Usa Cloud Audit Logging con Cloud Build

En esta página, se describen los registros de auditoría creados por Cloud Build.

Resumen de registro de auditoría

Los servicios de Google Cloud Platform escriben registros de auditoría para ayudarte a saber “¿Quién hizo qué, dónde y cómo?” en tus proyectos y organizaciones de Google Cloud Platform.

La información auditada se divide en las siguientes categorías de información:

  • Actividad de administrador: operaciones que modifican la configuración o los metadatos de un recurso de Cloud Build. Cualquier llamada a la API que crea o cancela una compilación, y crea, borra, habilita, inhabilita o actualiza un activador entra en esta categoría. Esta información de auditoría se proporciona de forma predeterminada.

  • Acceso a los datos (ADMIN_READ): operaciones que leen la configuración o los metadatos de un proyecto, compilación o activador. Esta información de auditoría no se proporciona de forma predeterminada.

  • Acceso a los datos (DATA_READ): operaciones que leen datos proporcionados por el usuario de un recurso. Esta información de auditoría no se proporciona de forma predeterminada.

  • Acceso a los datos (DATA_WRITE): operaciones que escriben datos proporcionados por el usuario en un recurso. Esta información de auditoría no se proporciona de forma predeterminada.

Para obtener más información, consulta Cloud Audit Logging.

Operaciones auditadas

En la siguiente tabla, se describe cuáles son las operaciones de la API de Cloud Build que se enumeran en cada categoría del registro de auditoría:

Categoría de registros de auditoría Operaciones de Cloud Build
Actividad del administrador
  • projects.builds.create
  • projects.builds.cancel
  • projects.triggers.create
  • projects.triggers.delete
  • projects.triggers.update
  • Ejecutar activadores mediante el botón Ejecuta activador en Google Cloud Platform Console
  • Crear y actualizar políticas de IAM
Acceso a los datos (ADMIN_READ)
  • projects.builds.get
  • projects.builds.list
  • projects.triggers.list
  • projects.triggers.get
  • Obtener políticas de IAM
Acceso a los datos (DATA_READ) Ninguno
Acceso a los datos (DATA_WRITE) Ninguno

A diferencia de los registros de auditoría para otros servicios, Cloud Build solo tiene registros de acceso a datos ADMIN_READ y no ofrece registros DATA_READ ni DATA_WRITE. Esto se debe a que los registros DATA_READ y DATA_WRITE solo se usan para los servicios que almacenan y administran datos de usuario, y Cloud Build considera que las compilaciones y los activadores son información de configuración administrativa.

Permisos para acceder a los registros

Los siguientes usuarios pueden ver los registros de actividad de administrador:

Los siguientes usuarios pueden ver los registros de acceso a datos:

  • Propietarios del proyecto
  • Usuarios con la función de IAM de Visor de registros privados
  • Usuarios con el permiso de IAM logging.privateLogEntries.list

Para obtener instrucciones sobre cómo otorgar permisos de IAM, consulta Configura el control de acceso.

Formato de registro de auditoría

Las entradas del registro de auditoría tienen la siguiente estructura:

  • Un objeto de tipo LogEntry que contiene la entrada de registro completa
  • Un objeto de tipo AuditLog que se guarda en el campo protoPayload del objeto LogEntry

Saber qué información se guarda en estos objetos te ayudará a comprender y recuperar tus entradas de registro de auditoría con el visor de registros y la API de Stackdriver Logging.

Todas las entradas de registro de auditoría contienen el nombre de un registro de auditoría, un recurso y un servicio:

  • logName: este campo indicará si el registro de auditoría es de actividad de administrador o de acceso a datos. Por ejemplo:

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    

    Dentro de un proyecto o una organización, estos nombres de registro tienen a activity o data_access abreviado como sufijo.

  • Tipo de recurso supervisado:

    • build: incluye el proyecto, la compilación y el activador de compilación para la operación auditada.
  • serviceName: para Cloud Build, el campo contendrá cloudbuild.googleapis.com.

    Los tipos de recursos pertenecen a un solo servicio, pero un servicio puede tener varios tipos de recursos. Si deseas obtener una lista de servicios y recursos, consulta Asigna servicios a recursos.

Para obtener más detalles, consulta Tipos de datos de los registros de auditoría.

Habilita registros

Los registros de actividad de administrador se habilitan y registran de forma predeterminada. Estos registros no se consideran en la cuota de transferencia de registros.

Los registros de acceso a datos para las operaciones de Cloud Build no se registran de forma predeterminada. Puedes configurar los registros de auditoría de acceso a datos en tu proyecto o tu organización. Si quieres obtener información sobre cómo habilitar los registros para las operaciones de acceso a datos, consulta Configura registros de acceso a datos.

Cuotas y límites

Los registros de actividad de administrador no se consideran en la cuota de transferencia de registros.

Las operaciones de acceso a datos comprenden un volumen alto y se consideran en la cuota de transferencia de registros.

Para obtener más información, consulta Cuotas y límites.

Cómo ver registros

Para ver un resumen de tu actividad de administrador, haz lo siguiente:

Si quieres seleccionar y filtrar tus registros para verlos en detalle, haz lo siguiente:

  1. Abre la página Visor de registros:

    Ir a la página Visor de registros

  2. En el primer menú desplegable, selecciona un recurso para ver sus registros de auditoría. Selecciona un proyecto específico o “todos los proyectos”.

  3. En el segundo menú, selecciona el nombre del registro que quieres ver: activity para los registros de auditoría de actividad de administrador y data_access para los de acceso a datos (si los registros están disponibles).

Los registros de auditoría aparecen en el Visor de registros.

También puedes usar la interfaz de filtro avanzado del Visor de registros para especificar el tipo de recurso y el nombre de registro. Para obtener más información, consulta Recupera registros de auditoría.

Exporta tus registros de auditoría

Puedes exportar copias de algunos o todos tus registros a otras aplicaciones, repositorios o terceros. Para exportar tus registros, consulta Exporta registros.

Una organización es capaz de crear un receptor de exportación agregado que pueda exportar entradas de registro de todos los proyectos, carpetas y cuentas de facturación de la organización. Como cualquier receptor, tu receptor de exportación agregado posee un filtro que selecciona entradas de registro individuales. Para agregar y exportar tus registros de auditoría, consulta Selecciona registros de auditoría.

Para leer tus entradas de registro a través de la API, consulta entries.list. Para leer tus entradas de registro mediante el SDK, consulta Lee entradas de registro.

Próximos pasos

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…