Esta página se ha traducido con Cloud Translation API.

Registros de auditoría de Cloud con Cloud Storage

En esta página se proporciona información complementaria sobre el uso de registros de auditoría de Cloud con Cloud Storage. Usa los registros de auditoría de Cloud para generar registros de las operaciones de la API realizadas en Cloud Storage.

Información general

LosGoogle Cloud servicios cuentan con registros de auditoría para ayudarte a responder a las preguntas sobre quién hizo qué, dónde lo hizo y cuándo lo hizo. Google Cloud También puedes adjuntar información personalizada a los registros de auditoría para obtener información más detallada sobre cómo se accede a tus recursos.

Tus Google Cloud proyectos solo contienen los registros de auditoría de los recursos que están directamente en el Google Cloud proyecto. Otros Google Cloud recursos, como carpetas, organizaciones y cuentas de facturación, contienen los registros de auditoría de la propia entidad.

Para obtener una descripción general de los registros de auditoría de Cloud, consulta el artículo Información general sobre los registros de auditoría de Cloud. Para obtener más información sobre el formato de los registros de auditoría, consulta el artículo Interpretar los registros de auditoría.

Registros de auditoría disponibles

En Cloud Storage están disponibles los siguientes tipos de registros de auditoría:

Registros de auditoría de actividad de administración: entradas de operaciones iniciadas por usuarios que modifican la configuración o los metadatos de los recursos de Cloud Storage.
Registros de auditoría de acceso a datos: entradas de operaciones iniciadas por los usuarios que no se registran en los registros de auditoría de actividad de administración. Hay varios subtipos de registros de auditoría de acceso a datos:
- ADMIN_READ: entradas de operaciones que leen la configuración o los metadatos de los recursos de Cloud Storage.
- DATA_READ: entradas de operaciones que leen datos de recursos de Cloud Storage proporcionados por el usuario.
- DATA_WRITE: entradas de operaciones que modifican datos de recursos de Cloud Storage proporcionados por el usuario.
Para recibir registros de auditoría de acceso a datos, debes habilitarlos explícitamente.
Registros de auditoría de eventos del sistema: entradas de operaciones que modifican recursos de Cloud Storage. Se generan por Google Cloud sistemas y no se activan por la acción del usuario.

Además de los registros de auditoría de Cloud Storage, Registros de auditoría de Cloud puede crear registros de auditoría de Estadísticas de almacenamiento.

Para obtener descripciones más detalladas de los tipos de registros de auditoría, consulta Tipos de registros de auditoría.

Operaciones auditadas

En la siguiente tabla se resumen las operaciones de Cloud Storage que corresponden a cada tipo de registro de auditoría:

Tipo de registro de auditoría	Subtipo	Operaciones de Cloud Storage
Actividad del administrador	`ADMIN_WRITE`	Definir políticas de gestión de identidades y accesos de un segmento o una carpeta gestionada Configurar LCAs de objetos¹ Creación de depósitos Eliminar segmentos Restaurar segmentos eliminados temporalmente Cambiar la ubicación de los segmentos Actualizar los metadatos de un segmento Crear enlaces de etiquetas en depósitos Eliminar enlaces de etiquetas en segmentos Crear carpetas gestionadas Eliminar carpetas gestionadas Actualizar la configuración de Estadísticas de almacenamiento de un proyecto, una carpeta o una organización Crear cachés de Anywhere Cache Pausar las cachés de Anywhere Cache Reanudación de las cachés de Anywhere Cache Inhabilitar las cachés de Anywhere Cache Actualizar las cachés de Anywhere Cache Crear claves HMAC Eliminar claves HMAC Actualizar claves HMAC Cancelar operaciones de larga duración Eliminar operaciones de larga duración Crear configuraciones de informes de inventario de Storage Insights Actualizar las configuraciones de los informes de inventario de Estadísticas de almacenamiento Eliminar configuraciones de informes de inventario de Storage Insights Crear configuraciones de conjuntos de datos de Estadísticas de almacenamiento Actualizar las configuraciones de los conjuntos de datos de Estadísticas de almacenamiento Eliminar configuraciones de conjuntos de datos de Estadísticas de almacenamiento Vincular configuraciones de conjuntos de datos de Estadísticas de almacenamiento Desvincular configuraciones de conjuntos de datos de Estadísticas de almacenamiento
Acceso a los datos	`ADMIN_READ`	Obtener políticas de gestión de identidades y accesos de un cubo o una carpeta gestionada Obtener LCAs de objetos Obtener metadatos de un segmento Mostrar segmentos Mostrar los enlaces de etiquetas de los segmentos Mostrar las etiquetas efectivas de los segmentos Obtener metadatos de carpetas gestionadas Mostrar carpetas gestionadas Obtener la configuración de Storage Intelligence de un proyecto, una carpeta o una organización Obtener cachés de Anywhere Cache Listado de cachés de Anywhere Cache Obtener claves HMAC Mostrar claves HMAC Obtener operaciones de larga duración Listar operaciones de larga duración Obtener configuraciones de informes de inventario de Storage Insights Mostrar configuraciones de informes de inventario de Storage Insights Obtener informes de inventario de Storage Insights Consultar informes de inventario de Storage Insights Obtener configuraciones de conjuntos de datos de Estadísticas de almacenamiento Listar configuraciones de conjuntos de datos de Estadísticas de almacenamiento
Acceso a los datos	`DATA_READ`	Obtener datos de objetos Obtener metadatos de objetos Mostrar objetos Obtener metadatos de carpetas Mostrar carpetas Copiar objetos² Componer objetos² Mostrar subidas multiparte de la API XML en curso Mostrar partes de subidas multiparte de la API XML
Acceso a los datos	`DATA_WRITE`	Crear objetos Eliminar objetos Restaurar objetos eliminados no definitivamente Mover objetos Actualizar metadatos de objetos que no son de LCA Definir retenciones para objetos Anular retenciones desbloqueadas de objetos Copiar objetos² Componer objetos² Iniciar subidas multiparte de la API XML Crear partes en una subida multiparte de la API XML Anular subidas multiparte de la API XML Completar subidas multiparte de la API XML Crear carpetas Eliminar carpetas Cambiar el nombre de las carpetas
Evento del sistema		Inicio del proceso de cambio de ubicación del contenedor³ Fin del proceso de cambio de ubicación del contenedor

¹ Los registros de auditoría de actividad de administración no se generan si las listas de control de acceso se definen inicialmente al crear un objeto.

² Estas operaciones implican tanto la lectura como la escritura de datos. Por lo tanto, cada una de estas operaciones genera dos entradas de registro.

³ Es posible que la reubicación del contenedor no se inicie inmediatamente después de la solicitud inicial. El registro de eventos del sistema se escribe cuando el proceso empieza.

Restricciones

Se aplican las siguientes restricciones a los registros de auditoría de Cloud con Cloud Storage:

Registros de auditoría de Cloud no monitoriza el acceso a objetos públicos.
Registros de auditoría de Cloud no registra los cambios realizados por las funciones Gestión del ciclo de vida de los objetos o Autoclass.
Los registros de acceso a datos generados a partir de descargas autenticadas del navegador tienen los campos principalEmail y callerIp redactados cuando la descarga se produce fuera de la consola Google Cloud .

Si necesitas funciones de registro en alguno de estos casos, puedes usar los registros de uso de Cloud Storage.

Formato del registro de auditoría

Las entradas de los registros de auditoría incluyen los siguientes componentes:

La entrada de registro en sí, que es un objeto LogEntry. Entre los campos útiles se incluyen los siguientes:
- El logName contiene el ID del recurso y el tipo de registro de auditoría.
- El resource contiene el objetivo de la operación auditada.
- El timestamp contiene la hora de la operación auditada.
- El protoPayload contiene la información auditada.
Los datos de registro de auditoría, que son un objeto AuditLog que se encuentra en el campo protoPayload de la entrada de registro.
- En el campo protoPayload, el campo metadata incluye información específica de Cloud Storage. Por ejemplo, el registro de la solicitud GET de un objeto de una operación de reescritura incluye un campo destination en el campo metadata de su registro de auditoría para especificar el contenedor en el que se han copiado los datos.
- En el campo protoPayload, se incluye información de auditoría adicional específica de Cloud Storage en los campos de solicitud y respuesta cuando se aplica el modo de registro de auditoría detallado. Ten en cuenta que no es necesario que apliques el registro de auditoría detallado para adjuntar información personalizada a los registros de auditoría.

Si quieres ver otros campos de estos objetos y cómo interpretarlos, consulta el artículo Interpretar los registros de auditoría.

Nombre del registro

Los nombres de los registros de auditoría de Cloud incluyen identificadores de recursos que indican laGoogle Cloud entidad (proyecto u otra) Google Cloud propietaria de los registros de auditoría y si el registro contiene datos de registro de auditoría de actividad de administración o de acceso a los datos.

A continuación se indican los nombres de los registros de auditoría, incluidas las variables de los identificadores de recursos:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nombre del servicio

Los registros de auditoría de Cloud Storage usan el nombre de servicio storage.googleapis.com.

Los registros de auditoría de Storage Insights usan el nombre de servicio storageinsights.googleapis.com.

Para ver una lista de todos los nombres de servicio de la API Cloud Logging y sus tipos de recursos supervisados correspondientes, consulta Asignar servicios a recursos.

Tipos de recursos

Los registros de auditoría de Cloud Storage usan el tipo de recurso gcs_bucket.

Para ver una lista de todos los tipos de recursos supervisados de Cloud Logging e información descriptiva, consulta Tipos de recursos supervisados.

Habilitar el registro de auditoría

Los registros de auditoría de actividad de administración están siempre habilitados y no se pueden inhabilitar.

Los registros de auditoría de acceso a datos están inhabilitados de forma predeterminada y no se escriben a menos que se habiliten explícitamente.

Para obtener información sobre cómo habilitar algunos registros de auditoría de acceso a datos o todos ellos, consulta el artículo sobre cómo configurar registros de auditoría de acceso a datos.

Permisos y roles

Los permisos y roles de IAM determinan tu capacidad para acceder a los datos de los registros de auditoría de los Google Cloud recursos.

Cuando decidas qué permisos y roles específicos de registro se aplican a tu caso práctico, ten en cuenta lo siguiente:

El rol Lector de registros (roles/logging.viewer) te da acceso de solo lectura a los registros de auditoría de actividad de administrador, de denegación de acceso por infracción de las políticas y de eventos del sistema. Si solo tienes este rol, no puedes ver los registros de auditoría de acceso a datos que se encuentran en los contenedores _Required y _Default.
El rol Visualizador de registros privados(roles/logging.privateLogViewer) incluye los permisos de roles/logging.viewer, además de la capacidad de leer los registros de auditoría de acceso a datos en los contenedores _Required y _Default.

Ten en cuenta que, si estos registros privados se almacenan en segmentos definidos por el usuario, cualquier usuario que tenga permisos para leer registros en esos segmentos podrá leer los registros privados. Para obtener más información sobre los segmentos de registro, consulta la información general sobre el enrutamiento y el almacenamiento.

Para obtener más información sobre los permisos y roles de gestión de identidades y accesos que se aplican a los datos de los registros de auditoría, consulta el artículo sobre el control de acceso con gestión de identidades y accesos.

Ver registros

Puede consultar todos los registros de auditoría o buscar registros por su nombre. El nombre del registro de auditoría incluye el identificador de recurso del Google Cloud proyecto, la carpeta, la cuenta de facturación o la organización de los que quieras ver la información del registro de auditoría. En tus consultas puedes especificar campos LogEntry indexados. Para obtener más información sobre cómo consultar tus registros, consulta el artículo Crear consultas en el Explorador de registros.

Explorador de registros te permite ver y filtrar entradas de registro concretas. Si quieres usar SQL para analizar grupos de entradas de registro, utiliza la página Analíticas de registros. Para obtener más información, consulta estos artículos:

La mayoría de los registros de auditoría se pueden ver en Cloud Logging mediante laGoogle Cloud consola, la CLI de Google Cloud o la API de Logging. Sin embargo, para los registros de auditoría relacionados con la facturación, solo puedes usar la CLI de Google Cloud o la API Logging.

Consola

En la Google Cloud consola, puedes usar el Explorador de registros para obtener las entradas del registro de auditoría de tu Google Cloud proyecto, carpeta u organización:

En la Google Cloud consola, ve a la página Explorador de registros:
Ve al Explorador de registros.

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
Selecciona un proyecto, una carpeta o una organización Google Cloud .
Para mostrar todos los registros de auditoría, introduce una de las siguientes consultas en el campo del editor de consultas y haz clic en Ejecutar consulta:
```
logName:"cloudaudit.googleapis.com"
```
```
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
```
Para mostrar los registros de auditoría de un recurso y un tipo de registro de auditoría específicos, haz lo siguiente en el panel Generador de consultas:
- En Tipo de recurso, selecciona el Google Cloud recurso cuyos registros de auditoría quieras ver.
- En Nombre del registro, selecciona el tipo de registro de auditoría que quieras ver:
  - En el caso de los registros de auditoría de actividad de administración, selecciona activity.
  - En el caso de los registros de auditoría de acceso a datos, selecciona data_access.
  - En el caso de los registros de auditoría de los eventos del sistema, selecciona system_event.
  - En Registros de auditoría de denegación de acceso por infracción de las políticas, selecciona policy.
- Haz clic en Realizar una consulta.
Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en el proyecto, la carpeta o la organización. Google Cloud

Si tienes problemas para ver los registros en el Explorador de registros, consulta la información sobre solución de problemas.

Para obtener más información sobre cómo hacer consultas con el Explorador de registros, consulta el artículo Crear consultas en el Explorador de registros.

gcloud

La CLI de Google Cloud proporciona una interfaz de línea de comandos a la API Logging. Indica un identificador de recurso válido en cada uno de los nombres de registro. Por ejemplo, si tu consulta incluye un PROJECT_ID, el identificador de proyecto que proporciones debe hacer referencia al proyectoGoogle Cloud seleccionado.

Para leer las entradas del registro de auditoría a nivel de proyecto de Google Cloud , ejecuta el siguiente comando:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Para leer las entradas del registro de auditoría a nivel de carpeta, ejecuta el siguiente comando:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Para leer las entradas del registro de auditoría a nivel de organización, ejecuta el siguiente comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Para leer las entradas del registro de auditoría a nivel de cuenta de Facturación de Cloud, ejecuta el siguiente comando:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Añade la marca --freshness al comando para leer los registros que tengan más de un día.

Para obtener más información sobre el uso de la herramienta de línea de comandos gcloud, consulta gcloud logging read.

REST

Cuando cree sus consultas, proporcione un identificador de recurso válido en cada uno de los nombres de registro. Por ejemplo, si tu consulta incluye un PROJECT_ID, el identificador de proyecto que proporciones debe hacer referencia al proyectoGoogle Cloud seleccionado.

Por ejemplo, para usar la API Logging y ver las entradas de registro de auditoría de tu proyecto, haz lo siguiente:

Ve a la sección Probar esta API de la documentación del método entries.list.
Incluye lo siguiente en la parte Cuerpo de la solicitud del formulario Probar esta API. Si haces clic en este formulario rellenado automáticamente, se rellenará automáticamente el cuerpo de la solicitud, pero debes proporcionar un PROJECT_ID válido en cada uno de los nombres de registro.
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
Haz clic en la opción para ejecutar.

Añadir información personalizada a los registros de auditoría

Puede adjuntar información personalizada a las solicitudes de inclusión en los registros de auditoría incluyendo el encabezado x-goog-custom-audit-KEY: VALUE en su solicitud. Las solicitudes de API XML también admiten el uso de un parámetro de consulta x-goog-custom-audit-KEY=VALUE. Se añade información personalizada al campo metadata de la protoPayload en la entrada del registro de auditoría.

Cuando añada información de auditoría personalizada, tenga en cuenta lo siguiente:

Cada KEY, incluido el prefijo x-goog-custom-audit-, puede contener hasta 64 caracteres, mientras que cada VALUE puede contener hasta 1200 caracteres.
Cada solicitud puede contener hasta 4 entradas de encabezado o parámetro combinadas.

Ejemplos de entradas de encabezado

En la siguiente lista se muestran ejemplos de pares clave-valor que puedes incluir en las entradas de encabezado:

x-goog-custom-audit-job: test-job-id-here
x-goog-custom-audit-user: user ID test 1
x-goog-custom-audit-internal-user-id: MATR2022-11
x-goog-custom-audit-tracking-ticket: TT/1516512851
x-goog-custom-audit-justification: Removed customer identity record at customer request
x-goog-custom-audit-customer-id: USCU12315154

Solicitudes de ejemplo