Cloud Audit Logging con Cloud Storage

En esta página, se proporciona información adicional para el uso de Cloud Audit Logging con Cloud Storage. Usa Cloud Audit Logging si quieres generar registros para las operaciones de API que se realizan en Cloud Storage. Para configurar Cloud Audit Logging, consulta Configura registros de acceso a los datos.

Información registrada

En Cloud Audit Logging, hay dos tipos de registros:

Registros de actividad del administrador: entradas para operaciones que modifican la configuración o los metadatos de un proyecto, un depósito o un objeto.
Registros de acceso a datos: entradas para operaciones que modifican objetos o leen un proyecto, un depósito o un objeto. A continuación, se mencionan distintos subtipos de registros de acceso a datos:
- ADMIN_READ: entradas para operaciones que leen la configuración o los metadatos de un proyecto, un depósito o un objeto
- DATA_READ: entradas para operaciones que leen un objeto
- DATA_WRITE: entradas para operaciones que crean o modifican un objeto

En la siguiente tabla, se describe cuáles son las operaciones de Cloud Storage que se incluyen en cada tipo de registro:

Tipo de entrada de registro	Subtipo	Operaciones
Actividad del administrador		Crear depósitos Borrar depósitos Configurar o modificar políticas de IAM Configurar o modificar LCA de objetos Actualizar metadatos de depósito
Acceso a los datos	`ADMIN_READ`	Obtener metadatos de depósito Obtener políticas de IAM Obtener LCA de objetos Enumerar depósitos
	`DATA_READ`	Obtener datos de objetos Obtener metadatos de objetos Enumerar objetos Copiar o redactar objetos¹
	`DATA_WRITE`	Crear objetos Borrar objetos² Actualizar metadatos de objetos que no sean de LCA² Copiar o redactar objetos¹

¹ La copia y la redacción no son atómicas, es decir, cada una lee y escribe datos. Como resultado, estas generan dos entradas de registro.

² Cloud Audit Logging no registra las acciones realizadas por la función Administración del ciclo de vida de los objetos. Si quieres obtener alternativas que realicen un seguimiento de estas acciones, consulta Opciones para realizar un seguimiento de las acciones del ciclo de vida.

Los registros de Cloud Storage usan un objeto AuditLog y siguen el mismo formato que otros registros de Cloud Audit Logging. Los registros contienen la siguiente información:

El usuario que realizó la solicitud, incluida su dirección de correo electrónico
El nombre de recurso en el cual se realizó la solicitud
El resultado de la solicitud

Configuración de registros

El servicio storage.googleapis.com genera los registros que pertenecen a las operaciones de Cloud Storage.

Los registros de actividad del administrador se guardan de manera predeterminada. Estos registros no son parte de la cuota de transferencia de registros.

Los registros de acceso a datos que pertenecen a las operaciones de Cloud Storage no se guardan de forma predeterminada. Si quieres obtener información sobre cómo habilitar los registros para las operaciones de acceso a datos, consulta Configura registros de acceso a datos. Ten en cuenta que, a diferencia de los registros de actividad del administrador, los registros de acceso a datos son parte de la cuota de transferencia de registros y pueden afectar tus cargos de registro en Stackdriver.

Acceso a registros

Los siguientes usuarios pueden ver los registros de actividad del administrador:

Propietarios, editores y visualizadores del proyecto
Usuarios con la función de IAM de Visor de registros.
Usuarios con el permiso de IAM logging.logEntries.list.

Los siguientes usuarios pueden ver los registros de acceso a los datos:

Propietarios del proyecto
Usuarios con la función de IAM de visor de registros privados
Usuarios con el permiso de IAM logging.privateLogEntries.list

Consulta Agrega miembros de IAM a un proyecto a fin de obtener instrucciones para otorgar acceso.

Visualiza registros

Los registros que pertenecen a Cloud Storage se clasifican bajo el tipo de recurso GCS bucket.

Puedes ver un resumen de los registros de auditoría de tu proyecto en el flujo de actividad en Google Cloud Console. Puedes encontrar una versión más detallada de los registros en el visor de registros.

A fin de obtener instrucciones para filtrar registros en el Visor de registros, consulta la guía de Cloud Audit Logging.

Nombres de registro

Cloud Audit Logging usa nombres de registro estándar para todos los registros de auditoría. Para obtener información sobre la estructura de los nombres de registro y ejemplos de uso de estos como filtros de resultados de registro, consulta Visualización de registros de auditoría.

Restricciones

Las siguientes restricciones se aplican a Cloud Audit Logging con Cloud Storage:

Cloud Audit Logging no realiza un seguimiento del acceso a objetos públicos.
Cloud Audit Logging no realiza un seguimiento de los cambios que realiza la función Administración del ciclo de vida de los objetos.
No puedes usar las descargas autenticadas del navegador para acceder a los objetos cuando los registros de acceso a datos de Cloud Audit Logging estén habilitados en el depósito que contiene los objetos.

Próximos pasos

Prueba el instructivo Exporta Stackdriver Logging.