En esta página, se describen los registros de auditoría creados con Cloud Build.
Resumen de registro de auditoría
Los servicios de Google Cloud escriben registros de auditoría para ayudarte a responder las preguntas “¿quién hizo qué, dónde y cuándo?” en tus proyectos y organizaciones de Google Cloud.
La información auditada se divide en las siguientes categorías de información:
Actividad de administrador: operaciones que modifican la configuración o los metadatos de un recurso de Cloud Build. Cualquier llamada a la API que crea o cancela una compilación, y crea, borra, habilita, inhabilita o actualiza un activador entra en esta categoría. Esta información de auditoría se proporciona de forma predeterminada.
Acceso a los datos (ADMIN_READ): operaciones que leen la configuración o los metadatos de un proyecto, compilación o activador. Esta información de auditoría no se proporciona de forma predeterminada.
Acceso a los datos (DATA_READ): operaciones que leen datos proporcionados por el usuario de un recurso. Esta información de auditoría no se proporciona de forma predeterminada.
Acceso a los datos (DATA_WRITE): operaciones que escriben datos proporcionados por el usuario en un recurso. Esta información de auditoría no se proporciona de forma predeterminada.
Para obtener más información, consulta Cloud Audit Logging.
Operaciones auditadas
En la siguiente tabla, se describe cuáles son las operaciones de la API de Cloud Build que se enumeran en cada categoría del registro de auditoría:
Categoría de registros de auditoría | Operaciones de Cloud Build |
---|---|
Actividad del administrador |
|
Acceso a los datos (ADMIN_READ ) |
|
Acceso a los datos (DATA_READ ) |
Ninguna |
Acceso a los datos (DATA_WRITE ) |
Ninguna |
A diferencia de los registros de auditoría para otros servicios, Cloud Build solo tiene registros de acceso a datos ADMIN_READ
y no ofrece registros DATA_READ
ni DATA_WRITE
. Esto se debe a que los registros DATA_READ
y DATA_WRITE
solo se usan para los servicios que almacenan y administran datos de usuario, y Cloud Build considera que las compilaciones y los activadores son información de configuración administrativa.
Permisos para acceder a los registros
Los siguientes usuarios pueden ver los registros de actividad de administrador:
- Propietarios, editores y lectores del proyecto
- Usuarios con el rol de IAM de Visor de registros
- Usuarios con el permiso de IAM
logging.logEntries.list
.
Los siguientes usuarios pueden ver los registros de acceso a los datos:
- Propietarios del proyecto
- Usuarios con la función de IAM de Visor de registros privados
- Usuarios con el permiso de IAM
logging.privateLogEntries.list
Para obtener instrucciones sobre cómo otorgar permisos de IAM, consulta Configura el control de acceso.
Formato de registro de auditoría
Las entradas de registros de auditoría tienen la siguiente estructura:
- Un objeto de tipo
LogEntry
que contiene la entrada de registro completa. - Un objeto de tipo
AuditLog
que se conserva en el campoprotoPayload
del objetoLogEntry
.
Saber qué información se guarda en estos objetos te ayudará a comprender y recuperar tus entradas de registro de auditoría con el Explorador de registros y la API de Stackdriver Logging.
Todas las entradas de registro de auditoría contienen el nombre de un registro de auditoría, un recurso y un servicio:
logName: este campo indicará si el registro de auditoría es de actividad de administrador o de acceso a datos. Por ejemplo:
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
Dentro de un proyecto o de una organización, estos nombres de registro tienen el sufijo abreviado
activity
odata_access
.Tipo de recurso supervisado:
build
: Incluye el proyecto, la compilación y el activador de compilación para la operación auditada.
serviceName: Para Cloud Build, el campo contendrá
cloudbuild.googleapis.com
.Los tipos de recursos pertenecen a un solo servicio, pero un servicio puede tener varios tipos de recursos. Si deseas ver una lista de servicios y recursos, consulta Asigna servicios a recursos.
Para obtener más detalles, consulta Tipos de datos de los registros de auditoría.
Habilita registros
Los registros de actividad de administrador se habilitan y registran de forma predeterminada. Estos registros no se consideran en la cuota de transferencia de registros.
Los registros de acceso a datos para las operaciones de Cloud Build no se registran de forma predeterminada. Puedes configurar los registros de auditoría de acceso a datos en tu proyecto o tu organización. Si quieres obtener información sobre cómo habilitar los registros para las operaciones de acceso a datos, consulta Configura registros de acceso a datos.
Cuotas y límites
Los registros de actividad de administrador no se consideran en la cuota de transferencia de registros.
Las operaciones de acceso a datos comprenden un volumen alto y se consideran en la cuota de transferencia de registros.
Para obtener más información, consulta Cuotas y límites.
Cómo ver registros
Para ver un resumen de tu actividad de administrador, haz lo siguiente:
Abre Actividad de Google Cloud Platform:
Si quieres seleccionar y filtrar tus registros para verlos en detalle, haz lo siguiente:
Abre la página Explorador de registros:
En el primer menú desplegable, selecciona un recurso para ver sus registros de auditoría. Selecciona un proyecto específico o “todos los proyectos”.
En el segundo menú, selecciona el nombre de registro que desea ver:
activity
para los registros de auditoría de la actividad del administrador ydata_access
destinado a los registros de auditoría de acceso a los datos (si los registros están disponibles).
Los registros de auditoría aparecen en el Explorador de registros.
También puedes usar la interfaz de filtro avanzado del Explorador de registros para especificar el tipo de recurso y el nombre de registro. Para obtener más información, consulta Recupera registros de auditoría.
Exporta tus registros de auditoría
Puedes exportar copias de algunos o todos tus registros a otras aplicaciones, repositorios o terceros. Para exportar tus registros, consulta Exporta registros.
Una organización es capaz de crear un receptor agregado que pueda exportar entradas de registro de todos los proyectos, carpetas y cuentas de facturación de la organización. Como cualquier receptor, tu receptor agregado posee un filtro que selecciona entradas de registro individuales. Para agregar y exportar tus registros de auditoría, consulta Receptores agregados.
Para leer las entradas de registro a través de la API, consulta entries.list. Para leer tus entradas de registro mediante el SDK, consulta Lee entradas de registro.
Próximos pasos
- Consulta la página Explorador de registros si quieres obtener instrucciones para filtrar registros.
- Lee la página Configura y administra los receptores para obtener instrucciones sobre cómo exportar registros.
- Aprende a almacenar y visualizar registros de compilación.