Como usar os registros de auditoria do Cloud com o Cloud Storage

Nesta página, você verá informações complementares sobre como usar os registros de auditoria do Cloud com o Cloud Storage. Use os registros de auditoria do Cloud para gerar registros das operações da API realizadas no Cloud Storage. Para configurá-los, consulte Como configurar registros de acesso a dados.

Informação registrada

Há dois tipos de registros de auditoria do Cloud:

  • Registros de atividades do administrador: entradas de operações que modificam a configuração ou os metadados de um projeto, bucket ou objeto.

  • Registros de acesso a dados: entradas de operações que modificam objetos ou leem um projeto, bucket ou objeto. Há vários subtipos de registros de acesso a dados:

    • ADMIN_READ: entradas das operações que leem a configuração ou os metadados de um projeto, bucket ou objeto.

    • DATA_READ: entradas de operações que leem objetos.

    • DATA_WRITE: entradas das operações que criam ou modificam um objeto.

Veja na tabela a seguir um resumo de quais operações do Cloud Storage se encaixam em cada tipo de registro:

Tipo de entrada de registro Subtipo Operações
Atividade do administrador
  • Criar buckets
  • Excluir buckets
  • Definir/alterar as políticas de IAM
  • Definir/alterar ACLs de objetos3
  • Atualizar metadados de intervalos
Acesso aos dados ADMIN_READ
  • Receber metadados de intervalos
  • Receber políticas de IAM
  • Receber ACLs de objetos
  • Listar buckets
DATA_READ
  • Receber dados de objetos
  • Receber metadados de objetos
  • Listar objetos
  • Copiar/compor objetos1
DATA_WRITE
  • Criar objetos
  • Excluir objetos2
  • Atualizar metadados de objetos não relacionados a ACL2
  • Copiar/compor objetos1

1Copiar e compor objetos não são operações atômicas: cada uma lê e grava dados. Como resultado, elas geram duas entradas de registro.

2 Os registros de auditoria do Cloud não registram ações realizadas pelo recurso Gerenciamento do ciclo de vida de objetos. Para conhecer as alternativas que rastreiam essas ações, consulte Opções para rastrear ações do ciclo de vida.

3 Se uma ACL de objeto estiver definida como pública, os registros de auditoria de atividade do administrador não serão gravados para atualizações na ACL de objeto.

Os registros do Cloud Storage usam um objeto AuditLog e seguem o mesmo formato de outros registros de auditoria do Cloud. Eles contêm informações como:

  • o usuário que fez a solicitação, incluindo o endereço de e-mail dele
  • o nome do recurso em que a solicitação foi feita;
  • o resultado da solicitação.

Configurações de registro

Os registros pertencentes às operações do Cloud Storage são gerados pelo serviço storage.googleapis.com.

Os registros de atividades administrativas são gravados por padrão. Eles não afetam a cota de ingestão de registros.

Os registros de acesso a dados de operações do Cloud Storage não são gravados por padrão. Para saber como ativar os registros para operações do tipo acesso a dados, consulte Como configurar registros de acesso a dados. Observe que, ao contrário dos registros de atividades do administrador, os registros de acesso a dados são contabilizados na cota de processamento de registros e podem afetar as cobranças do Cloud Logging.

Acesso ao registro

Os usuários a seguir podem ver os registros de atividades de administração:

Os usuários a seguir podem ver os registros de acesso a dados:

Consulte Como adicionar membros do IAM a um projeto para instruções sobre como conceder acesso.

Ver registros

Os registros pertencentes ao Cloud Storage são categorizados no tipo de recurso GCS bucket.

Para ver um resumo dos registros de auditoria do seu projeto, use o Stream de atividades no Console do Google Cloud. Se quiser ver uma versão mais detalhada dos registros, acesse o Visualizador de registros.

Para mais instruções sobre como filtrar os registros no visualizador, consulte o guia Registros de auditoria do Cloud.

Nomeação de registros

Os registros de auditoria do Cloud usam um nome padrão. Para informações sobre a estrutura dos nomes de registros, bem como exemplos sobre como usá-los para filtrar resultados nas pesquisas de registros, consulte Como ver registros de auditoria.

Restrições

As restrições a seguir se aplicam ao uso dos registros de auditoria do Cloud com o Cloud Storage:

A seguir