IAP). A ativação desses registros permite que você veja uma solicitação e todos os níveis de acesso que um usuário alcançou ou não.

Os registros de auditoria do Cloud nunca geram registros para recursos públicos.

Antes de começar

Antes de começar, os seguintes itens são necessários:

  • Um app da Web ou uma máquina virtual com o IAP em que você quer ativar os registros de auditoria do Cloud.
  • Uma versão atualizada do SDK do Cloud. Adquirir o SDK do Cloud.

Como ativar o registros de auditoria do Cloud usando o SDK do Cloud

Ativar os registros de auditoria do Cloud para seu projeto protegido pelo IAP permite que você veja as solicitações de acesso autorizadas e não autorizadas. Veja as solicitações e todos os níveis de acesso que um solicitante atendeu seguindo o processo abaixo:

  1. Faça o download das configurações de política do Cloud Identity and Access Management (Cloud IAM) referentes ao projeto executando o seguinte comando da linha de comando da gcloud:
    gcloud projects get-iam-policy PROJECT_ID > policy.yaml
  2. Edite o arquivo policy.yaml que você salvou adicionando uma seção auditConfigs da maneira a seguir. Não altere nenhum valor etag.
    auditConfigs:
    - auditLogConfigs:
      - logType: ADMIN_READ
      - logType: DATA_READ
      - logType: DATA_WRITE
      service: iap.googleapis.com
    
  3. Atualize as configurações de política do IAM com o arquivo .yaml modificado executando o seguinte na linha de comando da gcloud:
    gcloud projects set-iam-policy PROJECT_ID policy.yaml

Todas as solicitações de acesso aos recursos do projeto gerarão registros de auditoria.

Como exibir registros de auditoria do Cloud

Para visualizar os registros de auditoria do Cloud, siga o processo abaixo:

  1. Acesse a página "Registros" do Console do Cloud referente ao seu projeto.
    Acessar a página "Registros"
  2. Na lista suspensa Seletor de recursos, selecione um recurso. Os recursos protegidos pelo IAP estão em Aplicativo do GAE, Serviço de back-end do GCE e instância da VM do GCE.
  3. Na lista suspensa Tipo de registros, selecione data_access.
    1. O tipo de registro data_access será exibido somente se houver tráfego no seu recurso depois que você ativar os registros de auditoria do Cloud para o IAP.
  4. Clique para expandir a data e a hora do acesso que você quer avaliar.
    1. O acesso autorizado tem um ícone i azul.
    2. O acesso não autorizado tem um ícone !! laranja.

Os registros somente contêm informações sobre os níveis de acesso que um usuário alcançou. Os níveis de acesso que bloquearam uma solicitação não autorizada não são listados na entrada de registro. Para determinar quais condições são necessárias para fazer uma solicitação bem-sucedida para um determinado recurso, verifique os níveis de acesso do recurso.

Veja a seguir detalhes importantes sobre os campos de registro:

Campo Valor
authenticationInfo O e-mail do usuário que tentou acessar o recurso como principalEmail.
requestMetadata.callerIp O endereço IP de origem da solicitação.
requestMetadata.requestAttributes O método de solicitação e o URL.
authorizationInfo.resource O recurso que está sendo acessado.
authorizationInfo.granted Um booleano que representa se o IAP permitiu o acesso solicitado.

A seguir