Configurar os registros de auditoria de acesso a dados

Este guia explica como ativar ou desativar alguns ou todos os registros de auditoria de acesso a dados nos projetos, nas contas de faturamento, nas pastas e nas organizações do Cloud usando o Console do Google Cloud ou a API.

Antes de começar

Antes de continuar a configuração dos registros de auditoria do Data Access, entenda as seguintes informações:

  • Os registros de auditoria de acesso a dados (exceto BigQuery) são desativados por padrão. Se você quiser que os registros de auditoria de acesso a dados sejam gravados para serviços do Google Cloud diferentes do BigQuery, será necessário ativá-los explicitamente.

  • Os registros de auditoria de acesso a dados ajudam o Suporte do Google a resolver problemas na sua conta. Portanto, recomendamos ativar os registros de auditoria de acesso a dados quando possível.

Visão geral da configuração

É possível ativar e configurar certos aspectos dos registros de auditoria de acesso a dados para seus recursos e serviços do Google Cloud:

  • Organizações: é possível ativar e configurar registros de auditoria de acesso a dados em uma organização, o que se aplica a todos os projetos e pastas novos e existentes do Cloud na organização.

  • Pastas: é possível ativar e configurar os registros de auditoria de acesso a dados em uma pasta, que se aplica a todos os projetos atuais e novos do Cloud na pasta. Não é possível desativar um registro de auditoria de acesso a dados que foi ativado na organização mãe do projeto.

  • Projetos: você pode configurar os registros de auditoria de acesso a dados para um projeto individual do Cloud. Não é possível desativar um registro de auditoria de acesso a dados que tenha sido ativado em uma organização ou pasta mãe.

  • Contas de faturamento: para configurar os registros de auditoria de acesso a dados para contas de faturamento, use a CLI do Google Cloud. Para mais informações sobre como usar a CLI da gcloud com registros de auditoria de acesso a dados e contas de faturamento, consulte a documentação de referência de gcloud beta billing accounts set-iam-policy.

  • Configurações padrão: é possível especificar uma configuração de registro de auditoria de acesso a dados padrão em uma organização, pasta ou projeto do Cloud que se aplique aos futuros serviços do Google Cloud que começam a produzir registros de auditoria de acesso a dados. Para ver instruções, consulte Definir a configuração padrão.

  • Serviços: é possível especificar os serviços cujos registros de auditoria você quer receber. Por exemplo, é possível querer registros de auditoria do Compute Engine, mas não do Cloud SQL. Para ver uma lista dos serviços do Google Cloud que podem gerar registros de auditoria, consulte Serviços do Google com registros de auditoria.

  • Tipos de registro: é possível configurar quais tipos de operações são registrados nos registros de auditoria de acesso a dados. Há três tipos de registro de auditoria de acesso a dados:

    • ADMIN_READ: registra operações que leem metadados ou informações de configuração.

    • DATA_READ: registra operações que leem dados fornecidos pelo usuário.

    • DATA_WRITE: registra operações que gravam dados fornecidos pelo usuário.

    Por exemplo, o Cloud DNS grava os três tipos de registros de acesso a dados, mas é possível configurar os registros de auditoria de acesso a dados para gravar apenas as operações DATA_WRITE.

  • Isentados principais: você pode isentar principais específicos de que seus acessos a dados sejam registrados. Por exemplo, é possível isentar suas contas de teste interno de ter as operações do Cloud Debugger registradas. Para ver uma lista dos principais válidos, incluindo usuários e grupos, consulte a referência do tipo Binding.

É possível configurar os registros de auditoria de acesso a dados por meio do console de registros de auditoria do IAM ou da API. Esses métodos são explicados nas seções abaixo.

Configurações específicas do serviço

Se houver uma configuração para todos os serviços do Google Cloud (allServices) e uma configuração para um serviço do Google Cloud específico, a configuração resultante para o serviço será a união das duas configurações. Resumindo:

  • É possível ativar registros de auditoria de acesso a dados para serviços específicos do Google Cloud, mas não é possível desativar os registros de auditoria de acesso a dados para serviços do Google Cloud ativados na configuração mais ampla.

  • É possível adicionar outros tipos de informações ao registro de auditoria de acesso a dados de um serviço do Google Cloud, mas não é possível remover os tipos de informações especificados na configuração mais ampla.

  • É possível adicionar principais às listas de isenção, mas não é possível removê-las de listas de isenção na configuração mais ampla.

  • Para o serviço de transferência de dados do BigQuery, a configuração do registro de auditoria de acesso a dados é herdada da configuração padrão.

Configurações de recursos do Google Cloud

É possível configurar os registros de auditoria de acesso a dados para projetos, contas de faturamento, pastas e organizações do Cloud. Se houver uma configuração para um serviço do Google Cloud em toda a hierarquia, a configuração resultante será a união das configurações. Em outras palavras, no nível do projeto do Cloud:

  • É possível ativar os registros de um serviço do Google Cloud, mas não será possível desativá-los para um serviço do Google Cloud que esteja ativado em uma organização ou pasta mãe.

  • É possível ativar os tipos de informação, mas não é possível desativá-los em uma organização ou pasta mãe.

  • É possível adicionar principais às listas de isenção, mas não é possível removê-las de listas de isenção em uma organização ou pasta mãe.

  • Em um nível de organização ou pasta pai, é possível ativar os registros de auditoria de acesso a dados para um projeto do Cloud dentro dessa organização ou pasta, mesmo que os registros de auditoria de acesso a dados não tenham sido configurados no projeto do Cloud.

Controle de acesso

Os papéis e as permissões do gerenciamento de identidade e acesso regem o acesso aos dados do Logging, incluindo a visualização e o gerenciamento das políticas do IAM subjacentes às configurações de geração de registros de auditoria de acesso a dados.

Para visualizar ou definir as políticas associadas à configuração do acesso a dados, é preciso ter um papel com permissões no nível de recurso apropriado. Para instruções sobre como conceder esses papéis no nível do recurso, consulte Gerenciar o acesso a projetos, pastas e organizações do Cloud.

  • Para definir políticas do IAM, você precisa de um papel com a permissão resourcemanager.RESOURCE_TYPE.setIamPolicy.

  • Para visualizar as políticas do IAM, você precisa de um papel com a permissão resourcemanager.RESOURCE_TYPE.getIamPolicy.

Para ver a lista de permissões e papéis necessários para visualizar os registros de auditoria de acesso a dados, consulte Controle de acesso com o IAM.

Configurar os registros de auditoria de acesso a dados com o console

Nesta seção, explicamos como usar o console para configurar os registros de auditoria de acesso a dados.

Também é possível usar a API ou a CLI do Google Cloud para realizar essas tarefas de maneira programática. Consulte Configurar registros de auditoria de acesso a dados com a API para saber mais detalhes.

Para acessar as opções de configuração de registros de auditoria no console, siga estas etapas:

  1. No console, selecione IAM & Admin > Audit Logs:

    Vá para "Registros de Auditoria"

  2. Selecione um projeto, uma pasta ou uma organização do Cloud.

Ativar registros de auditoria

Para ativar os registros de auditoria de acesso a dados, faça o seguinte:

  1. Na tabela Configuração de registros de auditoria de acesso a dados, selecione um ou mais serviços do Google Cloud na coluna Serviço.

  2. Na guia Tipos de registro, selecione os tipos de registro de auditoria de acesso a dados que você quer ativar para os serviços selecionados.

  3. Clique em Save.

A tabela inclui uma marca de seleção quando os registros de auditoria foram ativados.

No exemplo a seguir, você vê que, para o serviço de aprovação de acesso, o tipo de registro de auditoria Leitura de dados está ativado:

Configuração de registros de auditoria

Também é possível ativar registros de auditoria para todos os serviços do Google Cloud que produzem registros de auditoria de acesso a dados. Na tabela Configuração de registros de auditoria do acesso a dados, selecione todos os serviços do Google Cloud.

Esse método de configuração em massa se aplica apenas aos serviços do Google Cloud disponíveis para o recurso. Se um novo serviço do Google Cloud for adicionado, ele herdará sua configuração de auditoria padrão.

Desativar registros de auditoria do Data Access

Para desativar os registros de auditoria de acesso a dados, faça o seguinte:

  1. Na tabela Configuração de registros de auditoria de acesso a dados, selecione um ou mais serviços do Google Cloud.

  2. Na guia Tipos de registro no painel de informações, selecione os tipos de registro de auditoria do acesso a dados que você quer desativar para os serviços selecionados.

  3. Clique em Save.

A tabela indica que os registros de acesso a dados foram desativados com sucesso com um traço. Todos os registros de auditoria de acesso a dados ativados são indicados com uma marca de seleção .

Definir isenções

É possível definir isenções que permitam controlar quais principais geram registros de auditoria de acesso a dados para serviços específicos. Quando você adiciona um principal isento, os registros de auditoria não são criados para ele nos tipos de registro selecionados.

Para definir isenções, faça o seguinte:

  1. Na tabela Configuração de registros de auditoria de acesso a dados, selecione um serviço do Google Cloud na coluna Serviço.

  2. Selecione a guia Isentados principais no painel de informações.

  3. Em Adicionar principal isento, insira o principal que você quer isentar da geração de registros de auditoria de acesso a dados para o serviço selecionado.

    É possível adicionar vários principais clicando no botão Adicionar participante isento quantas vezes forem necessárias.

    Para ver uma lista dos principais válidos, incluindo usuários e grupos, consulte a referência do tipo Binding.

  4. Em Tipos de registro desativados, selecione os tipos de registro de auditoria de acesso a dados que você quer desativar.

  5. Clique em Save.

Quando você adiciona com sucesso os principais isentos a um serviço, a tabela Configuração de registros de auditoria de acesso a dados indica isso com um número na coluna Participantes principais isentos.

Para remover um principal da sua lista de isenções, faça o seguinte:

  1. Na tabela Configuração de registros de auditoria de acesso a dados, selecione um serviço do Google Cloud na coluna Serviço.

  2. Selecione a guia Isentados principais no painel de informações.

  3. Passe o cursor sobre um nome principal e selecione o ícone de exclusão exibido.

  4. Depois que o nome do principal for exibido no texto tachado, clique em Salvar.

Para editar as informações de um principal isento, faça o seguinte:

  1. Na tabela Configuração de registros de auditoria de acesso a dados, selecione um serviço do Google Cloud na coluna Serviço.

  2. Selecione a guia Isentados principais no painel de informações.

  3. Expanda o nome principal.

  4. Marque ou desmarque os tipos de registro de auditoria de acesso a dados conforme apropriado para o principal.

  5. Clique em Save.

Definir a configuração padrão

É possível definir uma configuração que todos os serviços novos e existentes do Google Cloud no seu projeto, pasta ou organização herdarão. A definição dessa configuração padrão será aplicada se um novo serviço do Google Cloud estiver disponível e os principais da organização começarem a usá-lo: o serviço herdará a política de registro de auditoria já definida para outros serviços do Google Cloud, garantindo que os registros de auditoria de acesso a dados sejam capturados.

Para definir ou editar a configuração padrão, faça o seguinte:

  1. Clique em Definir configuração padrão.

  2. Na guia Tipos de registro no painel de informações, selecione os tipos de registro de auditoria do acesso a dados que você quer ativar ou desativar.

  3. Clique em Save.

  4. Selecione a guia Isentados principais no painel de informações.

  5. Em Adicionar principal isento, insira o principal que você quer isentar da geração de registros de auditoria de acesso a dados para o serviço selecionado.

    É possível adicionar vários principais clicando no botão Adicionar participante isento quantas vezes forem necessárias.

    Para ver uma lista dos principais válidos, incluindo usuários e grupos, consulte a referência do tipo Binding.

  6. Em Tipos de registro desativados, selecione os tipos de registro de auditoria de acesso a dados que você quer desativar.

  7. Clique em Save.

Como configurar registros de auditoria do Data Access com a API

Nesta seção, explicamos como usar a API e a CLI gcloud para configurar os registros de auditoria de acesso a dados de maneira programática.

Muitas dessas tarefas também podem ser realizadas usando o console. Para instruções, consulte Configurar registros de auditoria de acesso a dados com o console nesta página.

Objetos de política de IAM

Para configurar os registros de auditoria do acesso a dados usando a API, é necessário editar a política de IAM associada ao projeto, pasta ou organização. A configuração do registro de auditoria está na seção auditConfigs da política:

"auditConfigs": [
  {
    object(AuditConfig)
  }
]

Para ver detalhes, consulte o tipo de política de IAM.

As seções a seguir descrevem o objeto AuditConfig em mais detalhes. Para a API e os comandos da CLI gcloud usados para alterar a configuração, consulte getIamPolicy e setIamPolicy

AuditConfig objetos

A configuração do registro de auditoria consiste em uma lista de objetos AuditConfig. Cada objeto configura os registros para um serviço ou estabelece uma configuração mais abrangente para todos os serviços. Esta é a aparência de cada objeto:

{
  "service": SERVICE,
  "auditLogConfigs": [
    {
      "logType": "ADMIN_READ"
      "exemptedMembers": [ PRINCIPAL,]
    },
    {
      "logType": "DATA_READ"
      "exemptedMembers": [ PRINCIPAL,]
    },
    {
      "logType": "DATA_WRITE"
      "exemptedMembers": [ PRINCIPAL,]
    },
  ]
},

SERVICE é o nome do serviço, como "appengine.googleapis.com", ou o valor especial, "allServices". Se uma configuração não mencionar um serviço específico, a configuração mais abrangente será usada para esse serviço. Se não houver configuração, os registros de auditoria de acesso a dados não serão ativados para esse serviço. Para ver uma lista dos nomes de serviços, consulte Serviços de registro.

A seção auditLogConfigs do objeto AuditConfig é uma lista de 0 a 3 objetos, cada um deles configura um tipo de informação do registro de auditoria. Se você omitir um dos tipos da lista, esse tipo de informação não estará ativado para o serviço.

PRINCIPAL é um usuário de quem os registros de auditoria de acesso a dados não são coletados. O tipo Binding descreve diferentes tipos de principais, incluindo usuários e grupos, mas nem todos podem ser usados para configurar os registros de auditoria de acesso a dados.

Veja a seguir um exemplo de uma configuração de auditoria nos formatos JSON e YAML. O formato YAML é o padrão ao usar a CLI do Google Cloud.

JSON

"auditConfigs": [
  {
    "auditLogConfigs": [
      {
        "logType": "ADMIN_READ"
      },
      {
        "logType": "DATA_WRITE"
      },
      {
        "logType": "DATA_READ"
      }
    ],
    "service": "allServices"
  },
  {
    "auditLogConfigs": [
      {
        "exemptedMembers": [
          "499862534253-compute@developer.gserviceaccount.com"
        ],
        "logType": "ADMIN_READ"
      }
    ],
    "service": "cloudsql.googleapis.com"
  }
],

YAML

auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices
- auditLogConfigs:
  - exemptedMembers:
    - 499862534253-compute@developer.gserviceaccount.com
    logType: ADMIN_READ
  service: cloudsql.googleapis.com

Configurações comuns

Veja a seguir algumas configurações comuns de registro de auditoria para projetos.

Ativar todos os registros de auditoria do Data Access

A seção auditConfigs a seguir ativa registros de auditoria de acesso a dados para todos os serviços e principais:

JSON

"auditConfigs": [
      {
        "service": "allServices",
        "auditLogConfigs": [
          { "logType": "ADMIN_READ" },
          { "logType": "DATA_READ"  },
          { "logType": "DATA_WRITE" },
        ]
      },
    ]

YAML

auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices

Ativar um tipo de informação e serviço

A configuração a seguir ativa os registros de auditoria de acesso a dados do DATA_WRITE para o Cloud SQL:

JSON

"auditConfigs": [
  {
    "service": "cloudsql.googleapis.com",
    "auditLogConfigs": [
      { "logType": "DATA_WRITE" },
    ]
  },
]

YAML

auditConfigs:
- auditLogConfigs:
  - logType: DATA_WRITE
  service: cloudsql.googleapis.com

Desativar todos os registros de auditoria do Data Access

Para desativar todos os registros de auditoria de acesso a dados (exceto BigQuery) em um projeto do Cloud, inclua uma seção auditConfigs: vazia na nova política do IAM:

JSON

"auditConfigs": [],

YAML

auditConfigs:

Se você remover completamente a seção auditConfigs da nova política, o setIamPolicy não alterará a configuração dos registros de auditoria de acesso a dados. Para mais informações, consulte Máscara de atualização setIamPolicy.

Não é possível desativar os registros de auditoria do acesso a dados do BigQuery.

getIamPolicy e setIamPolicy

Use os métodos getIamPolicy e setIamPolicy da API Resource Manager para ler e gravar sua política do IAM. Existem várias opções, dependendo do método escolhido:

  • A API Resource Manager tem os seguintes métodos:

    projects.getIamPolicy
    projects.setIamPolicy
    organizations.getIamPolicy
    organizations.setIamPolicy
    
  • A CLI do Google Cloud tem os seguintes comandos do Resource Manager:

    gcloud projects get-iam-policy
    gcloud projects set-iam-policy
    gcloud resource-manager folders get-iam-policy
    gcloud resource-manager folders set-iam-policy
    gcloud organizations get-iam-policy
    gcloud organizations set-iam-policy
    gcloud beta billing accounts get-iam-policy
    gcloud beta billing accounts set-iam-policy
    

Seja qual for sua escolha, siga estes três passos:

  1. Leia a política atual usando um dos métodos getIamPolicy. Salve a política em um arquivo temporário.
  2. Edite a política no arquivo temporário. Alterar (ou adicionar) somente a seção auditConfigs.
  3. Grave a política editada no arquivo temporário usando um dos métodos setIamPolicy.

setIamPolicy falhará se o Resource Manager detectar que outra pessoa alterou a política depois que você a leu na primeira etapa. Se isso acontecer, repita as três etapas.

Examples

Os exemplos a seguir demonstram como configurar os registros de auditoria de acesso a dados do projeto usando o comando gcloud e a API Resource Manager.

Para configurar registros de auditoria do acesso a dados da organização, substitua a versão "projetos" dos comandos e dos métodos de API pela versão "organizações".

gcloud

Para configurar os registros de auditoria de acesso a dados usando o comando gcloud projects, faça o seguinte:

  1. Leia a política de IAM do projeto e guarde-a em um arquivo:

    gcloud projects get-iam-policy PROJECT_ID > /tmp/policy.yaml
    

    Veja a seguir a política retornada. Esta política ainda não tem uma seção auditConfigs:

    bindings:
    - members:
      - user:colleague@example.com
      role: roles/editor
    - members:
      - user:myself@example.com
      role: roles/owner
    etag: BwVM-FDzeYM=
    version: 1
    
  2. Editar sua política em /tmp/policy.yaml, adicionar ou alterar somente a configuração dos registros de auditoria de acesso a dados.

    Veja a seguir um exemplo da política editada, que ativa registros de auditoria do acesso a dados de gravação do Cloud SQL. Quatro linhas foram adicionadas ao início:

    auditConfigs:
    - auditLogConfigs:
      - logType: DATA_WRITE
      service: cloudsql.googleapis.com
    bindings:
    - members:
      - user:colleague@example.com
      role: roles/editor
    - members:
      - user:myself@example.com
      role: roles/owner
    etag: BwVM-FDzeYM=
    version: 1
    
  3. Grave a nova política de IAM:

    gcloud projects set-iam-policy PROJECT_ID /tmp/policy.yaml
    

    Se o comando anterior relatar um conflito com outra alteração, repita essas etapas, começando pela primeira delas.

JSON

Para trabalhar com sua política de IAM no formato JSON em vez de YAML, substitua os seguintes comandos gcloud no exemplo:

gcloud projects get-iam-policy PROJECT_ID --format=json >/tmp/policy.json
gcloud projects set-iam-policy PROJECT_ID /tmp/policy.json

API

Para configurar os registros de auditoria de acesso a dados usando a API Resource Manager, faça o seguinte:

  1. Leia a política do IAM do projeto que especifica os seguintes parâmetros para o método da API getIamPolicy:

    • recurso: projects/PROJECT_ID
    • Corpo da solicitação: vazio

    O método retornará o objeto de política atual, mostrado abaixo. A política deste projeto ainda não tem uma seção auditConfigs:

    {
      "bindings": [
      {
        "members": [
          "user:colleague@example.com"
        ],
        "role": "roles/editor"
      },
      {
        "members": [
          "user:myself@example.com"
        ],
        "role": "roles/owner"
      }
    ],
    "etag": "BwUsv2gimRs=",
    "version": 1
    

    }

  2. Edite a política atual:

    • Altere ou adicione a seção auditConfigs.

      Para desativar os registros de auditoria de acesso a dados, inclua um valor vazio para a seção: auditConfigs:[].

    • Preserve o valor de etag.

    Também é possível remover todas as outras informações do novo objeto de política, desde que você tenha cuidado para definir updateMask na próxima etapa. Veja a seguir a política editada, que ativa os registros de auditoria da gravação de dados do Cloud SQL:

    {
      "auditConfigs": [
        {
          "auditLogConfigs": [
            {
              "logType": "DATA_WRITE"
            }
          ],
          "service": "cloudsql.googleapis.com"
        }
      ],
      "etag": "BwVM-FDzeYM="
    }
    
  3. Grave a nova política usando o método da API setIamPolicy, especificando os seguintes parâmetros:

    • recurso: projects/PROJECT_ID
    • Corpo da solicitação:
      • updateMask: "auditConfigs,etag"
      • policy: o objeto de política editado

A máscara de atualização setIamPolicy

Nesta seção, explicamos a importância do parâmetro updateMask no método setIamPolicy e explicamos por que você precisa ter cuidado com o comando set-iam-policy da CLI do gcloud para não causar danos acidentais ao projeto ou à organização do Cloud.

O setIamPolicy API method usa um parâmetro updateMask para controlar quais campos da política são atualizados. Por exemplo, se a máscara não contiver bindings, não será possível alterar acidentalmente essa seção de política. Por outro lado, se a máscara contiver bindings, essa seção será sempre atualizada. Se você não incluir um valor atualizado para bindings, essa seção será removida totalmente da política.

O comando gcloud projects set-iam-policy, que chama setIamPolicy, não permite que você especifique o parâmetro updateMask. Em vez disso, o comando calcula um valor para updateMask da seguinte maneira:

  • O updateMask sempre contém os campos bindings e etag.
  • Se o objeto de política fornecido em set-iam-policy contiver outros campos de nível superior, como auditConfigs, esses campos serão adicionados a updateMask.

Como consequência dessas regras, o comando set-iam-policy tem os seguintes comportamentos:

  • Se você omitir a seção auditConfigs na nova política, o valor anterior da seção auditConfigs (se houver) não será alterado, porque essa seção não está na máscara de atualização. Isso é inofensivo, mas pode ser confuso.

  • Se você omitir bindings no novo objeto de política, a seção bindings será removida da sua política, já que essa seção aparece na máscara de atualização. Isso é muito nocivo e faz com que todos os principais percam o acesso ao projeto do Cloud.

  • Se você omitir etag no novo objeto de política, a verificação de alterações simultâneas em sua política será desativada e suas alterações poderão resultar na substituição acidental das alterações de outra pessoa.