En esta página, se describen los registros de auditoría que crea Cloud IoT Core como parte de los Registros de auditoría de Cloud.
Descripción general
Los servicios de Google Cloud escriben registros de auditoría para ayudarte a responder las preguntas “¿Quién hizo qué, dónde y cuándo?”. Cada proyecto de Cloud contiene solo los registros de auditoría de los recursos que están directamente dentro del proyecto. Otras entidades, incluidas las carpetas, organizaciones y cuentas de facturación, contienen los registros de auditoría correspondientes a la entidad.
Cloud IoT Core escribe y proporciona por configuración predeterminada registros de auditoría para la actividad del administrador, que incluyen operaciones que modifican la configuración o los metadatos de un recurso. Esto incluye la configuración de los dispositivos, de la nube al dispositivo y de los registros del dispositivo.
Cloud IoT Core escribe, y no proporciona de manera predeterminada, registros de auditoría para el acceso a los datos, los cuales registran las llamadas a la API que leen datos proporcionados por el usuario.
Habilita el registro de auditoría
Los registros de auditoría de actividad del administrador están habilitados de forma predeterminada y solo se pueden inhabilitar mediante las exclusiones de Cloud Logging.
La mayoría de los registros de auditoría de acceso a los datos de Google Cloud están inhabilitados de forma predeterminada. La excepción son los registros de auditoría de acceso a los datos de BigQuery, que están habilitados de forma predeterminada y no se pueden inhabilitar. Los registros de acceso a los datos de BigQuery no cuentan para la cuota de registro del proyecto.
Para habilitar algunos o todos tus registros de acceso a los datos, consulta Configura registros de acceso a los datos.
Los registros de acceso a datos que configures pueden afectar los precios de tus registros en Google Cloud’s operations suite. Para obtener más información, consulta la sección Precios en esta página.
Operaciones auditadas
En la siguiente tabla, se resumen las operaciones de la API que corresponden a cada tipo de registro de auditoría en Cloud IoT Core:
| Categoría de registros de auditoría | Operaciones de Cloud IoT Core |
|---|---|
| Registros de actividad del administrador |
|
Registros de acceso a los datos (ADMIN_READ) |
|
Registros de acceso a los datos (DATA_READ) |
Ninguna |
Registros de acceso a los datos (DATA_WRITE) |
Ninguna |
Registros de acceso a los datos
Existen tres categorías de registros de auditoría de acceso a los datos: ADMIN_READ, DATA_READ y DATA_WRITE. Sin embargo, Cloud IoT Core solo usa registros de acceso a los datos de ADMIN_READ. Esto se debe a que los registros DATA_READ y DATA_WRITE solo se usan para servicios que almacenan y administran datos del usuario (como Cloud Storage, Cloud Spanner y Cloud SQL), lo cual no se aplica a Cloud IoT Core.
| Tipo de registro de acceso a los datos | Descripción | Disponibilidad |
|---|---|---|
ADMIN_READ |
Operaciones que leen la configuración o los metadatos de un recurso. | De forma predeterminada, Cloud IoT Core no proporciona registros de ADMIN_READ. |
DATA_READ |
Operaciones que leen datos proporcionados por el usuario de un recurso. | Cloud IoT Core no proporciona registros de DATA_READ. |
DATA_WRITE |
Operaciones que escriben datos proporcionados por el usuario en un recurso. | Cloud IoT Core no proporciona registros de DATA_WRITE. |
Puedes configurar la información de auditoría que no se proporciona de forma predeterminada. Para obtener más información, consulta Configuración de registros de acceso a datos.
Formato de registro de auditoría
Las entradas de registro de auditoría, que se pueden ver con el visor de registros, la API o el comando gcloud logging del SDK, incluyen los siguientes objetos:
La entrada de registro, que es un objeto de tipo
LogEntry. Los campos útiles incluyen los siguientes elementos:logNamecontiene la identificación del proyecto y el tipo de registro de auditoría.resourcecontiene el objetivo de la operación auditada.timestampcontiene el tiempo de la operación auditada.protoPayloadcontiene la información auditada.
La información de auditoría, que es un objeto
AuditLogubicado en el campoprotoPayloadde la entrada de registro.
Para obtener información sobre otros campos en estos objetos, muestras de su contenido y consultas de muestra sobre la información en los objetos, consulta Tipos de datos de registro de auditoría.
Nombre del registro y nombre del servicio
Los nombres de registro de Cloud Audit Logs indican el proyecto o alguna otra entidad que posee los registros de auditoría y si el registro contiene información de actividad de administrador o acceso a datos. Por ejemplo, el siguiente segmento muestra los nombres de registro de los registros de actividad del administrador de un proyecto y los registros de acceso a los datos de una organización:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Nombres de servicios y tipos de recursos
Los registros de auditoría de Cloud IoT Core usan el nombre de servicio cloudiot.googleapis.com.
Los registros de auditoría de Cloud IoT Core usan los tipos de recursos cloudiot_device y cloudiot_device_registry para todos los registros de auditoría.
Para obtener más detalles sobre los servicios de registro y los recursos, consulta Mapea servicios a recursos.
Permisos sobre los registros de auditoría
Los permisos y las funciones de la administración de identidades y accesos determinan qué registros de auditoría puedes ver o exportar. Los registros se encuentran en proyectos y en algunas otras entidades, incluidas organizaciones, carpetas y cuentas de facturación. Para obtener más información, consulta Información sobre funciones.
Si quieres ver los registros de actividad del administrador, debes tener una de las siguientes funciones de IAM en el proyecto que contiene los registros de auditoría:
- Propietario, editor o visualizador del proyecto Para obtener más información, consulta Funciones básicas.
- La función visualizador de registros de Logging.
- Una función de IAM personalizada con el permiso
logging.logEntries.listde IAM
Para ver los registros de acceso a los datos, debes contar con una de las siguientes funciones en el proyecto que contiene tus registros de auditoría:
- Propietario del proyecto
- La función de visualizador de registros privados de Logging
- Una función de IAM personalizada con el permiso
logging.privateLogEntries.listde IAM
Si usas registros de auditoría de una entidad ajena al proyecto, como una organización, debes cambiar las funciones del proyecto por las funciones adecuadas de la organización.
Consulta los registros
Para ver los registros de auditoría de uno de tus proyectos, realiza una de las siguientes acciones:
Consulta un resumen de tus registros de actividad de administrador en el panel de Actividad:
Visualiza todos los registros de auditoría mediante el Explorador de registros.
Para obtener más detalles, consulta las siguientes opciones:
Visor básico
Puedes usar la interfaz básica del Explorador de registros para recuperar las entradas de registro de auditoría de la siguiente manera:
- En el primer menú, selecciona el tipo de recurso cuyos registros de auditoría deseas ver. Selecciona un recurso específico o todos ellos.
- En el segundo menú, selecciona el nombre de registro que deseas ver:
activitypara los registros de auditoría de actividad de administrador ydata_accesspara los registros de auditoría de acceso a datos. Si no ves una o ambas opciones, no hay registros de auditoría de ese tipo disponibles.
Visor avanzado
- Cambia a la interfaz de filtro avanzado en el Explorador de registros.
- Crea un filtro que especifique los tipos de recursos y los nombres de registro que deseas. Para obtener más información, consulta Recupera registros de auditoría.
API
Para leer tus entradas de registro a través de la API de Logging, consulta entries.list.
SDK
Para leer las entradas de registro mediante la CLI de Google Cloud, consulta Lee entradas de registro.
Exporta registros de auditoría
Puedes exportar registros de auditoría de la misma manera que exportas otros tipos de registros. Para obtener más información sobre cómo exportar tus registros, consulta Exportar registros. Estas son algunas de las aplicaciones de la exportación de registros de auditoría:
Para conservar los registros de auditoría durante más tiempo o usar capacidades de búsqueda más potentes, puedes exportar copias de tus registros de auditoría a Cloud Storage, BigQuery o Pub/Sub. Con Pub/Sub puedes exportar a otras aplicaciones, otros repositorios y a terceros.
Para administrar los registros de auditoría en toda la organización, puedes crear receptores agregados que puedan exportar registros desde cualquier proyecto de la organización o desde todos los proyectos.
Si tus registros de acceso a los datos habilitados sobrepasan las asignaciones de registros de tus proyectos, puedes exportar y excluir los registros de acceso a los datos de Logging. Para obtener más información, consulta Excluye registros.
Precios
Cloud Logging no te cobra por los registros de auditoría que están habilitados de forma predeterminada, incluidos todos los registros de actividad del administrador. Estos registros no son parte de la cuota de transferencia de registros.
Cloud Logging te cobra por los registros de acceso a datos que solicitas explícitamente.
Para obtener más información sobre los precios de los registros, incluidos los precios de los registros de auditoría, consulte Precios de Google Cloud’s operations suite.
Métodos de exención
Los siguientes métodos de la API de Cloud IoT Core no están registrados en los registros de auditoría:
registries.testIamPermissionsregistries.devices.configVersions.listregistries.devices.states.list