Logowanie kontrolne reguł zabezpieczeń Firebase

W tym dokumencie opisujemy logowanie kontrolne reguł zabezpieczeń Firebase. Usługi Google Cloud generują logi kontrolne, które rejestrują działania administracyjne i dostęp do Twoich zasobów Google Cloud. Więcej informacji o logach kontrolnych Cloud znajdziesz w tych artykułach:

Nazwa usługi

Dzienniki kontrolne reguł zabezpieczeń Firebase używają nazwy usługi firebaserules.googleapis.com. Filtruj według tej usługi: 

    protoPayload.serviceName="firebaserules.googleapis.com"

Metody według typu uprawnień

Każde uprawnienie IAM ma właściwość type, której wartość jest wyliczeniem, które może przyjmować jedną z 4 wartości: ADMIN_READ, ADMIN_WRITE, DATA_READ lub DATA_WRITE. Gdy wywołujesz metodę, reguły bezpieczeństwa Firebase generują dziennik kontroli, którego kategoria zależy od właściwości type uprawnienia wymaganego do wykonania tej metody. Metody, które wymagają uprawnienia Cloud IAM z wartością właściwości type równą DATA_READ, DATA_WRITE lub ADMIN_READ, generują logi kontrolne dostępu do danych. Metody, które wymagają uprawnień IAM z wartością właściwości typeADMIN_WRITE generate, generują logi kontrolne aktywności administratora.

Metody interfejsu API na poniższej liście oznaczone symbolem (LRO) to długo trwające operacje (LRO). Te metody zwykle generują 2 wpisy w dzienniku kontrolnym: jeden na początku operacji, a drugi na jej końcu. Więcej informacji znajdziesz w artykule Dzienniki kontrolne operacji długotrwałych.
Typ uprawnień Metody
ADMIN_READ google.firebase.rules.v1.FirebaseRulesService.GetRelease
google.firebase.rules.v1.FirebaseRulesService.GetRuleset
google.firebase.rules.v1.FirebaseRulesService.ListReleases
google.firebase.rules.v1.FirebaseRulesService.ListRulesets
google.firebase.rules.v1.FirebaseRulesService.TestRuleset
ADMIN_WRITE google.firebase.rules.v1.FirebaseRulesService.CreateRelease
google.firebase.rules.v1.FirebaseRulesService.CreateRuleset
google.firebase.rules.v1.FirebaseRulesService.DeleteRelease
google.firebase.rules.v1.FirebaseRulesService.DeleteRuleset
google.firebase.rules.v1.FirebaseRulesService.UpdateRelease

Logi kontrolne interfejsu API

Informacje o tym, jak i które uprawnienia są oceniane w przypadku poszczególnych metod, znajdziesz w dokumentacji Cloud Identity and Access Management dotyczącej reguł zabezpieczeń Firebase.

google.firebase.rules.v1.FirebaseRulesService

Z metodami należącymi do google.firebase.rules.v1.FirebaseRulesService powiązane są te dzienniki kontrolne:

CreateRelease

  • Metoda: google.firebase.rules.v1.FirebaseRulesService.CreateRelease
  • Typ dziennika kontrolnego: Aktywność administratora
  • Uprawnienia:
    • firebaserules.releases.create - ADMIN_WRITE
  • Metoda jest długotrwałą lub strumieniową operacją: nie.
  • Filtruj według tej metody: protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.CreateRelease"

CreateRuleset

  • Metoda: google.firebase.rules.v1.FirebaseRulesService.CreateRuleset
  • Typ dziennika kontrolnego: Aktywność administratora
  • Uprawnienia:
    • firebaserules.rulesets.create - ADMIN_WRITE
  • Metoda jest długotrwałą lub strumieniową operacją: nie.
  • Filtruj według tej metody: protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.CreateRuleset"

DeleteRelease

  • Metoda: google.firebase.rules.v1.FirebaseRulesService.DeleteRelease
  • Typ dziennika kontrolnego: Aktywność administratora
  • Uprawnienia:
    • firebaserules.releases.delete - ADMIN_WRITE
  • Metoda jest długotrwałą lub strumieniową operacją: nie.
  • Filtruj według tej metody: protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.DeleteRelease"

DeleteRuleset

  • Metoda: google.firebase.rules.v1.FirebaseRulesService.DeleteRuleset
  • Typ dziennika kontrolnego: Aktywność administratora
  • Uprawnienia:
    • firebaserules.rulesets.delete - ADMIN_WRITE
  • Metoda jest długotrwałą lub strumieniową operacją: nie.
  • Filtruj według tej metody: protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.DeleteRuleset"

GetRelease

  • Metoda: google.firebase.rules.v1.FirebaseRulesService.GetRelease
  • Typ dziennika kontrolnego: Dostęp do danych
  • Uprawnienia:
    • firebaserules.releases.get - ADMIN_READ
  • Metoda jest długotrwałą lub strumieniową operacją: nie.
  • Filtruj według tej metody: protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.GetRelease"

GetRuleset

  • Metoda: google.firebase.rules.v1.FirebaseRulesService.GetRuleset
  • Typ dziennika kontrolnego: Dostęp do danych
  • Uprawnienia:
    • firebaserules.rulesets.get - ADMIN_READ
  • Metoda jest długotrwałą lub strumieniową operacją: nie.
  • Filtruj według tej metody: protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.GetRuleset"

ListReleases

  • Metoda: google.firebase.rules.v1.FirebaseRulesService.ListReleases
  • Typ dziennika kontrolnego: Dostęp do danych
  • Uprawnienia:
    • firebaserules.releases.list - ADMIN_READ
  • Metoda jest długotrwałą lub strumieniową operacją: nie.
  • Filtruj według tej metody: protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.ListReleases"

ListRulesets

  • Metoda: google.firebase.rules.v1.FirebaseRulesService.ListRulesets
  • Typ dziennika kontrolnego: Dostęp do danych
  • Uprawnienia:
    • firebaserules.rulesets.list - ADMIN_READ
  • Metoda jest długotrwałą lub strumieniową operacją: nie.
  • Filtruj według tej metody: protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.ListRulesets"

TestRuleset

  • Metoda: google.firebase.rules.v1.FirebaseRulesService.TestRuleset
  • Typ dziennika kontrolnego: Dostęp do danych
  • Uprawnienia:
    • firebaserules.rulesets.test - ADMIN_READ
  • Metoda jest długotrwałą lub strumieniową operacją: nie.
  • Filtruj według tej metody: protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.TestRuleset"

UpdateRelease

  • Metoda: google.firebase.rules.v1.FirebaseRulesService.UpdateRelease
  • Typ dziennika kontrolnego: Aktywność administratora
  • Uprawnienia:
    • firebaserules.releases.update - ADMIN_WRITE
  • Metoda jest długotrwałą lub strumieniową operacją: nie.
  • Filtruj według tej metody: protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.UpdateRelease"

Metody, które nie generują logów kontrolnych

Metoda może nie generować logów kontrolnych z co najmniej jednego z tych powodów:

  • Jest to metoda o dużej ilości danych, która wiąże się ze znacznym generowaniem i przechowywaniem logów, a co za tym idzie – z wysokimi kosztami.
  • ma niską wartość audytu;
  • Inny log kontrolny lub log platformy już zawiera informacje o metodzie.

Te metody nie generują dzienników kontrolnych:

  • google.firebase.rules.v1.FirebaseRulesService.GetReleaseExecutable