Inscrever um recurso para auditoria

Nesta página, descrevemos como inscrever uma organização, uma pasta ou um projeto como um recurso para auditoria no Gerenciador de auditorias.

O registro realiza as seguintes tarefas:

Um agente de serviço gerenciado pelo Google associado ao Audit Manager é criado para monitorar o recurso especificado em seu nome. O endereço de e-mail do agente de serviço usa o seguinte formato, em que RESOURCE_ID é o ID da organização, da pasta ou do ID do projeto.
```
RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.com
```
A revogação dos papéis desse agente de serviço pode fazer com que o Audit Manager pare de auditar o recurso.
Os buckets especificados do Cloud Storage são configurados como o destino para armazenar os dados de auditoria.

Quando você registra um recurso, os recursos filhos dele também são registrados. Por exemplo, se você inscrever uma organização, todos os projetos dela também serão inscritos. Se um recurso principal já estiver inscrito e você tentar inscrever um dos recursos secundários, ele será inscrito de forma independente.

Antes de começar

Verifique se você tem os seguintes papéis e permissões do IAM:
- Administrador do Audit Manager (roles/auditmanager.admin).
- Administrador do Storage(roles/storage.admin) ou proprietário de bucket legado do Storage (roles/storage.legacyBucketOwner)
Para inscrever uma organização ou uma pasta, você precisa das seguintes permissões adicionais:
- Organização: resourcemanager.organizations.setIamPolicy
- Pasta: resourcemanager.folders.setIamPolicy
Identifique ou crie buckets do Cloud Storage em que os dados de auditoria precisam ser exportados.

Para saber como criar buckets do Cloud Storage, consulte Criar um bucket.

Registrar um recurso para auditoria

É possível inscrever uma organização, uma pasta ou um projeto para auditoria no Audit Manager.

A maneira mais simples de registrar um recurso é pelo console Google Cloud . Como alternativa, use a API Audit Manager ou a Google Cloud CLI.

Console

No console do Google Cloud , acesse a página Gerenciador de auditoria.

Acessar o Audit Manager
Clique em Configurações.

Dependendo do recurso selecionado no seletor de projetos, uma lista de pastas ou projetos será exibida na página Configurações.
Na página Configurações, selecione o recurso que você quer registrar no Audit Manager e clique em Registrar na coluna Status.
Na caixa de diálogo Selecionar detalhes do bucket de armazenamento, escolha um ou mais buckets do Cloud Storage em que você quer salvar seus relatórios e evidências e clique em Inscrever-se.

Seu recurso agora está registrado para auditoria.

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

RESOURCE_TYPE: o tipo de recurso. Os valores possíveis são organization, folder e project.
RESOURCE_ID: o ID do recurso da organização, pasta ou projeto. Por exemplo, 8767234.
BUCKET_URI: o URI do bucket do Cloud Storage. Por exemplo, gs://testbucketauditmanager.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud audit-manager enrollments add \
    --RESOURCE_TYPE=RESOURCE_ID \
    --eligible-gcs-buckets=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager enrollments add `
    --RESOURCE_TYPE=RESOURCE_ID `
    --eligible-gcs-buckets=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager enrollments add ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --eligible-gcs-buckets=BUCKET_URI

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

RESOURCE_TYPE: o tipo de recurso. Os valores possíveis são organizations, folders e projects.
RESOURCE_ID: o ID do recurso da organização, pasta ou projeto. Por exemplo, 8767234.
BUCKET_URI: o URI do bucket do Cloud Storage. Por exemplo, gs://testbucketauditmanager.

Método HTTP e URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource

Corpo JSON da solicitação:

{
  "destinations": [
    {
      "eligibleGcsBucket": "BUCKET_URI"
    }
  ]
}

Para enviar a solicitação, escolha uma destas opções:

curl

Observação: o comando a seguir pressupõe que você tenha feito login na gcloud CLI com sua conta de usuário executando gcloud init ou gcloud auth login ou usando o Cloud Shell, que faz login automaticamente na gcloud CLI. Para saber qual é a conta ativa no momento, execute o comando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando abaixo:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource"

PowerShell

Observação: o comando a seguir pressupõe que você fez login na gcloud CLI com sua conta de usuário executando gcloud init ou gcloud auth login. Para saber qual é a conta ativa no momento, execute o comando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource" | Select-Object -Expand Content

Você receberá um código de status bem-sucedido (2xx) e uma resposta vazia.

Se você quiser mudar o local de armazenamento dos dados de auditoria após a inscrição, atualize a inscrição do recurso e especifique os novos locais de armazenamento. As inscrições e os locais de armazenamento anteriores são substituídos pelo novo pedido.

Inscrever um recurso para auditoria Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Antes de começar

Registrar um recurso para auditoria

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl

PowerShell

A seguir

Inscrever um recurso para auditoria