En la siguiente página, se describe cómo habilitar Cloud Audit Logging para tus recursos protegidos con Identity-Aware Proxy (IAP). Habilitar Cloud Audit Logging te permite ver una solicitud y todos los niveles de acceso que un usuario tiene y no ha cumplido.
Cloud Audit Logging nunca generará registros para recursos públicos.
El registro de auditoría para usuarios autenticados con un ID externo no está disponible.
Antes de comenzar
Antes de comenzar, necesitas lo siguiente:
- Una aplicación web con IAP habilitado o una máquina virtual a la que se accede a través de IAP para TCP.
- Una versión actualizada del SDK de Google Cloud. Obtén el SDK de Google Cloud.
Habilitación de Registros de auditoría de Cloud con el SDK de Google Cloud
Si habilitas Cloud Audit Logging para tu proyecto protegido con IAP, podrás ver las solicitudes de acceso autorizadas y no autorizadas. Sigue los pasos que aparecen a continuación para ver las solicitudes y todos los niveles de acceso con que cumple un solicitante:
-
Descarga la configuración de la política de Identity and Access Management (IAM) para el
proyecto ejecutando el siguiente comando de la línea de comandos de gcloud:
gcloud projects get-iam-policy PROJECT_ID > policy.yaml
-
Para editar el archivo
policy.yaml
que descargaste, agrega una secciónauditConfigs
como se indica a continuación. Asegúrate de no cambiar ninguno de los valores etag.auditConfigs: - auditLogConfigs: - logType: ADMIN_READ - logType: DATA_READ - logType: DATA_WRITE service: iap.googleapis.com
-
Para actualizar la configuración de la política de IAM con el archivo
.yaml
modificado, ejecuta el siguiente comando de línea de comandos de gcloud:gcloud projects set-iam-policy PROJECT_ID policy.yaml
Todas las solicitudes para acceder a los recursos del proyecto generarán registros de auditoría.
Habilita los Registros de auditoría de Cloud con la consola
En la consola de Google Cloud, selecciona IAM y administración > Registros de auditoría:
En Filtro, ingresa Identity-Aware Proxy.
Selecciona API de Cloud Identity-Aware Proxy y, luego, selecciona o anula la selección de los registros que deseas habilitar o inhabilitar.
Visualizar registros de auditoría de Cloud
Para ver los registros de Cloud Audit Logging, sigue el proceso que se indica a continuación:
- Ve a la página de registros de la consola de Google Cloud de tu proyecto.
Ir a la página Registros - En la lista desplegable del selector de recursos, selecciona un recurso. Los recursos protegidos con IAP se encuentran en la Aplicación GAE, el Servicio de backend de GCE y la Instancia de VM.
- En la lista desplegable Nombre del registro, selecciona data_access.
- El nombre de registro data_access solo aparece si se registró tráfico hacia tu recurso después de habilitar Registros de auditoría de Cloud para IAP.
- Haz clic para ampliar la fecha y la hora del acceso que deseas revisar.
- El acceso autorizado tiene un ícono
i
de color azul. - El acceso no autorizado tiene un ícono
!!
de color naranja.
- El acceso autorizado tiene un ícono
Los registros solo contienen información sobre los niveles de acceso que un usuario cumplió. Los niveles de acceso que bloquearon una solicitud no autorizada no se incluyen en la entrada del registro. Para determinar qué condiciones son necesarias a fin de realizar una solicitud correcta para un recurso determinado, comprueba los niveles de acceso del recurso.
A continuación, se presentan detalles importantes sobre los campos de registro:
Campo | Valor |
---|---|
authenticationInfo |
El correo electrónico del usuario que intentó acceder al recurso como principalEmail Esta información no está presente en los registros de solicitudes no autenticadas. |
requestMetadata.callerIp |
La dirección IP desde la que se originó la solicitud |
requestMetadata.requestAttributes |
El método de solicitud y la URL. |
authorizationInfo.resource |
El recurso al que se accede |
authorizationInfo.granted |
Un valor booleano que representa si el IAP permitió el acceso solicitado |
Ten en cuenta que UpdateIapSettings
y ValidateIapAttributeExpression
se clasifican como registro data_access y aparecen solo después de habilitar los registros de auditoría de Cloud para tu proyecto.
¿Qué sigue?
- Obtén más información sobre Cloud Audit Logs.