Habilita Cloud Audit Logging

En la siguiente página, se describe cómo habilitar Cloud Audit Logging para tus recursos protegidos con Identity-Aware Proxy (IAP). Habilitar Cloud Audit Logging te permite ver una solicitud y todos los niveles de acceso que un usuario tiene y no ha cumplido.

Cloud Audit Logging nunca generará registros para recursos públicos.

Antes de comenzar

Antes de comenzar, necesitas lo siguiente:

Una aplicación web o máquina virtual con IAP habilitado para la que deseas habilitar Cloud Audit Logging
Una versión actualizada del SDK de Cloud. Obtén el SDK de Cloud

Habilita Cloud Audit Logging con el SDK de Cloud

Si habilitas Cloud Audit Logging para tu proyecto protegido con IAP, podrás ver las solicitudes de acceso autorizadas y no autorizadas. Sigue los pasos que aparecen a continuación para ver las solicitudes y todos los niveles de acceso con que cumple un solicitante:

Descarga la configuración de la política de administración de identidades y accesos (IAM) para el proyecto. Para ello, ejecuta el siguiente comando de la línea de comandos de gcloud:
```
gcloud projects get-iam-policy PROJECT_ID > policy.yaml
```
Para editar el archivo policy.yaml que descargaste, agrega una sección auditConfigs como se indica a continuación. Asegúrate de no cambiar ninguno de los valores etag.
```
auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_READ
  - logType: DATA_WRITE
  service: iap.googleapis.com
```
Para actualizar la configuración de la política de IAM con el archivo .yaml modificado, ejecuta el siguiente comando de la línea de comandos de gcloud:
```
gcloud projects set-iam-policy PROJECT_ID policy.yaml
```

Todas las solicitudes para acceder a los recursos del proyecto generarán registros de auditoría.

Visualiza Cloud Audit Logging

Para ver los registros de Cloud Audit Logging, sigue el proceso que se indica a continuación:

Ve a la página Registros de Cloud Console de tu proyecto.
Ir a la página Registros
En la lista desplegable del selector de recursos, selecciona un recurso. Los recursos protegidos con IAP se encuentran en Aplicación de GAE, Servicio de backend de GCE, Instancia de VM de GCE.
En la lista desplegable tipo de registros, selecciona data_access.
1. El tipo de registro data_access solo aparece si se registró tráfico hacia tu recurso después de habilitar Cloud Audit Logging para IAP.
Haz clic para ampliar la fecha y la hora del acceso que deseas revisar.
1. El acceso autorizado tiene un ícono i de color azul.
2. El acceso no autorizado tiene un ícono !! de color naranja.

Los registros solo contienen información sobre los niveles de acceso que un usuario cumplió. Los niveles de acceso que bloquearon una solicitud no autorizada no se incluyen en la entrada del registro. Para determinar qué condiciones son necesarias a fin de realizar una solicitud correcta para un recurso determinado, comprueba los niveles de acceso del recurso.

A continuación, se presentan detalles importantes sobre los campos de registro:

Campo	Valor
`authenticationInfo`	El correo electrónico del usuario que intentó acceder al recurso como `principalEmail`
`requestMetadata.callerIp`	La dirección IP desde la que se originó la solicitud
`requestMetadata.requestAttributes`	El método de solicitud y la URL.
`authorizationInfo.resource`	El recurso al que se accede
`authorizationInfo.granted`	Un valor booleano que representa si el IAP permitió el acceso solicitado

Qué sigue

Obtén más información sobre Cloud Audit Logs.