Geração de registros de auditoria de políticas da organização

Neste documento, descrevemos a geração de registros de auditoria do Organization Policy Service. Os serviços do Google Cloud geram registros de auditoria que registram atividades administrativas e de acesso nos recursos do Google Cloud. Para saber mais sobre os Registros de auditoria do Cloud, consulte as seguintes páginas da documentação:

Observações

Neste documento, descrevemos a geração de registros de auditoria do serviço que gerencia as políticas da organização. Para detalhes sobre os próprios registros de política negada, consulte VPC Service Controls.

Nome do serviço

Os registros de auditoria do Serviço de políticas da organização usam o nome de serviço orgpolicy.googleapis.com. Filtrar por este serviço: 

    protoPayload.serviceName="orgpolicy.googleapis.com"

Métodos por tipo de permissão

Cada permissão do IAM tem uma propriedade type, que tem o valor de um tipo enumerado que pode ser um dos quatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Quando você chama um método, o serviço de políticas da organização gera um registro de auditoria com categoria dependente da propriedade type da permissão necessária para executar o método. Métodos que exigem uma permissão do IAM com o valor da propriedade type de DATA_READ, DATA_WRITE ou ADMIN_READ geram registros de auditoria de acesso aos dados. Métodos que exigem uma permissão do IAM com o valor da propriedade type de ADMIN_WRITE geram registros de auditoria de Atividade do administrador.

Tipo de permissão Métodos
ADMIN_READ google.cloud.orgpolicy.v2.OrgPolicy.GetCustomConstraint
google.cloud.orgpolicy.v2.OrgPolicy.GetEffectivePolicy
google.cloud.orgpolicy.v2.OrgPolicy.GetPolicy
google.cloud.orgpolicy.v2.OrgPolicy.ListConstraints
google.cloud.orgpolicy.v2.OrgPolicy.ListCustomConstraints
google.cloud.orgpolicy.v2.OrgPolicy.ListPolicies
ADMIN_WRITE google.cloud.orgpolicy.v2.OrgPolicy.CreateCustomConstraint
google.cloud.orgpolicy.v2.OrgPolicy.CreatePolicy
google.cloud.orgpolicy.v2.OrgPolicy.DeleteCustomConstraint
google.cloud.orgpolicy.v2.OrgPolicy.DeletePolicy
google.cloud.orgpolicy.v2.OrgPolicy.UpdateCustomConstraint
google.cloud.orgpolicy.v2.OrgPolicy.UpdatePolicy

Registros de auditoria da interface da API

Para informações sobre como e quais permissões são avaliadas para cada método, consulte a documentação do Identity and Access Management para o Organization Policy Service.

google.cloud.orgpolicy.v2.OrgPolicy

A seção a seguir contém detalhes sobre registros de auditoria associados aos métodos que pertencem ao google.cloud.orgpolicy.v2.OrgPolicy.

CreateCustomConstraint

  • Método: google.cloud.orgpolicy.v2.OrgPolicy.CreateCustomConstraint
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • orgpolicy.customConstraints.create - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.CreateCustomConstraint"

CreatePolicy

  • Método: google.cloud.orgpolicy.v2.OrgPolicy.CreatePolicy
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • orgpolicy.policies.create - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.CreatePolicy"

DeleteCustomConstraint

  • Método: google.cloud.orgpolicy.v2.OrgPolicy.DeleteCustomConstraint
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • orgpolicy.customConstraints.delete - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.DeleteCustomConstraint"

DeletePolicy

  • Método: google.cloud.orgpolicy.v2.OrgPolicy.DeletePolicy
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • orgpolicy.policies.delete - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.DeletePolicy"

GetCustomConstraint

  • Método: google.cloud.orgpolicy.v2.OrgPolicy.GetCustomConstraint
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • orgpolicy.customConstraints.get - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.GetCustomConstraint"

GetEffectivePolicy

  • Método: google.cloud.orgpolicy.v2.OrgPolicy.GetEffectivePolicy
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • orgpolicy.policy.get - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.GetEffectivePolicy"

GetPolicy

  • Método: google.cloud.orgpolicy.v2.OrgPolicy.GetPolicy
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • orgpolicy.policy.get - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.GetPolicy"

ListConstraints

  • Método: google.cloud.orgpolicy.v2.OrgPolicy.ListConstraints
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • orgpolicy.constraints.list - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.ListConstraints"

ListCustomConstraints

  • Método: google.cloud.orgpolicy.v2.OrgPolicy.ListCustomConstraints
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • orgpolicy.customConstraints.list - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.ListCustomConstraints"

ListPolicies

  • Método: google.cloud.orgpolicy.v2.OrgPolicy.ListPolicies
  • Tipo de registro de auditoria: acesso a dados
  • Permissões:
    • orgpolicy.policies.list - ADMIN_READ
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.ListPolicies"

UpdateCustomConstraint

  • Método: google.cloud.orgpolicy.v2.OrgPolicy.UpdateCustomConstraint
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • orgpolicy.customConstraints.update - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.UpdateCustomConstraint"

UpdatePolicy

  • Método: google.cloud.orgpolicy.v2.OrgPolicy.UpdatePolicy
  • Tipo de registro de auditoria: atividade do administrador
  • Permissões:
    • orgpolicy.policies.update - ADMIN_WRITE
  • O método é uma operação de streaming ou de longa duração: No
  • Filtrar para este método: protoPayload.methodName="google.cloud.orgpolicy.v2.OrgPolicy.UpdatePolicy"