Registros de auditoría

En esta página, se describen los registros de auditoría creados con Cloud Build.

Resumen de registro de auditoría

Los servicios de Google Cloud escriben registros de auditoría para ayudarte a responder las preguntas “¿quién hizo qué, dónde y cuándo?” en tus proyectos y organizaciones de Google Cloud.

La información auditada se divide en las siguientes categorías de información:

  • Actividad de administrador: operaciones que modifican la configuración o los metadatos de un recurso de Cloud Build. Cualquier llamada a la API que crea o cancela una compilación, y crea, borra, habilita, inhabilita o actualiza un activador entra en esta categoría. Esta información de auditoría se proporciona de forma predeterminada.

  • Acceso a los datos (ADMIN_READ): operaciones que leen la configuración o los metadatos de un proyecto, compilación o activador. Esta información de auditoría no se proporciona de forma predeterminada.

  • Acceso a los datos (DATA_READ): operaciones que leen datos proporcionados por el usuario de un recurso. Esta información de auditoría no se proporciona de forma predeterminada.

  • Acceso a los datos (DATA_WRITE): operaciones que escriben datos proporcionados por el usuario en un recurso. Esta información de auditoría no se proporciona de forma predeterminada.

Para obtener más información, consulta Cloud Audit Logging.

Operaciones auditadas

En la siguiente tabla, se describe cuáles son las operaciones de la API de Cloud Build que se enumeran en cada categoría del registro de auditoría:

Categoría de registros de auditoría Operaciones de Cloud Build
Actividad del administrador
  • projects.builds.create
  • projects.builds.cancel
  • projects.builds.approve
  • projects.triggers.create
  • projects.triggers.delete
  • projects.triggers.update
  • Ejecutar activadores mediante el botón Ejecutar activador en la consola de Google Cloud
  • Crear y actualizar políticas de IAM
Acceso a los datos (ADMIN_READ)
  • projects.builds.get
  • projects.builds.list
  • projects.triggers.list
  • projects.triggers.get
  • Obtener políticas de IAM
Acceso a los datos (DATA_READ) Ninguna
Acceso a los datos (DATA_WRITE) Ninguna

A diferencia de los registros de auditoría para otros servicios, Cloud Build solo tiene registros de acceso a datos ADMIN_READ y no ofrece registros DATA_READ ni DATA_WRITE. Esto se debe a que los registros DATA_READ y DATA_WRITE solo se usan para los servicios que almacenan y administran datos de usuario, y Cloud Build considera que las compilaciones y los activadores son información de configuración administrativa.

Permisos para acceder a los registros

Los siguientes usuarios pueden ver los registros de actividad de administrador:

Los siguientes usuarios pueden ver los registros de acceso a los datos:

  • Propietarios del proyecto
  • Usuarios con la función de IAM de Visor de registros privados
  • Usuarios con el permiso de IAM logging.privateLogEntries.list

Para obtener instrucciones sobre cómo otorgar permisos de IAM, consulta Configura el control de acceso.

Formato de registro de auditoría

Las entradas de registros de auditoría tienen la siguiente estructura:

  • Un objeto de tipo LogEntry que contiene la entrada de registro completa.
  • Un objeto de tipo AuditLog que se conserva en el campo protoPayload del objeto LogEntry.

Saber qué información se guarda en estos objetos te ayudará a comprender y recuperar tus entradas de registro de auditoría con el Explorador de registros y la API de Stackdriver Logging.

Todas las entradas de registro de auditoría contienen el nombre de un registro de auditoría, un recurso y un servicio:

  • logName: este campo indicará si el registro de auditoría es de actividad de administrador o de acceso a datos. Por ejemplo:

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    

    Dentro de un proyecto o de una organización, estos nombres de registro tienen el sufijo abreviado activity o data_access.

  • Tipo de recurso supervisado:

    • build: Incluye el proyecto, la compilación y el activador de compilación para la operación auditada.
  • serviceName: Para Cloud Build, el campo contendrá cloudbuild.googleapis.com.

    Los tipos de recursos pertenecen a un solo servicio, pero un servicio puede tener varios tipos de recursos. Si deseas ver una lista de servicios y recursos, consulta Asigna servicios a recursos.

Para obtener más detalles, consulta Tipos de datos de los registros de auditoría.

Habilita registros

Los registros de actividad de administrador se habilitan y registran de forma predeterminada. Estos registros no se consideran en la cuota de transferencia de registros.

Los registros de acceso a datos para las operaciones de Cloud Build no se registran de forma predeterminada. Puedes configurar los registros de auditoría de acceso a datos en tu proyecto o tu organización. Si quieres obtener información sobre cómo habilitar los registros para las operaciones de acceso a datos, consulta Configura registros de acceso a datos.

Cuotas y límites

Los registros de actividad de administrador no se consideran en la cuota de transferencia de registros.

Las operaciones de acceso a datos comprenden un volumen alto y se consideran en la cuota de transferencia de registros.

Para obtener más información, consulta Cuotas y límites.

Cómo ver registros

Para ver un resumen de tu actividad de administrador, haz lo siguiente:

Si quieres seleccionar y filtrar tus registros para verlos en detalle, haz lo siguiente:

  1. Abre la página Explorador de registros:

    Ir a la página Explorador de registros

  2. En el primer menú desplegable, selecciona un recurso para ver sus registros de auditoría. Selecciona un proyecto específico o “todos los proyectos”.

  3. En el segundo menú, selecciona el nombre de registro que desea ver: activity para los registros de auditoría de la actividad del administrador y data_access destinado a los registros de auditoría de acceso a los datos (si los registros están disponibles).

Los registros de auditoría aparecen en el Explorador de registros.

También puedes usar la interfaz de filtro avanzado del Explorador de registros para especificar el tipo de recurso y el nombre de registro. Para obtener más información, consulta Recupera registros de auditoría.

Exporta tus registros de auditoría

Puedes exportar copias de algunos o todos tus registros a otras aplicaciones, repositorios o terceros. Para exportar tus registros, consulta Exporta registros.

Una organización es capaz de crear un receptor agregado que pueda exportar entradas de registro de todos los proyectos, carpetas y cuentas de facturación de la organización. Como cualquier receptor, tu receptor agregado posee un filtro que selecciona entradas de registro individuales. Para agregar y exportar tus registros de auditoría, consulta Receptores agregados.

Para leer las entradas de registro a través de la API, consulta entries.list. Para leer tus entradas de registro mediante el SDK, consulta Lee entradas de registro.

Próximos pasos