Neste guia, mostramos como ver a autorização binária do Cloud Run nos registros de auditoria do Cloud.
Eventos de implantação bloqueados no Cloud Logging
Explorador de registros
Para ver eventos de implantação bloqueados no explorador de registros do Cloud Logging:
Acesse a página da Análise de registros de auditoria do Cloud:
No Seletor do projeto na parte de cima da página, selecione o ID do projetoGoogle Cloud em que você executa o Cloud Run.
Insira a seguinte consulta na caixa consulta de pesquisa:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"Selecione o período no seletor de período.
Para pesquisar nas entradas de registro, clique em Expandir campos aninhados.
gcloud
Para ver eventos de violação de política da semana passada no Cloud Logging usando a Google Cloud CLI, faça o seguinte:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
protoPayload.response.status.conditions.reason="ContainerImageUnauthorized"'
Eventos de acesso de emergência no Cloud Logging
A implantação forçada permite substituir a aplicação da política de autorização binária e implantar uma imagem de contêiner que viole a política.
Consultar revisões no Cloud Logging com a implantação forçada
Explorador de registros
Para ver eventos de implantação forçada no Explorador de registros do Cloud Logging, faça o seguinte:
Acesse a página da Análise de registros de auditoria do Cloud:
No Seletor do projeto na parte superior da página, selecione o ID do projeto em que você executa o Cloud Run.
Digite o seguinte na caixa consulta de pesquisa:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "breakglass"Para refinar ainda mais sua pesquisa, adicione estas linhas:
resource.labels.service_name = SERVICE_NAME resource.labels.location = LOCATIONSelecione o período no seletor de período.
Para pesquisar nas entradas de registro, clique em Expandir campos aninhados.
gcloud
Para ver eventos de implantação forçada da última semana no Cloud Logging usando a CLI gcloud, faça o seguinte:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"breakglass"'
Consulta de eventos abertos com falha no Cloud Logging
Explorador de registros
Para ver eventos de falha ao abrir no Explorador de registros do Cloud Logging, siga estas etapas:
Acesse a página da Análise de registros de auditoria do Cloud:
No Seletor do projeto na parte superior da página, selecione o ID do projeto em que você executa o Cloud Run.
Digite o seguinte na caixa consulta de pesquisa:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "encountered an error"Selecione o período no seletor de período.
Para pesquisar nas entradas de registro, clique em Expandir campos aninhados.
gcloud
Para ver eventos de falha ao abrir da última semana no Cloud Logging usando a CLI gcloud, faça o seguinte:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"encountered an error"'
Consultar eventos de simulação no Cloud Logging
Explorador de registros
Para ver eventos de simulação no Análise de registros do Cloud Logging, faça o seguinte:
Acesse a página da Análise de registros de auditoria do Cloud:
No Seletor do projeto na parte superior da página, selecione o ID do projeto em que você executa o Cloud Run.
Digite o seguinte na caixa consulta de pesquisa:
resource.type="cloud_run_revision" logName:"cloudaudit.googleapis.com%2Fsystem_event" "dry run"Selecione o período no seletor de período.
Para pesquisar nas entradas de registro, clique em Expandir campos aninhados.
gcloud
Para ver eventos de implantação de teste da última semana no Cloud Logging usando a CLI gcloud, faça o seguinte:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="cloud_run_revision" AND
logName:"cloudaudit.googleapis.com%2Fsystem_event" AND
"dry run"'
A seguir
Configure a política de autorização binária usando o Google Cloud console ou a ferramenta de linha de comando.
Use atestados para implantar somente imagens de contêiner assinadas.