Como usar os registros de auditoria do Cloud com o Cloud Storage

Nesta página, você verá informações complementares sobre como usar os registros de auditoria do Cloud com o Cloud Storage. Use os registros de auditoria do Cloud para gerar registros das operações da API realizadas no Cloud Storage. Para configurá-los, consulte Como configurar registros de acesso a dados.

Visão geral

Os serviços do Google Cloud gravam registros de auditoria para que você possa determinar quem fez o quê, onde e quando. Os projetos do Cloud contêm apenas os registros de auditoria dos recursos que estão diretamente no projeto. Outras entidades, como pastas, organizações e contas de faturamento do Cloud, contêm os registros de auditoria da própria entidade.

Para uma visão geral dos registros do Cloud Audit, consulte Cloud Audit Logs. Para entender melhor os registros de auditoria do Cloud, consulte Noções básicas sobre registros de auditoria.

O Cloud Audit Logs gera os seguintes registros de auditoria para operações no Cloud Storage:

  • Registros de atividades do administrador: entradas de operações que modificam a configuração ou os metadados de um projeto, bucket ou objeto.

  • Registros de acesso a dados: entradas de operações que modificam objetos ou leem um projeto, bucket ou objeto. Há vários subtipos de registros de acesso a dados:

    • ADMIN_READ: entradas das operações que leem a configuração ou os metadados de um projeto, bucket ou objeto.

    • DATA_READ: entradas de operações que leem objetos.

    • DATA_WRITE: entradas de operações que criam ou modificam um objeto.

Operações auditadas

Veja na tabela a seguir um resumo de quais operações do Cloud Storage correspondem a cada tipo de registro de auditoria:

Tipo de entrada de registro Subtipo Operações
Atividade do administrador
  • Criar buckets
  • Excluir buckets
  • Definir/alterar as políticas de IAM
  • Como alterar ACLs de objeto 3
  • Atualizar metadados de intervalos
Acesso aos dados ADMIN_READ
  • Receber metadados de intervalos
  • Receber políticas de IAM
  • Receber ACLs de objetos
  • Listar buckets
DATA_READ
  • Receber dados de objetos
  • Receber metadados de objetos
  • Listar objetos
  • Copiar/compor objetos1
DATA_WRITE
  • Criar objetos
  • Excluir objetos2
  • Atualizar metadados de objetos não relacionados a ACL2
  • Copiar/compor objetos1

1 A cópia e a composição de objetos envolvem ler e gravar dados. Como resultado, essas ações geram duas entradas de registro.

2 Os registros de auditoria do Cloud não registram ações realizadas pelo recurso Gerenciamento do ciclo de vida de objetos. Para conhecer as alternativas que rastreiam essas ações, consulte Opções para rastrear ações do ciclo de vida.

3 Os registros de atividades do administrador não serão gerados se/quando as ACLs forem inicialmente definidas na criação do objeto. Além disso: se uma ACL de objeto estiver definida como pública, os registros de auditoria não serão gerados para leituras ou gravações nesse objeto ou na ACL correspondente.

Formato do registro de auditoria

As entradas de registro de auditoria incluem os seguintes componentes:

  • A própria entrada de registro, que é um objeto LogEntry. Os campos úteis dentro de uma entrada de registro incluem:

    • O logName contém a identificação do projeto e o tipo de registro de auditoria.
    • O resource contém o destino da operação auditada.
    • O timeStamp contém o horário da operação auditada.
    • O protoPayload contém as informações auditadas.
  • Os dados de registro de auditoria, que são um objeto AuditLog localizado no campo protoPayload da entrada de registro. Uma entrada de objeto AuditLog contém informações como:

    • o usuário que fez a solicitação, incluindo endereço de e-mail dele;
    • o nome do recurso em que a solicitação foi feita;
    • o resultado da solicitação.
    • Opcionalmente, informações detalhadas de solicitação e resposta. Para mais informações, consulte Modo de registro de auditoria detalhado.

Veja outros campos nesses objetos e como interpretá-los em Noções básicas sobre registros de auditoria.

Nome do registro

O campo logName indica o projeto do Cloud ou outra entidade do Google Cloud que tem os registros de auditoria e se a entrada de registro contém dados de geração de registro de atividades do administrador ou de acesso a dados. Por exemplo, veja abaixo os nomes dos registros de auditoria de atividade do administrador de um projeto e de acesso a dados. A variável indica o projeto associado ao registro.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nome do serviço

Os registros pertencentes às operações do Cloud Storage usam o nome de serviço storage.googleapis.com.

Para informações sobre todos os serviços de geração de registros, consulte Como mapear serviços para recursos.

Tipos de recurso

Os registros pertencentes ao Cloud Storage são categorizados no tipo de recurso GCS bucket.

Para ver uma lista com outros tipos de recursos, consulte Tipos de recursos monitorados.

Configurações de registro

Os registros de atividades administrativas são gravados por padrão. Eles não afetam a cota de ingestão de registros.

Os registros de acesso a dados de operações do Cloud Storage não são gravados por padrão. Para saber como ativar os registros para operações do tipo acesso a dados, consulte Como configurar registros de acesso a dados. Observe que, ao contrário dos registros de atividades do administrador, os registros de acesso a dados são contabilizados na cota de processamento de registros e podem afetar as cobranças do Cloud Logging.

Acesso aos registros

Os usuários a seguir podem ver os registros de atividades administrativas:

Os usuários a seguir podem ver os registros de acesso a dados:

Consulte Como adicionar membros do IAM a um projeto para instruções sobre como conceder acesso.

Como ver registros

Para ver um resumo dos registros de auditoria do seu projeto, use o Stream de atividades no Console do Google Cloud. Para explorar outras opções de visualização de entradas de registro de auditoria, consulte esta página.

Como exportar registros

Você pode exportar registros de auditoria da mesma forma que exporta outros tipos de registros. Para ver detalhes sobre como exportar registros, consulte este link.

Restrições

As restrições a seguir se aplicam ao uso dos registros de auditoria do Cloud com o Cloud Storage:

A seguir