Журнал аудита правил безопасности Firebase

В этом документе описывается ведение журнала аудита для правил безопасности Firebase. Сервисы Google Cloud создают журналы аудита, в которых регистрируются действия администратора и доступа к ресурсам Google Cloud . Подробнее о журналах аудита в облаке см. ниже:

• Типы журналов аудита
• Структура записи журнала аудита
• Хранение и маршрутизация журналов аудита
• Обзор цен на облачное ведение журнала
• Включить журналы аудита доступа к данным

Название услуги

В журналах аудита правил безопасности Firebase используется имя сервиса firebaserules.googleapis.com . Фильтр для этого сервиса:

    protoPayload.serviceName="firebaserules.googleapis.com"
  

Методы по типу разрешения

Каждое разрешение IAM имеет свойство type , значение которого представляет собой перечисление, которое может принимать одно из четырёх значений: ADMIN_READ , ADMIN_WRITE , DATA_READ или DATA_WRITE . При вызове метода правила безопасности Firebase генерируют журнал аудита, категория которого зависит от свойства type разрешения, необходимого для выполнения метода. Методы, требующие разрешение IAM со значением свойства type DATA_READ , DATA_WRITE или ADMIN_READ генерируют журналы аудита доступа к данным . Методы, требующие разрешение IAM со значением свойства type ADMIN_WRITE , генерируют журналы аудита действий администратора .

Журналы аудита интерфейса API

Информацию о том, как и какие разрешения оцениваются для каждого метода, см. в документации по управлению идентификацией и доступом в облаке для правил безопасности Firebase.

google.firebase.rules.v1.FirebaseRulesService

Следующие журналы аудита связаны с методами, принадлежащими google.firebase.rules.v1.FirebaseRulesService .

CreateRelease

• Метод : google.firebase.rules.v1.FirebaseRulesService.CreateRelease
  
• Тип журнала аудита : Действия администратора
  
• Разрешения :
  • firebaserules.releases.create - ADMIN_WRITE
• Метод представляет собой длительную или потоковую операцию : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.CreateRelease"
  

CreateRuleset

• Метод : google.firebase.rules.v1.FirebaseRulesService.CreateRuleset
  
• Тип журнала аудита : Действия администратора
  
• Разрешения :
  • firebaserules.rulesets.create - ADMIN_WRITE
• Метод представляет собой длительную или потоковую операцию : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.CreateRuleset"
  

DeleteRelease

• Метод : google.firebase.rules.v1.FirebaseRulesService.DeleteRelease
  
• Тип журнала аудита : Действия администратора
  
• Разрешения :
  • firebaserules.releases.delete - ADMIN_WRITE
• Метод представляет собой длительную или потоковую операцию : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.DeleteRelease"
  

DeleteRuleset

• Метод : google.firebase.rules.v1.FirebaseRulesService.DeleteRuleset
  
• Тип журнала аудита : Действия администратора
  
• Разрешения :
  • firebaserules.rulesets.delete - ADMIN_WRITE
• Метод представляет собой длительную или потоковую операцию : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.DeleteRuleset"
  

GetRelease

• Метод : google.firebase.rules.v1.FirebaseRulesService.GetRelease
  
• Тип журнала аудита : Доступ к данным
  
• Разрешения :
  • firebaserules.releases.get - ADMIN_READ
• Метод представляет собой длительную или потоковую операцию : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.GetRelease"
  

GetRuleset

• Метод : google.firebase.rules.v1.FirebaseRulesService.GetRuleset
  
• Тип журнала аудита : Доступ к данным
  
• Разрешения :
  • firebaserules.rulesets.get - ADMIN_READ
• Метод представляет собой длительную или потоковую операцию : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.GetRuleset"
  

ListReleases

• Метод : google.firebase.rules.v1.FirebaseRulesService.ListReleases
  
• Тип журнала аудита : Доступ к данным
  
• Разрешения :
  • firebaserules.releases.list - ADMIN_READ
• Метод представляет собой длительную или потоковую операцию : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.ListReleases"
  

ListRulesets

• Метод : google.firebase.rules.v1.FirebaseRulesService.ListRulesets
  
• Тип журнала аудита : Доступ к данным
  
• Разрешения :
  • firebaserules.rulesets.list - ADMIN_READ
• Метод представляет собой длительную или потоковую операцию : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.ListRulesets"
  

TestRuleset

• Метод : google.firebase.rules.v1.FirebaseRulesService.TestRuleset
  
• Тип журнала аудита : Доступ к данным
  
• Разрешения :
  • firebaserules.rulesets.test - ADMIN_READ
• Метод представляет собой длительную или потоковую операцию : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.TestRuleset"
  

UpdateRelease

• Метод : google.firebase.rules.v1.FirebaseRulesService.UpdateRelease
  
• Тип журнала аудита : Действия администратора
  
• Разрешения :
  • firebaserules.releases.update - ADMIN_WRITE
• Метод представляет собой длительную или потоковую операцию : Нет.
  
• Фильтр для этого метода : protoPayload.methodName="google.firebase.rules.v1.FirebaseRulesService.UpdateRelease"
  

Методы, не создающие журналы аудита

Метод может не создавать журналы аудита по одной или нескольким из следующих причин:

• Это метод больших объемов данных, требующий значительных затрат на создание и хранение журналов.
• Имеет низкую аудиторскую ценность.
• Другой журнал аудита или платформы уже обеспечивает охват метода.

Следующие методы не создают журналы аудита:

• google.firebase.rules.v1.FirebaseRulesService.GetReleaseExecutable