En esta página, se proporciona información adicional para el uso de Cloud Audit Logging con Cloud Storage. Usa Cloud Audit Logging si quieres generar registros para las operaciones de API que se realizan en Cloud Storage. Para configurar Cloud Audit Logging, consulta Configura registros de acceso a los datos.
Información registrada
En Cloud Audit Logging, hay dos tipos de registros:
Registros de actividad del administrador: entradas para operaciones que modifican la configuración o los metadatos de un proyecto, un depósito o un objeto.
Registros de acceso a datos: entradas para operaciones que modifican objetos o leen un proyecto, un depósito o un objeto. A continuación, se mencionan distintos subtipos de registros de acceso a datos:
ADMIN_READ
: entradas para operaciones que leen la configuración o los metadatos de un proyecto, un depósito o un objetoDATA_READ
: entradas para operaciones que leen un objetoDATA_WRITE
: entradas para operaciones que crean o modifican un objeto
En la siguiente tabla, se describe cuáles son las operaciones de Cloud Storage que se incluyen en cada tipo de registro:
Tipo de entrada de registro | Subtipo | Operaciones |
---|---|---|
Actividad del administrador |
|
|
Acceso a los datos | ADMIN_READ |
|
DATA_READ |
|
|
DATA_WRITE |
|
1 La copia y la redacción no son atómicas, es decir, cada una lee y escribe datos. Como resultado, estas generan dos entradas de registro.
2 Cloud Audit Logging no registra las acciones realizadas por la función Administración del ciclo de vida de los objetos. Si quieres obtener alternativas que realicen un seguimiento de estas acciones, consulta Opciones para realizar un seguimiento de las acciones del ciclo de vida.
Los registros de Cloud Storage usan un objeto AuditLog
y siguen el mismo formato que otros registros de Cloud Audit Logging. Los registros contienen la siguiente información:
- El usuario que realizó la solicitud, incluida su dirección de correo electrónico
- El nombre de recurso en el cual se realizó la solicitud
- El resultado de la solicitud
Configuración de registros
El servicio storage.googleapis.com
genera los registros que pertenecen a las operaciones de Cloud Storage.
Los registros de actividad del administrador se guardan de manera predeterminada. Estos registros no son parte de la cuota de transferencia de registros.
Los registros de acceso a datos que pertenecen a las operaciones de Cloud Storage no se guardan de forma predeterminada. Si quieres obtener información sobre cómo habilitar los registros para las operaciones de acceso a datos, consulta Configura registros de acceso a datos. Ten en cuenta que, a diferencia de los registros de actividad del administrador, los registros de acceso a datos son parte de la cuota de transferencia de registros y pueden afectar tus cargos de registro en Stackdriver.
Acceso a registros
Los siguientes usuarios pueden ver los registros de actividad del administrador:
- Propietarios, editores y visualizadores del proyecto
- Usuarios con la función de IAM de Visor de registros.
- Usuarios con permiso de IAM
logging.logEntries.list
.
Los siguientes usuarios pueden ver los registros de acceso a los datos:
- Propietarios del proyecto
- Usuarios con la función de IAM de visor de registros privados
- Usuarios con el permiso de IAM
logging.privateLogEntries.list
Consulta Agrega miembros de IAM a un proyecto a fin de obtener instrucciones para otorgar acceso.
Visualiza registros
Los registros que pertenecen a Cloud Storage se clasifican bajo el tipo de recurso GCS bucket
.
Puedes ver un resumen de los registros de auditoría de tu proyecto en el flujo de actividad en Google Cloud Platform Console. Puedes encontrar una versión más detallada de los registros en el Visor de registros.
A fin de obtener instrucciones para filtrar registros en el Visor de registros, consulta la guía de Cloud Audit Logging.
Nombres de registro
Cloud Audit Logging usa nombres de registro estándar para todos los registros de auditoría. Para obtener información sobre la estructura de los nombres de registro y ejemplos de uso de estos como filtros de resultados de registro, consulta Visualización de registros de auditoría.
Restricciones
Las siguientes restricciones se aplican a Cloud Audit Logging con Cloud Storage:
- Cloud Audit Logging no realiza un seguimiento del acceso a objetos públicos.
- Cloud Audit Logging no realiza un seguimiento de los cambios que realiza la función Administración del ciclo de vida de los objetos.
- No puedes usar las descargas autenticadas del navegador para acceder a los objetos cuando los registros de acceso a datos de Cloud Audit Logging estén habilitados en el depósito que contiene los objetos.
Qué sigue
- Prueba el instructivo Exporta Stackdriver Logging.