Descripción general

En este lab, investigarás los Registros de auditoría de Google Cloud que mantienen múltiples registros de auditoría para cada proyecto, carpeta y organización, lo cual sirve para responder quién hizo qué, cuándo y dónde.

Objetivos

En este lab, aprenderás a realizar las siguientes tareas:

• Habilitar los registros de acceso a los datos en Cloud Storage
• Generar actividad del administrador y de acceso a los datos
• Ver los registros de auditoría

Configuración y requisitos

En cada lab, recibirás un proyecto de Google Cloud y un conjunto de recursos nuevos por tiempo limitado y sin costo adicional.

1. Haz clic en el botón Comenzar lab. Si debes pagar por el lab, se abrirá una ventana emergente para que selecciones tu forma de pago. A la izquierda, se encuentra el panel Detalles del lab, que tiene estos elementos:

   • El botón Abrir la consola de Google Cloud
   • El tiempo restante
   • Las credenciales temporales que debes usar para el lab
   • Otra información para completar el lab, si es necesaria

2. Haz clic en Abrir la consola de Google Cloud (o haz clic con el botón derecho y selecciona Abrir el vínculo en una ventana de incógnito si ejecutas el navegador Chrome).

   El lab inicia recursos y abre otra pestaña en la que se muestra la página de acceso.

   Sugerencia: Ordena las pestañas en ventanas separadas, una junto a la otra.

   Nota: Si ves el diálogo Elegir una cuenta, haz clic en Usar otra cuenta.

3. De ser necesario, copia el nombre de usuario a continuación y pégalo en el diálogo Acceder.

   {{{user_0.username | "Username"}}}

   También puedes encontrar el nombre de usuario en el panel Detalles del lab.

4. Haz clic en Siguiente.

5. Copia la contraseña que aparece a continuación y pégala en el diálogo Te damos la bienvenida.

   {{{user_0.password | "Password"}}}

   También puedes encontrar la contraseña en el panel Detalles del lab.

6. Haz clic en Siguiente.

   Importante: Debes usar las credenciales que te proporciona el lab. No uses las credenciales de tu cuenta de Google Cloud. Nota: Usar tu propia cuenta de Google Cloud para este lab podría generar cargos adicionales.

7. Haga clic para avanzar por las páginas siguientes:

   • Acepta los Términos y Condiciones.
   • No agregues opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
   • No te registres para obtener pruebas gratuitas.

Después de un momento, se abrirá la consola de Google Cloud en esta pestaña.

Nota: Para ver un menú con una lista de productos y servicios de Google Cloud, haz clic en el menú de navegación que se encuentra en la parte superior izquierda o escribe el nombre del servicio o producto en el campo Búsqueda.

Después de completar los pasos iniciales de acceso, aparecerá el panel del proyecto.

Activa Google Cloud Shell

Google Cloud Shell es una máquina virtual que cuenta con herramientas para desarrolladores. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud.

Google Cloud Shell proporciona acceso de línea de comandos a tus recursos de Google Cloud.

1. En la consola de Cloud, en la barra de herramientas superior derecha, haz clic en el botón Abrir Cloud Shell.

   

2. Haz clic en Continuar.

El aprovisionamiento y la conexión al entorno demorarán unos minutos. Cuando te conectes, habrás completado la autenticación, y el proyecto estará configurado con tu PROJECT_ID. Por ejemplo:

gcloud es la herramienta de línea de comandos de Google Cloud. Viene preinstalada en Cloud Shell y es compatible con el completado de línea de comando.

• Puedes solicitar el nombre de la cuenta activa con este comando:

gcloud auth list

Resultado:

Credentialed accounts: - @.com (active)

Resultado de ejemplo:

Credentialed accounts: - google1623327_student@qwiklabs.net

• Puedes solicitar el ID del proyecto con este comando:

gcloud config list project

Resultado:

[core] project =

Resultado de ejemplo:

[core] project = qwiklabs-gcp-44776a13dea667a6 Nota: La documentación completa de gcloud está disponible en la guía de descripción general de gcloud CLI .

Tarea 1. Habilita los registros de acceso a los datos en Cloud Storage

En esta tarea, habilitarás los registros de acceso a los datos en Cloud Storage para hacer un seguimiento de las operaciones que leen o escriben datos proporcionados por el usuario y de los metadatos y la información de configuración.

1. En el menú de navegación () de la consola de Google Cloud, haz clic en IAM y administración > Registros de auditoría.

2. Desplázate o usa la opción Filtro para localizar Google Cloud Storage; luego, marca la casilla que está a su lado. Esta acción debería mostrar el Panel de información con opciones sobre TIPOS DE REGISTROS.

Los registros de auditoría de acceso a los datos se dividen en diferentes categorías:

• Lectura de administración: registra operaciones que leen metadatos o información de configuración. Los registros de auditoría de la actividad del administrador registran la escritura de información de configuración y metadatos. No se pueden inhabilitar.
• Lectura de datos: registra operaciones que leen datos proporcionados por el usuario.
• Escritura de datos: registra operaciones que escriben datos proporcionados por el usuario.

3. Selecciona Lectura de administración, Lectura de datos y Escritura de datos y, luego, haz clic en Guardar.

Haz clic en Revisar mi progreso para verificar el objetivo. Habilitar los registros de acceso a los datos en Cloud Storage

Tarea 2: Genera actividad del administrador y de acceso a los datos

En esta tarea, crearás un bucket de almacenamiento para generar actividad de administrador y de acceso a los datos. Luego, subirás un archivo, crearás una red y una VM y, luego, borrarás el bucket de almacenamiento.

1. Abre tu terminal de Cloud Shell o cámbiate a ella.

2. Usa gcloud storage para crear un bucket de Cloud Storage con el mismo nombre que tu proyecto. Si se te solicita, haz clic en Autorizar:

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID

3. Asegúrate de que el bucket se haya creado con éxito:

gcloud storage ls

4. Crea un archivo de texto de "Hello World" simple y súbelo a tu bucket:

echo "Hello World!" > sample.txt gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID

5. Verifica que el archivo esté en el bucket:

gcloud storage ls gs://$DEVSHELL_PROJECT_ID

6. Crea una nueva red en modo automático con el nombre mynetwork. Luego, crea una máquina virtual y ponla en esa red:

gcloud compute networks create mynetwork --subnet-mode=auto gcloud compute instances create default-us-vm \ --zone={{{project_0.default_zone|Zone}}} --network=mynetwork \ --machine-type=e2-medium

Haz clic en Revisar mi progreso para verificar el objetivo. Verificar la creación del bucket, la red y la instancia de máquina virtual

7. Borra el bucket de almacenamiento:

gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID

Tarea 3: Consulta registros de auditoría

En esta tarea, verás y explorarás los registros de auditoría de la actividad de administrador y de acceso a los datos en el Explorador de registros, y examinarás los detalles de los eventos registrados, como la eliminación de buckets y las operaciones de acceso a los datos. Luego, leerás los registros de acceso a los datos con el SDK de Cloud.

Los registros de actividad del administrador contienen entradas de registro de las llamadas a la API o las otras acciones administrativas que modifican la configuración o los metadatos de los recursos. Por ejemplo, los registros inspeccionan cuándo se crean las instancias de VM y las aplicaciones de App Engine, o cuándo se cambian los permisos. Para ver los registros, debes tener los roles de Cloud Identity and Access Management de Registros/Visor de registros o Proyecto/Visualizador.

Los registros de actividad del administrador siempre están habilitados para que no sea necesario habilitarlos. No se te cobra por tus registros de auditoría de actividad del administrador.

1. En el menú de navegación () de la consola de Google Cloud, haz clic en Ver todos los productos > Observabilidad > Registro.

2. En el Explorador de registros, habilita Mostrar consulta y borra el contenido del cuadro Consulta.

3. Haz clic en el menú desplegable Todos los nombres de registro y usa el filtro para localizar el registro activity en la sección Cloud Audit. Luego, selecciona Aplicar a la consulta.

4. Presiona el botón Ejecutar consulta y, luego, usa el explorador Campos de registro para filtrar las entradas del Bucket de GCS.

5. Encuentra la entrada de registro de cuando se borró el bucket de Cloud Storage.

6. Expande la entrada de la eliminación y, luego, explora el campo protoPayload > authenticationInfo. Observa que puedes ver la dirección de correo electrónico del usuario que realizó esta acción.

   Si lo deseas, puedes explorar otros campos en la entrada. Además, observa que puedes hacer clic en muchos de los valores para agregar inclusiones o exclusiones a la consulta.

7. Borra la consulta existente y utiliza la opción Todos los nombres de registro para ver los registros data_access.

¿Qué operaciones puedes ver ahora?

Haz clic en Revisar mi progreso para verificar el objetivo. Consultar registros de auditoría

Usa el SDK de Cloud

Las entradas de registro también se pueden leer con el comando SDK de Cloud.

Ejemplo:

gcloud logging read [FILTER]

1. Cambia a la terminal de Cloud Shell o vuelve a abrirla.

2. Si quisiéramos ver esos mismos registros de acceso a los datos con la línea de comandos, podríamos ejecutar lo siguiente:

gcloud logging read \ "logName=projects/$DEVSHELL_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"

¡Felicitaciones!

En este ejercicio, examinaste los registros de auditoría de Google Cloud y trabajaste con ellos. Ahora puedes averiguar de mejor manera exactamente quién hizo qué y cuándo lo hizo. Buen trabajo.

Finalice su lab

Cuando haya completado el lab, haga clic en Finalizar lab. Google Cloud Skills Boost quitará los recursos que usó y limpiará la cuenta.

Tendrá la oportunidad de calificar su experiencia en el lab. Seleccione la cantidad de estrellas que corresponda, ingrese un comentario y haga clic en Enviar.

La cantidad de estrellas indica lo siguiente:

• 1 estrella = Muy insatisfecho
• 2 estrellas = Insatisfecho
• 3 estrellas = Neutral
• 4 estrellas = Satisfecho
• 5 estrellas = Muy satisfecho

Puede cerrar el cuadro de diálogo si no desea proporcionar comentarios.

Para enviar comentarios, sugerencias o correcciones, use la pestaña Asistencia.

Copyright 2024 Google LLC. Todos los derechos reservados. Google y el logotipo de Google son marcas de Google LLC. El resto de los nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que están asociados.