Cloud Audit Logs con Cloud Storage

En esta página, se proporciona información adicional para el uso de Cloud Audit Logging con Cloud Storage. Usa Cloud Audit Logging si quieres generar registros para las operaciones de API que se realizan en Cloud Storage. Para configurar Cloud Audit Logging, consulta Configura registros de acceso a los datos.

Descripción general

Los servicios de Google Cloud escriben registros de auditoría para ayudarte a responder las preguntas “¿Quién hizo qué, dónde y cuándo?”. Los proyectos de Cloud contienen solo los registros de auditoría de los recursos que están directamente dentro del proyecto. Otras entidades, como las carpetas, organizaciones y cuentas de Facturación de Cloud, contienen los registros de auditoría correspondientes a la entidad.

Consulta Registros de auditoría de Cloud para obtener una descripción general de estos registros. Si deseas obtener una explicación más detallada sobre el tema, consulta Información sobre los registros de auditoría.

Los registros de auditoría de Cloud genera los siguientes registros de auditoría para las operaciones en Cloud Storage:

• Registros de actividad del administrador: entradas para operaciones que modifican la configuración o los metadatos de un proyecto, un bucket o un objeto.

• Registros de acceso a datos: entradas para operaciones que modifican objetos o leen un proyecto, un bucket o un objeto. Hay distintos subtipos de registros de acceso a los datos:

  • ADMIN_READ: Entradas para operaciones que leen la configuración o los metadatos de un proyecto, un bucket o un objeto

  • DATA_READ: entradas para operaciones que leen un objeto

  • DATA_WRITE: Entradas para operaciones que crean o modifican un objeto

Operaciones auditadas

En la siguiente tabla, se resumen las operaciones de Cloud Storage que corresponden a cada tipo de registro de auditoría:

Tipo de entrada de registro	Subtipo	Operaciones
Actividad del administrador		Crear depósitos Borrar depósitos Configurar/modificar políticas de IAM Cambia los LCA de los objetos3 Actualizar metadatos de depósitos
Acceso a los datos	ADMIN_READ	Obtener metadatos de bucket Obtener políticas de IAM Obtener LCA de objetos Enumerar depósitos
	DATA_READ	Obtener datos de objetos Obtener metadatos de objetos Enumerar objetos Copiar o redactar objetos1
	DATA_WRITE	Crear objetos Borrar objetos2 Actualizar metadatos de objetos que no sean de LCA2 Copiar o redactar objetos1

¹ La copia y la redacción de objetos implican la lectura y escritura de datos. Como resultado, cada una de estas acciones genera dos entradas de registro.

² Cloud Audit Logging no registra las acciones realizadas por la función Administración del ciclo de vida de los objetos. Si quieres obtener alternativas que realicen un seguimiento de estas acciones, consulta Opciones para realizar un seguimiento de las acciones del ciclo de vida.

³ Los registros de actividad del administrador no se generan si las LCA se configuran desde un principio. Además, si una LCA de objetos se configura como pública, los registros de auditoría no se generan para lecturas o escrituras en ese objeto ni en su LCA.

Formato de registro de auditoría

Las entradas del registro de auditoría incluyen los siguientes componentes:

• La entrada de registro en sí, que es un objeto LogEntry. Los campos útiles dentro de una entrada de registro incluyen los siguientes:

  • El campo logName contiene la identificación del proyecto y el tipo de registro de auditoría.
  • El campo resource contiene el objetivo de la operación auditada.
  • El campo timeStamp contiene la hora de la operación auditada.
  • El campo protoPayload contiene la información auditada.

• Los datos de registro de auditoría, que son un objeto AuditLog alojado en el campo protoPayload de la entrada de registro. Una entrada de objeto AuditLog contiene información como la siguiente:

  • El usuario que realizó la solicitud, incluida su dirección de correo electrónico
  • El nombre de recurso en el cual se realizó la solicitud
  • El resultado de la solicitud
  • De manera opcional, se incluye información detallada de la solicitud y la respuesta. Para obtener más información, consulta Modo detallado del registro de auditoría.

Para obtener información sobre otros campos en estos objetos y cómo interpretarlos, consulta Comprende los registros de auditoría.

Nombre del registro

En el campo logName, se indica el proyecto de Cloud o cualquier otra entidad de Google Cloud que posee los registros de auditoría y si la entrada contiene los registros de actividad de administrador o de acceso a datos. Por ejemplo, el siguiente segmento muestra los nombres de registro para los registros de auditoría de Actividad del administrador de un proyecto y sus registros de auditoría de acceso a los datos. La variable denota el proyecto asociado con el registro.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nombre del servicio

Los registros que pertenecen a las operaciones de Cloud Storage usan el nombre de servicio storage.googleapis.com.

Para obtener información sobre todos los servicios de registro, consulta Asigna servicios a recursos.

Tipos de recursos

Los registros que pertenecen a Cloud Storage se clasifican bajo el tipo de recurso GCS bucket.

Para obtener una lista de los demás tipos de recursos, consulta Tipos de recursos supervisados.

Configuración de registros

Los registros de actividad del administrador se guardan de manera predeterminada. Estos registros no son parte de la cuota de transferencia de registros.

Los registros de acceso a los datos que pertenecen a las operaciones de Cloud Storage no se guardan de forma predeterminada. Si quieres obtener información sobre cómo habilitar los registros para las operaciones de acceso a los datos, consulta Configura registros de acceso a los datos. Ten en cuenta que, a diferencia de los registros de actividad del administrador, los registros de acceso a los datos se tienen en cuenta en la cuota de transferencia de registros y pueden afectar los cargos de Cloud Logging.

Acceso a registros

Los siguientes usuarios pueden ver los registros de actividad del administrador:

• Propietarios, editores y lectores del proyecto.
• Usuarios con la función de IAM de Visor de registros.
• Usuarios con el permiso de IAM logging.logEntries.list.

Los siguientes usuarios pueden ver los registros de acceso a los datos:

• Propietarios del proyecto
• Usuarios con la función de IAM de visor de registros privados
• Usuarios con el permiso de IAM logging.privateLogEntries.list

Consulta Agrega miembros de IAM a un proyecto a fin de obtener instrucciones para otorgar acceso.

Visualizar registros

Puedes ver un resumen de los registros de auditoría de tu proyecto en el flujo de actividad en Google Cloud Console. Para explorar otras opciones para ver tus entradas de registro de auditoría, consulta Visualiza los registros de auditoría.

Exporta registros

Puedes exportar registros de auditoría de la misma manera en la que exportas otros tipos de registros. Para obtener más información sobre cómo exportar los registros, consulta Exporta registros.

Restricciones

Las siguientes restricciones se aplican a Registros de auditoría de Cloud con Cloud Storage:

• Cloud Audit Logging no realiza un seguimiento del acceso a objetos públicos.
• Cloud Audit Logging no realiza un seguimiento de los cambios que realiza la función Administración del ciclo de vida de los objetos.
• Los registros de acceso a los datos hacen que fallen las descargas del navegador autenticadas.

¿Qué sigue?

• Prueba el instructivo Situaciones para exportar Cloud Logging.
• Obtén más información sobre los precios de Cloud Logging.