Habilita Cloud Audit Logging

En la siguiente página, se describe cómo habilitar Cloud Audit Logging para tus recursos protegidos con Identity-Aware Proxy (IAP). Habilitar Cloud Audit Logging te permite ver una solicitud y todos los niveles de acceso que un usuario tiene y no ha cumplido.

Cloud Audit Logging nunca generará registros para recursos públicos.

El registro de auditoría para usuarios autenticados con un ID externo no está disponible.

Antes de comenzar

Antes de comenzar, necesitas lo siguiente:

• Una aplicación web con IAP habilitado o una máquina virtual a la que se accede a través de IAP para TCP.
• Una versión actualizada del SDK de Google Cloud. Obtén el SDK de Google Cloud.

Habilitación de Registros de auditoría de Cloud con el SDK de Google Cloud

Si habilitas Cloud Audit Logging para tu proyecto protegido con IAP, podrás ver las solicitudes de acceso autorizadas y no autorizadas. Sigue los pasos que aparecen a continuación para ver las solicitudes y todos los niveles de acceso con que cumple un solicitante:

1. Descarga la configuración de la política de Identity and Access Management (IAM) para el proyecto ejecutando el siguiente comando de la línea de comandos de gcloud:

   gcloud projects get-iam-policy PROJECT_ID > policy.yaml

2. Para editar el archivo policy.yaml que descargaste, agrega una sección auditConfigs como se indica a continuación. Asegúrate de no cambiar ninguno de los valores etag.

   auditConfigs:
   - auditLogConfigs:
     - logType: ADMIN_READ
     - logType: DATA_READ
     - logType: DATA_WRITE
     service: iap.googleapis.com
   

3. Para actualizar la configuración de la política de IAM con el archivo .yaml modificado, ejecuta el siguiente comando de línea de comandos de gcloud:

   gcloud projects set-iam-policy PROJECT_ID policy.yaml

Todas las solicitudes para acceder a los recursos del proyecto generarán registros de auditoría.

Habilita los Registros de auditoría de Cloud con la consola

1. En la consola de Google Cloud, selecciona IAM y administración > Registros de auditoría:

   Ir a Registros de auditoría

2. En Filtro, ingresa Identity-Aware Proxy.

3. Selecciona API de Cloud Identity-Aware Proxy y, luego, selecciona o anula la selección de los registros que deseas habilitar o inhabilitar.

Visualizar registros de auditoría de Cloud

Para ver los registros de Cloud Audit Logging, sigue el proceso que se indica a continuación:

1. Ve a la página de registros de la consola de Google Cloud de tu proyecto.
   Ir a la página Registros
2. En la lista desplegable del selector de recursos, selecciona un recurso. Los recursos protegidos con IAP se encuentran en la Aplicación GAE, el Servicio de backend de GCE y la Instancia de VM.
3. En la lista desplegable Nombre del registro, selecciona data_access.
   1. El nombre de registro data_access solo aparece si se registró tráfico hacia tu recurso después de habilitar Registros de auditoría de Cloud para IAP.
4. Haz clic para ampliar la fecha y la hora del acceso que deseas revisar.
   1. El acceso autorizado tiene un ícono i de color azul.
   2. El acceso no autorizado tiene un ícono !! de color naranja.

Los registros solo contienen información sobre los niveles de acceso que un usuario cumplió. Los niveles de acceso que bloquearon una solicitud no autorizada no se incluyen en la entrada del registro. Para determinar qué condiciones son necesarias a fin de realizar una solicitud correcta para un recurso determinado, comprueba los niveles de acceso del recurso.

A continuación, se presentan detalles importantes sobre los campos de registro:

Campo	Valor
authenticationInfo	El correo electrónico del usuario que intentó acceder al recurso como principalEmail Esta información no está presente en los registros de solicitudes no autenticadas.
requestMetadata.callerIp	La dirección IP desde la que se originó la solicitud
requestMetadata.requestAttributes	El método de solicitud y la URL.
authorizationInfo.resource	El recurso al que se accede
authorizationInfo.granted	Un valor booleano que representa si el IAP permitió el acceso solicitado

Ten en cuenta que UpdateIapSettings y ValidateIapAttributeExpression se clasifican como registro data_access y aparecen solo después de habilitar los registros de auditoría de Cloud para tu proyecto.

¿Qué sigue?

• Obtén más información sobre Cloud Audit Logs.