Neste documento, descrevemos a geração de registros de auditoria do Google Cloud Armor. Os serviços do Google Cloud geram registros de auditoria que registram atividades administrativas e de acesso nos recursos do Google Cloud. Para mais informações sobre os Registros de auditoria do Cloud, consulte:
- Tipos de registros de auditoria
- Estrutura da entrada de registro de auditoria
- Como armazenar e rotear registros de auditoria
- Resumo dos preços do Cloud Logging
- Ativar registros de auditoria de acesso a dados
Nome do serviço
Os registros de auditoria do Google Cloud Armor usam o nome de serviço compute.googleapis.com
.
Filtrar por este serviço:
protoPayload.serviceName="compute.googleapis.com"
Métodos por tipo de permissão
Cada permissão do IAM tem uma propriedade type
, que tem o valor de um tipo enumerado
que pode ser um dos quatro valores: ADMIN_READ
, ADMIN_WRITE
,
DATA_READ
ou DATA_WRITE
. Quando você chama um método,
O Google Cloud Armor gera um registro de auditoria com categoria dependente das
type
da permissão necessária para executar o método.
Métodos que exigem uma permissão do IAM com o valor da propriedade type
de DATA_READ
, DATA_WRITE
ou ADMIN_READ
geram
registros de auditoria de acesso aos dados.
Métodos que exigem uma permissão do IAM com o valor da propriedade type
de ADMIN_WRITE
geram
registros de auditoria de Atividade do administrador.
Tipo de permissão | Métodos |
---|---|
ADMIN_READ |
v1.compute.backendServices.aggregatedList v1.compute.backendServices.get v1.compute.backendServices.getHealth v1.compute.backendServices.getIamPolicy v1.compute.backendServices.list v1.compute.backendServices.testIamPermissions v1.compute.securityPolicies.aggregatedList v1.compute.securityPolicies.get v1.compute.securityPolicies.getRule v1.compute.securityPolicies.list v1.compute.securityPolicies.listPreconfiguredExpressionSets |
ADMIN_WRITE |
v1.compute.backendServices.addSignedUrlKey v1.compute.backendServices.delete v1.compute.backendServices.deleteSignedUrlKey v1.compute.backendServices.insert v1.compute.backendServices.patch v1.compute.backendServices.setEdgeSecurityPolicy v1.compute.backendServices.setIamPolicy v1.compute.backendServices.setSecurityPolicy v1.compute.backendServices.update v1.compute.securityPolicies.addRule v1.compute.securityPolicies.delete v1.compute.securityPolicies.insert v1.compute.securityPolicies.patch v1.compute.securityPolicies.patchRule v1.compute.securityPolicies.removeRule v1.compute.securityPolicies.setLabels |
Registros de auditoria da interface da API
Para informações sobre como e quais permissões são avaliadas para cada método, consulte a documentação do Identity and Access Management para o Google Cloud Armor.
compute.v1.BackendServicesService
Os registros de auditoria a seguir estão associados a métodos que pertencem a
compute.v1.BackendServicesService
.
addSignedUrlKey
- Método:
v1.compute.backendServices.addSignedUrlKey
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.backendServices.addSignedUrlKey - ADMIN_WRITE
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.backendServices.addSignedUrlKey"
aggregatedList
- Método:
v1.compute.backendServices.aggregatedList
- Tipo de registro de auditoria: acesso a dados
- Permissões:
compute.backendServices.list - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.backendServices.aggregatedList"
delete
- Método:
v1.compute.backendServices.delete
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.backendServices.delete - ADMIN_WRITE
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.backendServices.delete"
deleteSignedUrlKey
- Método:
v1.compute.backendServices.deleteSignedUrlKey
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.backendServices.deleteSignedUrlKey - ADMIN_WRITE
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.backendServices.deleteSignedUrlKey"
get
- Método:
v1.compute.backendServices.get
- Tipo de registro de auditoria: acesso a dados
- Permissões:
compute.backendServices.get - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.backendServices.get"
getHealth
- Método:
v1.compute.backendServices.getHealth
- Tipo de registro de auditoria: acesso a dados
- Permissões:
compute.backendServices.get - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.backendServices.getHealth"
getIamPolicy
- Método:
v1.compute.backendServices.getIamPolicy
- Tipo de registro de auditoria: acesso a dados
- Permissões:
compute.backendServices.getIamPolicy - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.backendServices.getIamPolicy"
insert
- Método:
v1.compute.backendServices.insert
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.backendServices.create - ADMIN_WRITE
compute.instanceGroups.use - ADMIN_WRITE
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.backendServices.insert"
list
- Método:
v1.compute.backendServices.list
- Tipo de registro de auditoria: acesso a dados
- Permissões:
compute.backendServices.list - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.backendServices.list"
patch
- Método:
v1.compute.backendServices.patch
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.backendServices.get - ADMIN_READ
compute.backendServices.update - ADMIN_WRITE
compute.healthChecks.useReadOnly - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.backendServices.patch"
setEdgeSecurityPolicy
- Método:
v1.compute.backendServices.setEdgeSecurityPolicy
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.backendServices.setSecurityPolicy - ADMIN_WRITE
compute.securityPolicies.use - ADMIN_WRITE
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.backendServices.setEdgeSecurityPolicy"
setIamPolicy
- Método:
v1.compute.backendServices.setIamPolicy
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.backendServices.setIamPolicy - ADMIN_WRITE
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.backendServices.setIamPolicy"
setSecurityPolicy
- Método:
v1.compute.backendServices.setSecurityPolicy
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.backendServices.setSecurityPolicy - ADMIN_WRITE
compute.securityPolicies.use - ADMIN_WRITE
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.backendServices.setSecurityPolicy"
testIamPermissions
- Método:
v1.compute.backendServices.testIamPermissions
- Tipo de registro de auditoria: acesso a dados
- Permissões:
compute.backendServices.list - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.backendServices.testIamPermissions"
update
- Método:
v1.compute.backendServices.update
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.backendServices.update - ADMIN_WRITE
compute.healthChecks.useReadOnly - ADMIN_READ
compute.instanceGroups.use - ADMIN_WRITE
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.backendServices.update"
compute.v1.SecurityPoliciesService
Os registros de auditoria a seguir estão associados a métodos que pertencem a
compute.v1.SecurityPoliciesService
.
addRule
- Método:
v1.compute.securityPolicies.addRule
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.securityPolicies.update - ADMIN_WRITE
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.securityPolicies.addRule"
aggregatedList
- Método:
v1.compute.securityPolicies.aggregatedList
- Tipo de registro de auditoria: acesso a dados
- Permissões:
compute.securityPolicies.list - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.securityPolicies.aggregatedList"
delete
- Método:
v1.compute.securityPolicies.delete
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.securityPolicies.delete - ADMIN_WRITE
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.securityPolicies.delete"
get
- Método:
v1.compute.securityPolicies.get
- Tipo de registro de auditoria: acesso a dados
- Permissões:
compute.securityPolicies.get - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.securityPolicies.get"
getRule
- Método:
v1.compute.securityPolicies.getRule
- Tipo de registro de auditoria: acesso a dados
- Permissões:
compute.securityPolicies.get - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.securityPolicies.getRule"
insert
- Método:
v1.compute.securityPolicies.insert
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.securityPolicies.create - ADMIN_WRITE
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.securityPolicies.insert"
list
- Método:
v1.compute.securityPolicies.list
- Tipo de registro de auditoria: acesso a dados
- Permissões:
compute.securityPolicies.list - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.securityPolicies.list"
listPreconfiguredExpressionSets
- Método:
v1.compute.securityPolicies.listPreconfiguredExpressionSets
- Tipo de registro de auditoria: acesso a dados
- Permissões:
compute.securityPolicies.list - ADMIN_READ
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.securityPolicies.listPreconfiguredExpressionSets"
patch
- Método:
v1.compute.securityPolicies.patch
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.securityPolicies.update - ADMIN_WRITE
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.securityPolicies.patch"
patchRule
- Método:
v1.compute.securityPolicies.patchRule
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.securityPolicies.update - ADMIN_WRITE
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.securityPolicies.patchRule"
removeRule
- Método:
v1.compute.securityPolicies.removeRule
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.securityPolicies.update - ADMIN_WRITE
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.securityPolicies.removeRule"
setLabels
- Método:
v1.compute.securityPolicies.setLabels
- Tipo de registro de auditoria: atividade do administrador
- Permissões:
compute.securityPolicies.setLabels - ADMIN_WRITE
- O método é uma operação de streaming ou de longa duração:
No
- Filtrar para este método:
protoPayload.methodName="v1.compute.securityPolicies.setLabels"