Журнал аудита правил безопасности Firebase

В этом документе описывается ведение журнала аудита для правил безопасности Firebase. Службы Google Cloud генерируют журналы аудита, в которых фиксируются действия по администрированию и доступу к вашим ресурсам Google Cloud . Дополнительные сведения о журналах облачного аудита см. в следующих разделах:

• Типы журналов аудита
• Структура записей журнала аудита
• Хранение и маршрутизация журналов аудита
• Сводка цен на облачную регистрацию
• Включить журналы аудита доступа к данным

Название службы

В журналах аудита правил безопасности Firebase используется имя службы firebaserules.googleapis.com . Фильтр для этой услуги:

    protoPayload.serviceName="firebaserules.googleapis.com"
  

Методы по типу разрешения

Каждое разрешение IAM имеет свойство type , значение которого представляет собой перечисление, которое может иметь одно из четырех значений: ADMIN_READ , ADMIN_WRITE , DATA_READ или DATA_WRITE . Когда вы вызываете метод, правила безопасности Firebase создают журнал аудита, категория которого зависит от свойства type разрешения, необходимого для выполнения метода. Методы, которым требуется разрешение IAM со значением свойства type DATA_READ , DATA_WRITE или ADMIN_READ , создают журналы аудита доступа к данным . Методы, которым требуется разрешение IAM со значением свойства type ADMIN_WRITE создают журналы аудита действий администратора .

Журналы аудита интерфейса API

Информацию о том, как и какие разрешения оцениваются для каждого метода, см. в документации Cloud Identity and Access Management для правил безопасности Firebase.

google.firebase.rules.v1.FirebaseRulesService

Следующие журналы аудита связаны с методами, принадлежащими google.firebase.rules.v1.FirebaseRulesService .

CreateRelease

• Метод : google.firebase.rules.v1.FirebaseRulesService.CreateRelease .
  
• Тип журнала аудита : активность администратора.
  
• Разрешения :
  • firebaserules.releases.create - ADMIN_WRITE
• Метод — длительная или потоковая операция : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.CreateRelease"
  

CreateRuleset

• Метод : google.firebase.rules.v1.FirebaseRulesService.CreateRuleset .
  
• Тип журнала аудита : активность администратора.
  
• Разрешения :
  • firebaserules.rulesets.create - ADMIN_WRITE
• Метод — длительная или потоковая операция : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.CreateRuleset"
  

DeleteRelease

• Метод : google.firebase.rules.v1.FirebaseRulesService.DeleteRelease .
  
• Тип журнала аудита : активность администратора.
  
• Разрешения :
  • firebaserules.releases.delete - ADMIN_WRITE
• Метод — длительная или потоковая операция : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.DeleteRelease"
  

DeleteRuleset

• Метод : google.firebase.rules.v1.FirebaseRulesService.DeleteRuleset .
  
• Тип журнала аудита : активность администратора.
  
• Разрешения :
  • firebaserules.rulesets.delete - ADMIN_WRITE
• Метод — длительная или потоковая операция : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.DeleteRuleset"
  

GetRelease

• Метод : google.firebase.rules.v1.FirebaseRulesService.GetRelease .
  
• Тип журнала аудита : Доступ к данным
  
• Разрешения :
  • firebaserules.releases.get - ADMIN_READ
• Метод — длительная или потоковая операция : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.GetRelease"
  

GetRuleset

• Метод : google.firebase.rules.v1.FirebaseRulesService.GetRuleset .
  
• Тип журнала аудита : Доступ к данным
  
• Разрешения :
  • firebaserules.rulesets.get - ADMIN_READ
• Метод — длительная или потоковая операция : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.GetRuleset"
  

ListReleases

• Метод : google.firebase.rules.v1.FirebaseRulesService.ListReleases .
  
• Тип журнала аудита : Доступ к данным
  
• Разрешения :
  • firebaserules.releases.list - ADMIN_READ
• Метод — длительная или потоковая операция : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.ListReleases"
  

ListRulesets

• Метод : google.firebase.rules.v1.FirebaseRulesService.ListRulesets .
  
• Тип журнала аудита : Доступ к данным
  
• Разрешения :
  • firebaserules.rulesets.list - ADMIN_READ
• Метод — длительная или потоковая операция : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.ListRulesets"
  

TestRuleset

• Метод : google.firebase.rules.v1.FirebaseRulesService.TestRuleset .
  
• Тип журнала аудита : Доступ к данным
  
• Разрешения :
  • firebaserules.rulesets.test - ADMIN_READ
• Метод — длительная или потоковая операция : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.TestRuleset"
  

UpdateRelease

• Метод : google.firebase.rules.v1.FirebaseRulesService.UpdateRelease .
  
• Тип журнала аудита : активность администратора.
  
• Разрешения :
  • firebaserules.releases.update - ADMIN_WRITE
• Метод — длительная или потоковая операция : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.UpdateRelease"
  

Методы, которые не создают журналы аудита

Метод может не создавать журналы аудита по одной или нескольким из следующих причин:

• Это объемный метод, требующий значительных затрат на создание и хранение журналов.
• Имеет низкую аудиторскую ценность.
• Другой журнал аудита или платформы уже обеспечивает покрытие метода.

Следующие методы не создают журналы аудита:

• google.firebase.rules.v1.FirebaseRulesService.GetReleaseExecutable