Registros de auditoría de Cloud con Cloud Storage

En esta página, se proporciona información adicional para el uso de Cloud Audit Logging con Cloud Storage. Usa Cloud Audit Logging si quieres generar registros para las operaciones de API que se realizan en Cloud Storage. Para configurar Cloud Audit Logging, consulta Configura registros de acceso a los datos.

Información registrada

En Registros de auditoría de Cloud, hay dos tipos de registros:

• Registros de actividad del administrador: entradas para operaciones que modifican la configuración o los metadatos de un proyecto, un depósito o un objeto.

• Registros de acceso a datos: entradas para operaciones que modifican objetos o leen un proyecto, un depósito o un objeto. Hay distintos subtipos de registros de acceso a los datos:

  • ADMIN_READ: Entradas para operaciones que leen la configuración o los metadatos de un proyecto, un depósito o un objeto

  • DATA_READ: entradas para operaciones que leen un objeto

  • DATA_WRITE: Entradas para operaciones que crean o modifican un objeto

En la siguiente tabla, se indica qué operaciones de Cloud Storage se incluyen en cada tipo de registro:

Tipo de entrada de registro	Subtipo	Operaciones
Actividad del administrador		Crear depósitos Borrar depósitos Configurar o modificar políticas de IAM Configurar o modificar LCA de objetos3 Actualizar metadatos de depósitos
Acceso a los datos	ADMIN_READ	Obtener metadatos de depósito Obtener políticas de IAM Obtener LCA de objetos Enumerar depósitos
	DATA_READ	Obtener datos de objetos Obtener metadatos de objetos Enumerar objetos Copiar o redactar objetos1
	DATA_WRITE	Crear objetos Borrar objetos2 Actualizar metadatos de objetos que no sean de LCA2 Copiar o redactar objetos1

¹ La copia y la redacción no son atómicas, es decir, cada una lee y escribe datos. Como resultado, estas generan dos entradas de registro.

² Cloud Audit Logging no registra las acciones realizadas por la función Administración del ciclo de vida de los objetos. Si quieres obtener alternativas que realicen un seguimiento de estas acciones, consulta Opciones para realizar un seguimiento de las acciones del ciclo de vida.

³: Si una LCA de objetos se configura como pública, los registros de auditoría no se generan para lecturas o escrituras en ese objeto ni su LCA.

Los registros de Cloud Storage usan un objeto AuditLog y siguen el mismo formato que otros registros de auditoría de Cloud. Los registros contienen la siguiente información:

• El usuario que realizó la solicitud, incluida su dirección de correo electrónico
• El nombre de recurso en el cual se realizó la solicitud
• El resultado de la solicitud
• De manera opcional, se incluye información detallada de la solicitud y la respuesta. Para obtener más información, consulta Modo detallado del registro de auditoría.

Configuración de registros

El servicio storage.googleapis.com genera los registros que pertenecen a las operaciones de Cloud Storage.

Los registros de actividad del administrador se guardan de manera predeterminada. Estos registros no son parte de la cuota de transferencia de registros.

Los registros de acceso a los datos que pertenecen a las operaciones de Cloud Storage no se guardan de forma predeterminada. Si quieres obtener información sobre cómo habilitar los registros para las operaciones de acceso a los datos, consulta Configura registros de acceso a los datos. Ten en cuenta que, a diferencia de los registros de actividad del administrador, los registros de acceso a los datos se tienen en cuenta en la cuota de transferencia de registros y pueden afectar los cargos de Cloud Logging.

Acceso a registros

Los siguientes usuarios pueden ver los registros de actividad del administrador:

• Propietarios, editores y visualizadores del proyecto
• Usuarios con la función de IAM de Visor de registros.
• Usuarios con el permiso de IAM logging.logEntries.list.

Los siguientes usuarios pueden ver los registros de acceso a los datos:

• Propietarios del proyecto
• Usuarios con la función de IAM de visor de registros privados
• Usuarios con el permiso logging.privateLogEntries.list de IAM

Consulta Agrega miembros de IAM a un proyecto a fin de obtener instrucciones para otorgar acceso.

Visualiza registros

Los registros que pertenecen a Cloud Storage se clasifican bajo el tipo de recurso GCS bucket.

Puedes ver un resumen de los registros de auditoría de tu proyecto en el flujo de actividad en Google Cloud Console. Puedes encontrar una versión más detallada de los registros en el visor de registros.

A fin de obtener instrucciones para filtrar registros en el Visor de registros, consulta la guía de Cloud Audit Logging.

Nombres de registro

Cloud Audit Logging usa nombres de registro estándar para todos los registros de auditoría. Para obtener información sobre la estructura de los nombres de registro y ejemplos de uso de estos como filtros de resultados de registro, consulta Visualización de registros de auditoría.

Restricciones

Las siguientes restricciones se aplican a Registros de auditoría de Cloud con Cloud Storage:

• Registros de auditoría de Cloud no realiza un seguimiento del acceso a objetos públicos.
• Cloud Audit Logging no realiza un seguimiento de los cambios que realiza la función Administración del ciclo de vida de los objetos.
• No puedes usar las descargas autenticadas del navegador para acceder a los objetos cuando los registros de acceso a los datos están habilitados en el depósito que contiene los objetos.

Próximos pasos

• Prueba el instructivo Situaciones para exportar Cloud Logging.