Habilitación de Cloud Audit Logging

En esta página, se describe cómo habilitar Cloud Audit Logging para Cloud Identity-Aware Proxy (Cloud IAP).

Antes de comenzar

Antes de comenzar, necesitarás lo siguiente:

  • Una aplicación de App Engine o Compute Engine con la función Cloud IAP habilitada para la cual desees habilitar Cloud Audit Logging.
  • Una versión actualizada del SDK de Cloud. Obtén el SDK de Cloud.

Habilitación de Cloud Audit Logging con el SDK de Cloud

Si deseas habilitar Cloud Audit Logging para todos los recursos de Cloud IAP en un determinado proyecto, sigue los pasos que se describen a continuación:

  1. Descarga la configuración de la política de Cloud Identity and Access Management (Cloud IAM) para el proyecto. Para ello, ejecuta el siguiente comando de la línea de comandos de gcloud:
    gcloud projects get-iam-policy PROJECT_ID > policy.yaml
  2. Edita el archivo policy.yaml que descargaste para agregar una nueva sección auditConfigs como se muestra a continuación. Asegúrate de no cambiar ninguno de los valores etag.
    auditConfigs:
    - auditLogConfigs:
      - logType: ADMIN_READ
      - logType: DATA_READ
      - logType: DATA_WRITE
      service: allServices
    
  3. Actualiza la configuración de la política de Cloud IAM con el archivo .yaml modificado mediante la ejecución del siguiente comando de la línea de comandos de gcloud:
    gcloud projects set-iam-policy PROJECT_ID policy.yaml

Todas las solicitudes para acceder a los recursos del proyecto generarán registros de auditoría.

Ver los registros de Cloud Audit Logging

Para ver los registros de Cloud Audit Logging, sigue los pasos que se indican a continuación:

  1. Ve a la página de registros de tu proyecto en GCP Console.
    Ir a la página de registros
  2. En la lista desplegable del selector de recursos, selecciona un recurso. Los recursos protegidos por Cloud IAP incluyen la Aplicación de GAE y el Servicio de backend de GCE.
  3. En la lista desplegable tipo de registros, selecciona data_access.
    1. El tipo de registro data_access solo aparece si se registró tráfico hacia tu recurso después de que habilitaras Cloud Audit Logging para Cloud IAP.
  4. Haz clic para ampliar la fecha y la hora del acceso que deseas revisar.
    1. El acceso autorizado tiene un ícono i de color azul.
    2. El acceso no autorizado tiene un ícono !! de color naranja.

A continuación, se presentan detalles importantes sobre los campos de registro:

Campo Valor
authenticationInfo El correo electrónico del usuario que intentó acceder al recurso como principalEmail.
requestMetadata.callerIp La dirección IP desde la que se originó la solicitud.
requestMetadata.requestAttributes El método de solicitud y la URL.
authorizationInfo.resource El recurso al que se accede.
authorizationInfo.granted Un dato booleano que representa si Cloud IAP permitió o no el acceso solicitado.

¿Qué sigue?

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Documentación de Identity-Aware Proxy