Журнал аудита правил безопасности Firebase

В этом документе перечислены методы аудита для правил безопасности Firebase. Сервисы Google Cloud генерируют журналы аудита, которые записывают административные действия и действия доступа в ваших ресурсах Google Cloud . Для получения дополнительной информации о журналах аудита Cloud см. следующие разделы:

Название услуги

Чтобы просмотреть журналы аудита правил безопасности Firebase, выполните следующие действия:

  1. В консоли Google Cloud перейдите на страницу Logs Explorer :

    Перейдите в Logs Explorer

  2. Скопируйте и вставьте следующий запрос в поле «Запрос» в Logs Explorer , а затем нажмите «Выполнить запрос» .

        protoPayload.serviceName="firebaserules.googleapis.com"

Методы в зависимости от типа разрешения

Каждое разрешение IAM имеет свойство type , значение которого представляет собой перечисление, принимающее одно из четырех значений: ADMIN_READ , ADMIN_WRITE , DATA_READ или DATA_WRITE . При вызове метода правила безопасности Firebase генерируют журнал аудита, категория которого зависит от свойства type разрешения, необходимого для выполнения метода. Методы, требующие разрешения IAM со значением свойства type DATA_READ , DATA_WRITE или ADMIN_READ генерируют журналы аудита доступа к данным . Методы, требующие разрешения IAM со значением свойства type ADMIN_WRITE генерируют журналы аудита активности администратора .

Методы API из приведенного ниже списка, помеченные (LRO), являются длительными операциями (LRO). Эти методы обычно генерируют две записи в журнале аудита: одну при начале операции и другую при ее завершении. Для получения дополнительной информации см. раздел «Журналы аудита для длительных операций» .
Тип разрешения Методы
ADMIN_READ google.firebase.rules.v1.FirebaseRulesService.GetRelease
google.firebase.rules.v1.FirebaseRulesService.GetRuleset
google.firebase.rules.v1.FirebaseRulesService.ListReleases
google.firebase.rules.v1.FirebaseRulesService.ListRulesets
google.firebase.rules.v1.FirebaseRulesService.TestRuleset
ADMIN_WRITE google.firebase.rules.v1.FirebaseRulesService.CreateRelease
google.firebase.rules.v1.FirebaseRulesService.CreateRuleset
google.firebase.rules.v1.FirebaseRulesService.DeleteRelease
google.firebase.rules.v1.FirebaseRulesService.DeleteRuleset
google.firebase.rules.v1.FirebaseRulesService.UpdateRelease

Журналы аудита интерфейса API

Информацию о том, как и какие разрешения оцениваются для каждого метода, см. в документации по правилам безопасности Firebase в разделе «Управление идентификацией и доступом в облаке».

google.firebase.rules.v1.FirebaseRulesService

Следующие записи в журналах аудита связаны с методами, относящимися к google.firebase.rules.v1.FirebaseRulesService .

CreateRelease

  • Метод : google.firebase.rules.v1.FirebaseRulesService.CreateRelease
  • Тип журнала аудита : Административная активность
  • Права доступа :
    • firebaserules.releases.create - ADMIN_WRITE
  • Метод представляет собой длительную или потоковую операцию : Нет.
  • Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.CreateRelease"

CreateRuleset

  • Метод : google.firebase.rules.v1.FirebaseRulesService.CreateRuleset
  • Тип журнала аудита : Административная активность
  • Права доступа :
    • firebaserules.rulesets.create - ADMIN_WRITE
  • Метод представляет собой длительную или потоковую операцию : Нет.
  • Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.CreateRuleset"

DeleteRelease

  • Метод : google.firebase.rules.v1.FirebaseRulesService.DeleteRelease
  • Тип журнала аудита : Административная активность
  • Права доступа :
    • firebaserules.releases.delete - ADMIN_WRITE
  • Метод представляет собой длительную или потоковую операцию : Нет.
  • Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.DeleteRelease"

DeleteRuleset

  • Метод : google.firebase.rules.v1.FirebaseRulesService.DeleteRuleset
  • Тип журнала аудита : Административная активность
  • Права доступа :
    • firebaserules.rulesets.delete - ADMIN_WRITE
  • Метод представляет собой длительную или потоковую операцию : Нет.
  • Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.DeleteRuleset"

GetRelease

  • Метод : google.firebase.rules.v1.FirebaseRulesService.GetRelease
  • Тип журнала аудита : Доступ к данным
  • Права доступа :
    • firebaserules.releases.get - ADMIN_READ
  • Метод представляет собой длительную или потоковую операцию : Нет.
  • Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.GetRelease"

GetRuleset

  • Метод : google.firebase.rules.v1.FirebaseRulesService.GetRuleset
  • Тип журнала аудита : Доступ к данным
  • Права доступа :
    • firebaserules.rulesets.get - ADMIN_READ
  • Метод представляет собой длительную или потоковую операцию : Нет.
  • Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.GetRuleset"

ListReleases

  • Метод : google.firebase.rules.v1.FirebaseRulesService.ListReleases
  • Тип журнала аудита : Доступ к данным
  • Права доступа :
    • firebaserules.releases.list - ADMIN_READ
  • Метод представляет собой длительную или потоковую операцию : Нет.
  • Фильтр по этому методу : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.ListReleases"

ListRulesets

  • Метод : google.firebase.rules.v1.FirebaseRulesService.ListRulesets
  • Тип журнала аудита : Доступ к данным
  • Права доступа :
    • firebaserules.rulesets.list - ADMIN_READ
  • Метод представляет собой длительную или потоковую операцию : Нет.
  • Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.ListRulesets"

TestRuleset

  • Метод : google.firebase.rules.v1.FirebaseRulesService.TestRuleset
  • Тип журнала аудита : Доступ к данным
  • Права доступа :
    • firebaserules.rulesets.test - ADMIN_READ
  • Метод представляет собой длительную или потоковую операцию : Нет.
  • Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.TestRuleset"

UpdateRelease

  • Метод : google.firebase.rules.v1.FirebaseRulesService.UpdateRelease
  • Тип журнала аудита : Административная активность
  • Права доступа :
    • firebaserules.releases.update - ADMIN_WRITE
  • Метод представляет собой длительную или потоковую операцию : Нет.
  • Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.UpdateRelease"

Методы, которые не создают журналы аудита

Метод может не создавать журналы аудита по одной или нескольким из следующих причин:

  • Это метод, требующий больших объемов данных и сопряженный со значительными затратами на сбор и хранение данных.
  • Оно имеет низкую аудиторскую ценность.
  • Другой журнал аудита или платформы уже обеспечивает покрытие метода.

Следующие методы не создают журналы аудита:

  • google.firebase.rules.v1.FirebaseRulesService.GetReleaseExecutable