Informações gerais

Neste laboratório, você vai conhecer os Registros de auditoria do Cloud. O recurso mantém vários registros de auditoria para cada projeto, pasta e organização. Assim, é possível responder à pergunta "quem fez o quê, quando e onde?"

Objetivos

Neste laboratório, você vai aprender a:

• Ativar os registros de acesso aos dados no Cloud Storage.
• Gerar registros de atividade de admin e acesso aos dados.
• Acessar registros de auditoria.

Configuração e requisitos

Para cada laboratório, você recebe um novo projeto do Google Cloud e um conjunto de recursos por um determinado período sem custo financeiro.

1. Clique no botão Começar o laboratório. Se for preciso pagar, você verá um pop-up para selecionar a forma de pagamento. No painel Detalhes do laboratório à esquerda, você vai encontrar o seguinte:

   • O botão Abrir console do Google Cloud
   • O tempo restante
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações, se forem necessárias

2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima.

   O laboratório ativa os recursos e depois abre a página Fazer login em outra guia.

   Dica: coloque as guias em janelas separadas lado a lado.

   Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

3. Se necessário, copie o Nome de usuário abaixo e cole na caixa de diálogo Fazer login.

   {{{user_0.username | "Nome de usuário"}}}

   Você também encontra o Nome de usuário no painel Detalhes do laboratório.

4. Clique em Seguinte.

5. Copie a Senha abaixo e cole na caixa de diálogo de boas-vindas.

   {{{user_0.password | "Senha"}}}

   Você também encontra a Senha no painel Detalhes do laboratório.

6. Clique em Seguinte.

   Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

7. Acesse as próximas páginas:

   • Aceite os Termos e Condições.
   • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
   • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do Google Cloud será aberto nesta guia.

Observação: para acessar uma lista de produtos e serviços do Google Cloud, clique no Menu de navegação no canto superior esquerdo ou digite o nome do serviço ou produto no campo Pesquisar.

Após concluir as etapas iniciais de login, o painel do projeto será exibido.

Ative o Google Cloud Shell

O Google Cloud Shell é uma máquina virtual com ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud.

O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.

1. No console do Cloud, clique no botão "Abrir o Cloud Shell" na barra de ferramentas superior direita.

   

2. Clique em Continuar.

O provisionamento e a conexão do ambiente podem demorar um pouco. Quando você estiver conectado, já estará autenticado, e o projeto estará definido com seu PROJECT_ID. Exemplo:

A gcloud é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.

• Para listar o nome da conta ativa, use este comando:

gcloud auth list

Saída:

Credentialed accounts: - @.com (active)

Exemplo de saída:

Credentialed accounts: - google1623327_student@qwiklabs.net

• Para listar o ID do projeto, use este comando:

gcloud config list project

Saída:

[core] project =

Exemplo de saída:

[core] project = qwiklabs-gcp-44776a13dea667a6 Observação: a documentação completa da gcloud está disponível no guia com informações gerais sobre a gcloud CLI .

Tarefa 1. ativar os registros de acesso aos dados no Cloud Storage

Nesta tarefa, você vai ativar os registros de acesso aos dados no Cloud Storage para monitorar as operações de leitura e gravação dos dados fornecidos pelo usuário, além de metadados e informações de configuração.

1. No console do Google Cloud, no Menu de navegação (), clique em IAM e administrador > Registros de Auditoria.

2. Role ou use Filtro para localizar o Google Cloud Storage e marque a caixa que está ao lado. Em seguida, aparece o Painel de informações com os TIPOS DE REGISTRO.

Os registros de auditoria de acesso a dados são divididos em diferentes categorias:

• Leitura de admin: registra operações de leitura de informações de configurações ou metadados. Nos registros de auditoria de atividades de admin, você encontra gravações de informações de configurações e metadados. Não é possível desativá-los.
• Leitura de dados: registra operações de leitura de dados fornecidos pelo usuário.
• Gravação de dados: registra operações de gravação de dados fornecidos pelo usuário.

3. Selecione Leitura de administrador, Leitura de dados e Gravação de dados. Depois, clique em Salvar.

Clique em Verificar meu progresso para conferir o objetivo. Ativar os registros de acesso aos dados no Cloud Storage

Tarefa 2: gerar registros de atividade de admin e acesso aos dados

Nesta tarefa, você vai gerar atividades de admin e acesso aos dados criando um bucket de armazenamento e, em seguida, vai fazer upload de um arquivo, criar uma rede e uma VM e excluir o bucket de armazenamento.

1. Abra o terminal do Cloud Shell.

2. Use o gcloud storage para criar um bucket do Cloud Storage com o mesmo nome do seu projeto. Se solicitado, clique em Autorizar:

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID

3. Confirme se o bucket foi criado:

gcloud storage ls

4. Crie um arquivo de texto simples "Hello World" e faça upload dele no bucket:

echo "Hello World!" > sample.txt gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID

5. Confirme se o arquivo está no bucket:

gcloud storage ls gs://$DEVSHELL_PROJECT_ID

6. Crie uma nova rede de modo automático chamada mynetwork. Em seguida, crie uma nova máquina virtual e conecte-a à nova rede:

gcloud compute networks create mynetwork --subnet-mode=auto gcloud compute instances create default-us-vm \ --zone={{{project_0.default_zone|Zone}}} --network=mynetwork \ --machine-type=e2-medium

Clique em Verificar meu progresso para conferir o objetivo. Verificar a criação do bucket, rede e instância da máquina virtual

7. Exclua o bucket de armazenamento:

gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID

Tarefa 3: como ver Registros de Auditoria

Nesta tarefa, você vai acessar e analisar os Registros de Auditoria de atividades de admin e de acesso a dados na ferramenta Análise de Registros, analisando os detalhes dos eventos registrados, como exclusão de bucket e operações de acesso a dados. Em seguida, vai ler os registros de acesso a dados usando o SDK Cloud.

Os registros de atividade do admin contêm entradas de registros para chamadas de API ou de outras ações administrativas que modificam a configuração ou os metadados dos recursos. Por exemplo, os registros são gravados quando instâncias de VM e aplicativos do App Engine são criados ou quando permissões são alteradas. Para consultar os registros, é necessário ter os papéis Geração de registros/Visualizador de registros ou Projeto/Leitor do Cloud Identity and Access Management.

Os registros de atividades do administrador estão sempre ativados. Portanto, isso não precisa ser feito. Os Registros de Auditoria de atividades do admin não são cobrados.

1. No console do Google Cloud, no Menu de navegação (), clique em Mostrar todos os produtos > Observabilidade > Geração de registros.

2. Na ferramenta Análise de registros, ative a opção Mostrar consulta e exclua o conteúdo da caixa Consulta.

3. Clique no menu suspenso Todos os nomes de registros e use o filtro para localizar o registro da atividade na seção Auditoria do Cloud > Aplicar à consulta.

4. Pressione o botão Executar consulta e use o explorador Log fields para filtrar as entradas do Bucket do GCS.

5. Localize a entrada de registro de quando o Cloud Storage foi excluído.

6. Expanda a entrada da exclusão, analise o campo protoPayload > authenticationInfo e procure o endereço de e-mail do usuário que realizou a ação.

   Fique à vontade para consultar os outros campos da entrada. Além disso, confira quantos valores podem ser clicados para adicionar inclusões ou exclusões à consulta.

7. Exclua a consulta atual e use Todos os nomes de registros para acessar os registros de data_access.

Quais operações estão visíveis para você?

Clique em Verificar meu progresso para conferir o objetivo. Como ver Registros de Auditoria

Como usar o SDK Cloud

As entradas de registro também podem ser lidas usando o comando do SDK Cloud:

Exemplo:

gcloud logging read [FILTER]

1. Abra novamente o terminal do Cloud Shell.

2. Para abrir esses mesmos registros de acesso aos dados usando a linha de comando, faça o seguinte:

gcloud logging read \ "logName=projects/$DEVSHELL_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"

Parabéns!

Neste exercício, você estudou e trabalhou com os Registros de Auditoria do Google Cloud. Agora, você sabe exatamente quem fez o quê e quando. Bom trabalho.

Finalize o laboratório

Clique em Terminar o laboratório após a conclusão. O Google Cloud Ensina remove os recursos usados e limpa a conta por você.

Você vai poder avaliar sua experiência no laboratório. Basta selecionar o número de estrelas, digitar um comentário e clicar em Enviar.

O número de estrelas indica o seguinte:

• 1 estrela = muito insatisfeito
• 2 estrelas = insatisfeito
• 3 estrelas = neutro
• 4 estrelas = satisfeito
• 5 estrelas = muito satisfeito

Feche a caixa de diálogo se não quiser enviar feedback.

Para enviar seu feedback, fazer sugestões ou correções, use a guia Suporte.

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos podem ser marcas registradas das empresas a que estão associados.