En esta página, se describen los registros de auditoría creados para la actividad de Google Cloud Deploy.
Resumen de registro de auditoría
Los servicios de Google Cloud escriben registros de auditoría para ayudarte a responder las preguntas “¿quién hizo qué, dónde y cuándo?” en tus proyectos y organizaciones de Google Cloud.
En Google Cloud Deploy, solo se registra la actividad del administrador con fines de auditoría. Esta información de auditoría se proporciona de forma predeterminada. La actividad del administrador consiste en operaciones que modifican la configuración o los metadatos de un recurso de Google Cloud Deploy. Cualquier llamada a la API que crea, actualiza o borra un recurso de Google Cloud Deploy no se incluye en el registro de administrador.
Para obtener más información, consulta Registros de auditoría de Cloud.
Operaciones auditadas
A continuación, se muestra una lista de las operaciones de Google Cloud Deploy que se registran para realizar la auditoría:
projects.locations.deliveryPipelines.create
projects.locations.deliveryPipelines.delete
projects.locations.deliveryPipelines.setIamPolicy
projects.locations.deliveryPipelines.update
projects.locations.deliveryPipelines.releases.create
projects.locations.deliveryPipelines.releases.rollouts.create
projects.locations.deliveryPipelines.releases.rollouts.approve
projects.locations.deliveryPipelines.releases.rollouts.retryJob
projects.locations.targets.create
projects.locations.targets.delete
projects.locations.targets.setIamPolicy
projects.locations.targets.update
A diferencia de los registros de auditoría para otros servicios, Google Cloud Deploy solo tiene registros de acceso a datos ADMIN_READ
y ADMIN_WRITE
y no ofrece registros DATA_READ
ni DATA_WRITE
. Los registros DATA_READ
y DATA_WRITE
solo se usan para servicios que almacenan y administran datos del usuario, y Google Cloud Deploy considera que sus recursos son información administrativa de configuración.
Permisos para acceder a los registros
Los siguientes usuarios pueden ver los registros de actividad de administrador:
- Propietarios, editores y lectores del proyecto
- Usuarios con el rol de IAM de Visor de registros
- Usuarios con el permiso de IAM
logging.logEntries.list
Consulta los roles y los permisos para obtener más información.
Formato del registro de auditoría
Las entradas de registros de auditoría tienen la siguiente estructura:
- Un objeto de tipo
LogEntry
que contiene la entrada de registro completa. - Un objeto de tipo
AuditLog
que se conserva en el campoprotoPayload
del objetoLogEntry
.
Saber qué información se guarda en estos objetos te ayuda a comprender y recuperar tus entradas de registro de auditoría con el Explorador de registros y la API de Cloud Logging.
Todas las entradas de registro de auditoría contienen el nombre de un registro de auditoría, un recurso y un servicio:
logName: este campo indica si el registro es una actividad de administrador o un registro de auditoría de acceso a datos. En Google Cloud Deploy, solo se trata de la actividad del administrador. Por ejemplo:
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activity
Dentro de un proyecto o de una organización, estos nombres de registro tienen el sufijo abreviado
activity
.serviceName: Para Google Cloud Deploy, el campo contiene
clouddeploy.googleapis.com
.Los tipos de recursos pertenecen a un solo servicio, pero un servicio puede tener varios tipos de recursos. Si deseas ver una lista de servicios y recursos, consulta Asigna servicios a recursos.
Para obtener más detalles, consulta Tipos de datos de los registros de auditoría.
Habilita registros
Los registros de actividad de administrador se habilitan y registran de forma predeterminada. Estos registros no cuentan para la cuota de transferencia de registros. De forma predeterminada, los registros de acceso a los datos no se registran, pero puedes configurarlos para que se registren.
Cuotas y límites
Para obtener información sobre las limitaciones de Logging, consulta Cuotas y límites.
Visualiza los registros
Para ver un resumen de tu actividad de administrador, haz lo siguiente:
Abre la Actividad en la nube de Google:
Si quieres seleccionar y filtrar tus registros para verlos en detalle, haz lo siguiente:
Abre la página Explorador de registros:
En el Explorador de registros, selecciona el Recurso cuyos registros de auditoría deseas ver.
En el menú desplegable Nombre del registro, selecciona el nombre del registro que deseas ver.
Selecciona Actividad para los registros de auditoría de actividad del administrador y data_access para los registros de auditoría de acceso a los datos (si los registros están disponibles).
Los registros de auditoría se muestran en el Explorador de registros.
También puedes usar la interfaz de filtro avanzado del Explorador de registros para especificar el tipo de recurso y el nombre de registro. Para obtener más información, consulta Recupera registros de auditoría.
Exporta tus registros de auditoría
Puedes exportar copias de algunos o todos tus registros a otras aplicaciones, repositorios o terceros. Para exportar tus registros, consulta Exporta registros.
Una organización es capaz de crear un receptor agregado que pueda exportar entradas de registro de todos los proyectos, carpetas y cuentas de facturación de la organización. Como cualquier receptor, tu receptor agregado posee un filtro que selecciona entradas de registro individuales. Para agregar y exportar tus registros de auditoría, consulta Receptores agregados.
Para leer las entradas de registro a través de la API, consulta entries.list. Para leer tus entradas de registro mediante el SDK, consulta Lee entradas de registro.
¿Qué sigue?
- Lee la página Explorador de registros para obtener instrucciones sobre cómo filtrar registros.
- Lee Configura y administra receptores para obtener instrucciones sobre cómo exportar registros.