En esta página, se describe cómo inscribir una organización, una carpeta o un proyecto como recurso para la auditoría en el Administrador de auditorías.
La inscripción realiza las siguientes tareas:
Se crea un agente de servicio administrado por Google asociado con el Administrador de auditorías, que supervisa el recurso especificado en tu nombre. La dirección de correo electrónico del agente de servicio usa el siguiente formato, en el que RESOURCE_ID es el ID de la organización, el ID de la carpeta o el ID del proyecto.
RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.comRevocar los roles de este agente de servicio puede hacer que el Administrador de auditorías deje de auditar el recurso.
Los buckets de Cloud Storage especificados se configuran como el destino para almacenar los datos de auditoría.
Cuando inscribes un recurso, también se inscriben sus recursos secundarios. Por ejemplo, si registras una organización, también se registran todos los proyectos que se encuentran dentro de ella. Si un recurso principal ya está inscrito y tú intentas inscribir uno de sus recursos secundarios, este se inscribirá de forma independiente.
Antes de comenzar
Asegúrate de tener los siguientes roles y permisos de IAM:
- Administrador del Administrador de auditorías (
roles/auditmanager.admin). - Administrador de Storage(
roles/storage.admin) o Propietario de buckets heredados de Storage (roles/storage.legacyBucketOwner)
- Administrador del Administrador de auditorías (
Para inscribir una organización o una carpeta, debes tener los siguientes permisos adicionales:
- Organización:
resourcemanager.organizations.setIamPolicy - Carpeta:
resourcemanager.folders.setIamPolicy
- Organización:
Identifica o crea buckets de Cloud Storage en los que se deban exportar los datos de auditoría.
Para obtener información sobre cómo crear buckets de Cloud Storage, consulta Crea un bucket.
Inscribe un recurso para la auditoría
Puedes registrar una organización, una carpeta o un proyecto para la auditoría en el Administrador de auditorías.
La forma más sencilla de inscribir un recurso es a través de la consola de Google Cloud . Como alternativa, puedes usar la API de Audit Manager o Google Cloud CLI.
Console
En la consola de Google Cloud , ve a la página Administrador de auditorías.
Haz clic en Configuración.
Según el recurso que hayas seleccionado en el selector de proyectos, se mostrará una lista de carpetas o proyectos en la página Configuración.
En la página Configuración, selecciona el recurso en el que deseas inscribirte en el Administrador de auditorías y haz clic en Inscribirse en la columna Estado.
En el diálogo Selecciona los detalles del bucket de almacenamiento, elige uno o más buckets de Cloud Storage en los que desees guardar tus informes y pruebas, y haz clic en Inscribirse.
Tu recurso ahora está inscrito para la auditoría.
gcloud
Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
-
RESOURCE_TYPE: Es el tipo de recurso. Los valores posibles sonorganization,folderyproject. -
RESOURCE_ID: Es el ID del recurso de la organización, la carpeta o el proyecto. Por ejemplo:8767234. -
BUCKET_URI: Es el URI del bucket de Cloud Storage. Por ejemplo:gs://testbucketauditmanager.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud audit-manager enrollments add \ --RESOURCE_TYPE=RESOURCE_ID \ --eligible-gcs-buckets=BUCKET_URI
Windows (PowerShell)
gcloud audit-manager enrollments add ` --RESOURCE_TYPE=RESOURCE_ID ` --eligible-gcs-buckets=BUCKET_URI
Windows (cmd.exe)
gcloud audit-manager enrollments add ^ --RESOURCE_TYPE=RESOURCE_ID ^ --eligible-gcs-buckets=BUCKET_URI
REST
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
RESOURCE_TYPE: Es el tipo de recurso. Los valores posibles sonorganizations,foldersyprojects. -
RESOURCE_ID: Es el ID del recurso de la organización, la carpeta o el proyecto. Por ejemplo:8767234. -
BUCKET_URI: Es el URI del bucket de Cloud Storage. Por ejemplo:gs://testbucketauditmanager.
Método HTTP y URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource
Cuerpo JSON de la solicitud:
{
"destinations": [
{
"eligibleGcsBucket": "BUCKET_URI"
}
]
}
Para enviar tu solicitud, elige una de estas opciones:
curl
Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource"
PowerShell
Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource" | Select-Object -Expand Content
Deberías recibir un código de estado exitoso (2xx) y una respuesta vacía.
Si deseas cambiar la ubicación de almacenamiento de los datos de auditoría después de la inscripción, debes actualizar la inscripción de tu recurso y especificar las nuevas ubicaciones de almacenamiento. La nueva solicitud reemplaza las ubicaciones de almacenamiento y de inscripción anteriores.