Nesta página, descrevemos como inscrever uma organização, uma pasta ou um projeto como um recurso para auditoria no Audit Manager.
A inscrição realiza as seguintes tarefas:
Um agente de serviço gerenciado pelo Google associado ao Audit Manager é criado, que monitora o recurso especificado em seu nome. O endereço de e-mail do agente de serviço usa o seguinte formato, em que RESOURCE_ID é o ID da organização, o ID da pasta, ou o ID do projeto.
RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.comA revogação dos papéis desse agente de serviço pode fazer com que o Audit Manager pare de auditar o recurso.
Os buckets do Cloud Storage especificados são configurados como o destino para armazenar os dados de auditoria.
Quando você inscreve um recurso, os recursos filhos dele também são inscritos. Por exemplo, se você inscrever uma organização, todos os projetos dela também serão inscritos. Se um recurso pai já estiver inscrito e você tentar inscrever um dos recursos filhos, o recurso filho será inscrito de forma independente.
Antes de começar
Verifique se você tem os seguintes papéis e permissões do IAM:
- Administrador do Audit Manager (
roles/auditmanager.admin). - Administrador do Storage(
roles/storage.admin) ou Proprietário de bucket legado do Storage (roles/storage.legacyBucketOwner)
- Administrador do Audit Manager (
Para inscrever uma organização ou uma pasta, você precisa das seguintes permissões adicionais:
- Organização:
resourcemanager.organizations.setIamPolicy - Pasta:
resourcemanager.folders.setIamPolicy
- Organização:
Identifique ou crie buckets do Cloud Storage em que os dados de auditoria precisam ser exportados.
Para saber como criar buckets do Cloud Storage, consulte Criar um bucket.
Inscrever um recurso para auditoria
É possível inscrever uma organização, uma pasta ou um projeto para auditoria no Audit Manager.
A maneira mais simples de inscrever um recurso é pelo Google Cloud console. Como alternativa, você pode usar a API Audit Manager ou a Google Cloud CLI.
Console
No Google Cloud console do, acesse a página Audit Manager.
Clique em Configurações.
Dependendo do recurso selecionado no seletor de projetos, uma lista de pastas ou projetos será exibida na página Configurações.
Na página Configurações, selecione o recurso que você quer inscrever no Audit Manager e clique em Inscrever na coluna Status.
Na caixa de diálogo Selecionar detalhes do bucket de armazenamento , selecione um ou mais buckets do Cloud Storage em que você quer salvar seus relatórios e evidências e clique em Inscrever.
Seu recurso agora está inscrito para auditoria.
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
-
RESOURCE_TYPE: o tipo de recurso. Os valores possíveis sãoorganization,foldereproject. -
RESOURCE_ID: o ID do recurso da organização, pasta ou projeto. Por exemplo,8767234. -
BUCKET_URI: o URI do bucket do Cloud Storage. Por exemplo,gs://testbucketauditmanager.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud audit-manager enrollments add \ --RESOURCE_TYPE=RESOURCE_ID \ --eligible-gcs-buckets=BUCKET_URI
Windows (PowerShell)
gcloud audit-manager enrollments add ` --RESOURCE_TYPE=RESOURCE_ID ` --eligible-gcs-buckets=BUCKET_URI
Windows (cmd.exe)
gcloud audit-manager enrollments add ^ --RESOURCE_TYPE=RESOURCE_ID ^ --eligible-gcs-buckets=BUCKET_URI
REST
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
RESOURCE_TYPE: o tipo de recurso. Os valores possíveis sãoorganizations,folderseprojects. -
RESOURCE_ID: o ID do recurso da organização, pasta ou projeto. Por exemplo,8767234. -
BUCKET_URI: o URI do bucket do Cloud Storage. Por exemplo,gs://testbucketauditmanager.
Método HTTP e URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource
Corpo JSON da solicitação:
{
"destinations": [
{
"eligibleGcsBucket": "BUCKET_URI"
}
]
}
Para enviar a solicitação, escolha uma destas opções:
curl
Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource"
PowerShell
Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource" | Select-Object -Expand Content
Você receberá um código de status bem-sucedido (2xx) e uma resposta vazia.
Se você quiser mudar o local de armazenamento dos dados de auditoria após a inscrição, atualize a inscrição do recurso e especifique os novos locais de armazenamento. A inscrição e os locais de armazenamento anteriores serão substituídos pela nova solicitação.