En este documento se describe el registro de auditoría de la autoridad de certificación pública. Google Cloud Los servicios generan registros de auditoría que registran las actividades administrativas y de acceso en tus recursos de Google Cloud . Para obtener más información sobre los registros de auditoría de Cloud, consulta los siguientes artículos:
- Tipos de registros de auditoría
- Estructura de las entradas del registro de auditoría
- Almacenar y enrutar registros de auditoría
- Resumen de precios de Cloud Logging
- Habilitar registros de auditoría de acceso a datos
Nombre del servicio
Los registros de auditoría de la autoridad de certificación pública usan el nombre de servicio publicca.googleapis.com.
Filtrar por este servicio:
protoPayload.serviceName="publicca.googleapis.com"
Métodos por tipo de permiso
Cada permiso de gestión de identidades y accesos tiene una propiedad type, cuyo valor es una enumeración que puede ser uno de estos cuatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ o DATA_WRITE. Cuando llamas a un método, la autoridad de certificación pública genera un registro de auditoría cuya categoría depende de la propiedad type del permiso necesario para ejecutar el método.
Los métodos que requieren un permiso de gestión de identidades y accesos con el valor de propiedad type de DATA_READ, DATA_WRITE o ADMIN_READ generan registros de auditoría de acceso a datos.
Los métodos que requieren un permiso de gestión de identidades y accesos con el valor de la propiedad typeADMIN_WRITE generan registros de auditoría de actividad de administrador.
| Tipo de permiso | Métodos |
|---|---|
DATA_WRITE |
google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKeygoogle.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKeygoogle.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey |
Registros de auditoría de la interfaz de la API
Para obtener información sobre cómo y qué permisos se evalúan en cada método, consulta la documentación de gestión de identidades y accesos de la autoridad de certificación pública.
google.cloud.security.publicca.v1.PublicCertificateAuthorityService
Los siguientes registros de auditoría están asociados a métodos que pertenecen a google.cloud.security.publicca.v1.PublicCertificateAuthorityService.
CreateExternalAccountKey
- Método:
google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKey - Tipo de registro de auditoría: Acceso a datos
- Permisos:
publicca.externalAccountKeys.create - DATA_WRITE
- El método es una operación de larga duración o de streaming:
No.
- Filtrar por este método:
protoPayload.methodName="google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKey"
google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService
Los siguientes registros de auditoría están asociados a métodos que pertenecen a google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.
CreateExternalAccountKey
- Método:
google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKey - Tipo de registro de auditoría: Acceso a datos
- Permisos:
publicca.externalAccountKeys.create - DATA_WRITE
- El método es una operación de larga duración o de streaming:
No.
- Filtrar por este método:
protoPayload.methodName="google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKey"
google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService
Los siguientes registros de auditoría están asociados a métodos que pertenecen a google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.
CreateExternalAccountKey
- Método:
google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey - Tipo de registro de auditoría: Acceso a datos
- Permisos:
publicca.externalAccountKeys.create - DATA_WRITE
- El método es una operación de larga duración o de streaming:
No.
- Filtrar por este método:
protoPayload.methodName="google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey"
Registros de auditoría disponibles
Los siguientes tipos de registros de auditoría están disponibles para la autoridad de certificación pública:
-
Registros de auditoría de acceso a los datos
Incluye la opción "Escritura de datos", que escribe los datos proporcionados por el usuario.
Para recibir registros de auditoría de acceso a datos, debe habilitarlos explícitamente.
Para obtener descripciones más detalladas de los tipos de registros de auditoría, consulta Tipos de registros de auditoría.
Formato del registro de auditoría
Las entradas de los registros de auditoría incluyen los siguientes objetos:
La entrada de registro en sí, que es un objeto de tipo
LogEntry. Entre los campos útiles se incluyen los siguientes:- El
logNamecontiene el ID del recurso y el tipo de registro de auditoría. - El
resourcecontiene el objetivo de la operación auditada. - El
timeStampcontiene la hora de la operación auditada. - El
protoPayloadcontiene la información auditada.
- El
Los datos de registro de auditoría, que son un objeto
AuditLogque se encuentra en el campoprotoPayloadde la entrada de registro.Información de auditoría específica del servicio opcional, que es un objeto específico del servicio. En las integraciones anteriores, este objeto se encuentra en el campo
serviceDatadel objetoAuditLog. En las integraciones posteriores, se usa el campometadata.
Si quieres ver otros campos de estos objetos y cómo interpretarlos, consulta el artículo Interpretar los registros de auditoría.
Nombre del registro
Los nombres de los registros de auditoría de Cloud incluyen identificadores de recursos que indican elGoogle Cloud proyecto u otra Google Cloud entidad propietaria de los registros de auditoría, así como si el registro contiene datos de registro de auditoría de actividad de administración, acceso a datos, denegación de políticas o eventos del sistema.
A continuación se indican los nombres de los registros de auditoría, incluidas las variables de los identificadores de recursos:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
Habilitar el registro de auditoría
Los registros de auditoría de actividad de administración están siempre habilitados y no se pueden inhabilitar.
Los registros de auditoría de acceso a datos están inhabilitados de forma predeterminada y no se escriben a menos que se habiliten explícitamente (a excepción de los registros de auditoría de acceso a datos de BigQuery, que no se pueden inhabilitar).
Para obtener información sobre cómo habilitar algunos registros de auditoría de acceso a datos o todos ellos, consulta el artículo sobre cómo habilitar registros de auditoría de acceso a datos.
Ver registros de auditoría
Puedes consultar todos los registros de auditoría o buscar registros por su nombre de registro de auditoría. El nombre del registro de auditoría incluye el identificador de recurso del Google Cloud proyecto, la carpeta, la cuenta de facturación o la organización de los que quieras ver la información del registro de auditoría.
En las consultas se pueden especificar campos LogEntry indexados. Si usa la página Analíticas de registros, que admite consultas de SQL, puede ver los resultados de las consultas en un gráfico.
Para obtener más información sobre cómo consultar tus registros, consulta las siguientes páginas:
- Crear consultas en el Explorador de registros
- Consultar y ver registros en Analíticas de registros
- Consultas de ejemplo para obtener información valiosa sobre seguridad
Puedes ver los registros de auditoría en Cloud Logging mediante laGoogle Cloud consola, la CLI de Google Cloud o la API Logging.
Consola
En la Google Cloud consola, puedes usar el Explorador de registros para obtener las entradas del registro de auditoría de tu Google Cloud proyecto, carpeta u organización:
-
En la Google Cloud consola, ve a la página Explorador de registros:
Ve al Explorador de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
Selecciona un proyecto, una carpeta o una organización Google Cloud .
Para mostrar todos los registros de auditoría, introduce una de las siguientes consultas en el campo del editor de consultas y haz clic en Ejecutar consulta:
logName:"cloudaudit.googleapis.com"
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
Para mostrar los registros de auditoría de un recurso y un tipo de registro de auditoría específicos, haz lo siguiente en el panel Generador de consultas:
En Tipo de recurso, selecciona el Google Cloud recurso cuyos registros de auditoría quieras ver.
En Nombre del registro, selecciona el tipo de registro de auditoría que quieras ver:
- En el caso de los registros de auditoría de actividad de administración, selecciona activity.
- En el caso de los registros de auditoría de acceso a datos, selecciona data_access.
- En el caso de los registros de auditoría de los eventos del sistema, selecciona system_event.
- En Registros de auditoría de denegación de acceso por infracción de las políticas, selecciona policy.
Haz clic en Realizar una consulta.
Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en el proyecto, la carpeta o la organización. Google Cloud
Si tienes problemas para ver los registros en el Explorador de registros, consulta la información sobre solución de problemas.
Para obtener más información sobre cómo hacer consultas con el Explorador de registros, consulta el artículo Crear consultas en el Explorador de registros. Para obtener información sobre cómo resumir entradas de registro en el Explorador de registros con Gemini, consulta el artículo Resumir entradas de registro con la ayuda de Gemini.
gcloud
La CLI de Google Cloud proporciona una interfaz de línea de comandos a la API Logging. Indica un identificador de recurso válido en cada uno de los nombres de registro. Por ejemplo, si tu consulta incluye un PROJECT_ID, el identificador de proyecto que proporciones debe hacer referencia al proyectoGoogle Cloud seleccionado.
Para leer las entradas del registro de auditoría a nivel de proyecto de Google Cloud , ejecuta el siguiente comando:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
--project=PROJECT_ID
Para leer las entradas del registro de auditoría a nivel de carpeta, ejecuta el siguiente comando:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
--folder=FOLDER_ID
Para leer las entradas del registro de auditoría a nivel de organización, ejecuta el siguiente comando:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
--organization=ORGANIZATION_ID
Para leer las entradas del registro de auditoría a nivel de cuenta de Facturación de Cloud, ejecuta el siguiente comando:
gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
--billing-account=BILLING_ACCOUNT_ID
Añade la marca --freshness
al comando para leer los registros que tengan más de un día.
Para obtener más información sobre el uso de la herramienta de línea de comandos gcloud, consulta gcloud logging read.
API
Cuando cree sus consultas, proporcione un identificador de recurso válido en cada uno de los nombres de registro. Por ejemplo, si tu consulta incluye un PROJECT_ID, el identificador de proyecto que proporciones debe hacer referencia al proyectoGoogle Cloud seleccionado.
Por ejemplo, para usar la API Logging y ver las entradas de registro de auditoría de tu proyecto, haz lo siguiente:
Ve a la sección Probar esta API de la documentación del método
entries.list.Incluye lo siguiente en la parte Cuerpo de la solicitud del formulario Probar esta API. Si haces clic en este formulario rellenado automáticamente, se rellenará automáticamente el cuerpo de la solicitud, pero debes proporcionar un PROJECT_ID válido en cada uno de los nombres de registro.
{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }Haz clic en la opción para ejecutar.