En esta página, se describen los registros de auditoría creados para la actividad de Cloud Deploy.
Resumen de registro de auditoría
Los servicios de Google Cloud escriben registros de auditoría para ayudarte a responder las preguntas “¿quién hizo qué, dónde y cuándo?” en tus proyectos y organizaciones de Google Cloud.
En Cloud Deploy, solo se registra la actividad del administrador con fines de auditoría. Esta información de auditoría se proporciona de forma predeterminada. La actividad del administrador consta de operaciones que modifican la configuración o los metadatos de un recurso de Cloud Deploy. Las llamadas a la API que crean, actualizan o borran un recurso de Cloud Deploy no se incluyen en el registro del administrador.
Para obtener más información, consulta Registros de auditoría de Cloud.
Operaciones auditadas
La siguiente es una lista de las operaciones de Cloud Deploy que se registran para la auditoría:
projects.locations.customTargetTypes.createprojects.locations.customTargetTypes.deleteprojects.locations.customTargetTypes.updateprojects.locations.deliveryPipelines.createprojects.locations.deliveryPipelines.deleteprojects.locations.deliveryPipelines.setIamPolicyprojects.locations.deliveryPipelines.updateprojects.locations.deliveryPipelines.automation.createprojects.locations.deliveryPipelines.automation.deleteprojects.locations.deliveryPipelines.automation.setIamPolicyprojects.locations.deliveryPipelines.automation.updateprojects.locations.deliveryPipelines.automationRuns.cancelprojects.locations.deliveryPipelines.releases.createprojects.locations.deliveryPipelines.releases.rollouts.advanceprojects.locations.deliveryPipelines.releases.rollouts.approveprojects.locations.deliveryPipelines.releases.rollouts.cancelprojects.locations.deliveryPipelines.releases.rollouts.createprojects.locations.deliveryPipelines.releases.rollouts.ignoreJobprojects.locations.deliveryPipelines.releases.rollouts.jobRuns.terminateprojects.locations.deliveryPipelines.releases.rollouts.retryJobprojects.locations.targets.createprojects.locations.targets.deleteprojects.locations.targets.setIamPolicyprojects.locations.targets.update
A diferencia de los registros de auditoría para otros servicios, Cloud Deploy solo tiene registros de acceso a los datos ADMIN_READ y ADMIN_WRITE, y no ofrece registros DATA_READ ni DATA_WRITE. Los registros DATA_READ y DATA_WRITE solo se usan para servicios que almacenan y administran datos del usuario, y Cloud Deploy considera que sus recursos son información de configuración administrativa.
Permisos para acceder a los registros
Los siguientes usuarios pueden ver los registros de actividad de administrador:
- Propietarios, editores y lectores del proyecto
- Usuarios con el rol de IAM de Visor de registros
- Usuarios con el permiso de IAM
logging.logEntries.list
Consulta los roles y los permisos para obtener más información.
Formato del registro de auditoría
Las entradas de registros de auditoría tienen la siguiente estructura:
- Un objeto de tipo
LogEntryque contiene la entrada de registro completa. - Un objeto de tipo
AuditLogque se conserva en el campoprotoPayloaddel objetoLogEntry.
Saber qué información se conserva en estos objetos te ayuda a comprender y recuperar las entradas de registro de auditoría con el Explorador de registros y la API de Cloud Logging.
Todas las entradas de registro de auditoría contienen el nombre de un registro de auditoría, un recurso y un servicio:
logName: Este campo indica si el registro de auditoría es de actividad del administrador o de acceso a los datos. En Cloud Deploy, estas son solo actividades del administrador. Por ejemplo:
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activityDentro de un proyecto o de una organización, estos nombres de registro tienen el sufijo abreviado
activity.serviceName: En Cloud Deploy, el campo contiene
clouddeploy.googleapis.com.Los tipos de recursos pertenecen a un solo servicio, pero un servicio puede tener varios tipos de recursos. Si deseas ver una lista de servicios y recursos, consulta Asigna servicios a recursos.
Para obtener más detalles, consulta Tipos de datos de los registros de auditoría.
Habilita registros
Los registros de actividad de administrador se habilitan y registran de forma predeterminada. Estos registros no son parte de la cuota de transferencia de registros. Según la configuración predeterminada, no se guardan los registros de acceso a los datos, pero puedes configurarlos para que lo hagan.
Cuotas y límites
Para obtener información sobre las limitaciones de Logging, consulta Cuotas y límites.
Visualiza los registros
Para ver un resumen de tu actividad de administrador, haz lo siguiente:
Abre Actividad de Google Cloud:
Si quieres seleccionar y filtrar tus registros para verlos en detalle, haz lo siguiente:
Abre la página Explorador de registros:
En el Explorador de registros, selecciona el Recurso cuyos registros de auditoría quieres ver.
En el menú desplegable Nombre del registro, selecciona el nombre del registro que deseas ver.
Selecciona Actividad para los registros de auditoría de actividad del administrador y data_access para los registros de auditoría de acceso a los datos (si los registros están disponibles).
Los registros de auditoría se muestran en el Explorador de registros.
También puedes usar la interfaz de filtro avanzado del Explorador de registros para especificar el tipo de recurso y el nombre de registro. Para obtener más información, consulta Recupera registros de auditoría.
Exporta tus registros de auditoría
Puedes exportar copias de algunos o todos tus registros a otras aplicaciones, repositorios o terceros. Para exportar tus registros, consulta Exporta registros.
Una organización es capaz de crear un receptor agregado que pueda exportar entradas de registro de todos los proyectos, carpetas y cuentas de facturación de la organización. Como cualquier receptor, tu receptor agregado posee un filtro que selecciona entradas de registro individuales. Para agregar y exportar tus registros de auditoría, consulta Receptores agregados.
Para leer las entradas de registro a través de la API, consulta entries.list. Para leer tus entradas de registro mediante el SDK, consulta Lee entradas de registro.
¿Qué sigue?
- Consulta la página Explorador de registros si quieres obtener instrucciones para filtrar registros.
- Lee la página Configura y administra los receptores para obtener instrucciones sobre cómo exportar registros.