Como ativar registros de auditoria do Cloud

Na página a seguir, você verá como ativar os registros de auditoria do Cloud para os recursos protegidos pelo Identity-Aware Proxy (IAP). A ativação desses registros permite que você veja uma solicitação e todos os níveis de acesso que um usuário alcançou ou não.

Os registros de auditoria do Cloud nunca geram registros para recursos públicos.

O registro de auditoria para usuários autenticados com um ID externo não está disponível.

Antes de começar

Antes de começar, os seguintes itens são necessários:

  • um app da Web com o IAP ativado ou uma máquina virtual acessada por meio do IAP para TCP.
  • Uma versão atualizada do SDK Google Cloud. Instalar o SDK do Google Cloud.

Como ativar os Registros de auditoria do Cloud usando o SDK Google Cloud

Ativar os registros de auditoria do Cloud para seu projeto protegido pelo IAP permite que você veja as solicitações de acesso autorizadas e não autorizadas. Veja as solicitações e todos os níveis de acesso que um solicitante atendeu seguindo o processo abaixo:

  1. Faça o download das configurações de política do Identity and Access Management (IAM) para o projeto executando o seguinte comando de linha de comando gcloud:
    gcloud projects get-iam-policy PROJECT_ID > policy.yaml
  2. Edite o arquivo policy.yaml que você salvou adicionando uma seção auditConfigs da maneira a seguir. Não altere nenhum valor etag.
    auditConfigs:
    - auditLogConfigs:
      - logType: ADMIN_READ
      - logType: DATA_READ
      - logType: DATA_WRITE
      service: iap.googleapis.com
    
  3. Atualize as configurações da política do IAM com o arquivo .yaml modificado executando o seguinte comando de linha de comando gcloud:
    gcloud projects set-iam-policy PROJECT_ID policy.yaml

Todas as solicitações de acesso aos recursos do projeto gerarão registros de auditoria.

Como ativar os Registros de auditoria do Cloud usando o console

  1. No console do Google Cloud, selecione IAM e administrador > Registros de auditoria:

    Vá para "Registros de Auditoria"

  2. Em Filtro, digite Identity-Aware Proxy.

  3. Selecione API Cloud Identity-Aware Proxy e, em seguida, marque ou desmarque os registros que você quer ativar ou desativar.

Como exibir registros de auditoria do Cloud

Para visualizar os registros de auditoria do Cloud, siga o processo abaixo:

  1. Acesse a página de registros do console do Google Cloud do seu projeto.
    Acessar a página "Registros"
  2. Na lista suspensa Seletor de recursos, selecione um recurso. Os recursos protegidos pelo IAP estão em Aplicativo do GAE, Serviço de back-end do GCE e Instância de VM.
  3. Na lista suspensa Nome do registro, selecione data_access.
    1. O nome do registro data_access só será exibido se houver tráfego no seu recurso depois que você ativar os registros de auditoria do Cloud para o IAP.
  4. Clique para expandir a data e a hora do acesso que você quer avaliar.
    1. O acesso autorizado tem um ícone i azul.
    2. O acesso não autorizado tem um ícone !! laranja.

Os registros somente contêm informações sobre os níveis de acesso que um usuário alcançou. Os níveis de acesso que bloquearam uma solicitação não autorizada não são listados na entrada de registro. Para determinar quais condições são necessárias para fazer uma solicitação bem-sucedida para um determinado recurso, verifique os níveis de acesso do recurso.

Veja a seguir detalhes importantes sobre os campos de registro:

Campo Valor
authenticationInfo O e-mail do usuário que tentou acessar o recurso como principalEmail. Essas informações não estão presentes nos registros de solicitações não autenticadas.
requestMetadata.callerIp O endereço IP de origem da solicitação.
requestMetadata.requestAttributes O método de solicitação e o URL.
authorizationInfo.resource O recurso que está sendo acessado.
authorizationInfo.granted Um booleano que representa se o IAP permitiu o acesso solicitado.

Observe que UpdateIapSettings e ValidateIapAttributeExpression são classificados como registros data_access e aparecem somente depois que os Registros de auditoria do Cloud são ativados para o projeto.

A seguir