Realiza auditorías para recopilar las pruebas que necesitas para evaluar tuGoogle Cloud organización en función de los marcos de trabajo compatibles.
Una auditoría es una operación de larga duración que puede tardar algunas horas. La duración depende de la cantidad de recursos dentro del alcance de la auditoría, que es el proyecto o la carpeta en los que te inscribiste anteriormente.
Antes de comenzar
Asegúrate de tener uno de los siguientes roles de IAM:
- Administrador de Auditorías (
roles/auditmanager.admin) - Auditor de Audit Manager (
roles/auditmanager.auditor) - Visualizador del Administrador de cumplimiento (
roles/cloudsecuritycompliance.viewer) (obligatorio si auditas un marco que creaste con el Administrador de cumplimiento)
- Administrador de Auditorías (
Asegúrate de que tu proyecto o carpeta se haya inscrito para la auditoría.
Cómo ejecutar una auditoría
Console
En la consola de Google Cloud , ve a la página Ejecutar evaluación en el Administrador de auditorías.
En la sección Elige el recurso y la región, haz lo siguiente:
Selecciona el proyecto o la carpeta que se debe auditar.
Elige la ubicación en la que se debe procesar la evaluación de auditoría. Para obtener la lista de ubicaciones admitidas, consulta Ubicaciones del Administrador de auditorías.
Haz clic en Siguiente.
Selecciona el marco de trabajo con el que deseas auditar tu recurso y haz clic en Siguiente. Para obtener información sobre los frameworks compatibles, consulta Frameworks compatibles.
Opcional: En la sección Ver plan de evaluación, puedes descargar un archivo ODS que contiene información sobre el alcance de la auditoría según el framework que seleccionaste. Para descargar el archivo, haz clic en el vínculo y, luego, en Siguiente.
En la sección Elige un bucket de almacenamiento, selecciona un bucket de almacenamiento en el que se deben guardar el informe de auditoría y las pruebas, y haz clic en Listo. Si tu bucket no aparece en la lista, pídele a tu administrador que inscriba tu recurso en tu bucket de almacenamiento.
Para iniciar la auditoría, haz clic en Ejecutar auditoría.
Puedes ver el estado de la auditoría en la página Ver evaluaciones.
gcloud
Opcional: Genera una evaluación de auditoría
Antes de ejecutar una auditoría real, puedes generar una evaluación de auditoría (o alcance) que incluya un desglose detallado de las tareas para la auditoría según el marco de trabajo de cumplimiento que elegiste.
El comando gcloud audit-manager audit-scopes generate genera un permiso de auditoría.
Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
- RESOURCE_TYPE: Es el tipo de recurso, ya sea un proyecto o una carpeta. Por ejemplo:
foldersoprojects. - RESOURCE_ID: Es el ID del recurso del proyecto o la carpeta. Por ejemplo:
8767234. - LOCATION: Es la ubicación del extremo de API de Audit Manager. Para obtener una lista de los extremos disponibles, consulta Ubicaciones del Administrador de auditoría. Por ejemplo:
us-central1. - FRAMEWORK: Es el ID del framework con el que se realizará la auditoría. Por ejemplo:
builtin-cis-v8. Para encontrar el ID de un framework, consulta la página Ver evaluaciones en el Administrador de auditorías. - AUDIT_REPORT_FORMAT: Es el formato del informe de auditoría de salida.
Solo se admite el formato ODF:
AUDIT_REPORT_FORMAT_ODF. - OUTPUT_DIRECTORY: Es el directorio en el que se debe almacenar el resultado. Por ejemplo:
reports. - OUTPUT_FILENAME: Es el nombre del archivo de salida. No incluyas la extensión de archivo en el nombre del archivo. Por ejemplo:
scopeReport.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud audit-manager audit-scopes generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --output-directory=OUTPUT_DIRECTORY \ --output-file-name=OUTPUT_FILENAME
Windows (PowerShell)
gcloud audit-manager audit-scopes generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --output-directory=OUTPUT_DIRECTORY ` --output-file-name=OUTPUT_FILENAME
Windows (cmd.exe)
gcloud audit-manager audit-scopes generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --output-directory=OUTPUT_DIRECTORY ^ --output-file-name=OUTPUT_FILENAME
Cómo ejecutar una auditoría a pedido
El comando gcloud audit-manager audit-reports generate ejecuta una auditoría.
Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
- RESOURCE_TYPE: Es el tipo de recurso, ya sea un proyecto o una carpeta. Por ejemplo:
foldersoprojects. - RESOURCE_ID: Es el ID del recurso del proyecto o la carpeta. Por ejemplo:
8767234. - LOCATION: Es la ubicación del extremo de API de Audit Manager. Para obtener una lista de los extremos disponibles, consulta Ubicaciones del Administrador de auditoría. Por ejemplo:
us-central1. - FRAMEWORK: Es el ID del framework con el que se realizará la auditoría. Por ejemplo:
builtin-cis-v8. Para encontrar el ID de un framework, consulta la página Ver evaluaciones en el Administrador de auditorías. - BUCKET_URI: Es el URI del bucket de Cloud Storage. Por ejemplo:
gs://testbucketauditmanager. - AUDIT_REPORT_FORMAT: Es el formato del informe de auditoría de salida.
Solo se admite el formato ODF:
AUDIT_REPORT_FORMAT_ODF.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud audit-manager audit-reports generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --gcs-uri=BUCKET_URI
Windows (PowerShell)
gcloud audit-manager audit-reports generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --gcs-uri=BUCKET_URI
Windows (cmd.exe)
gcloud audit-manager audit-reports generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --gcs-uri=BUCKET_URI
Deberías recibir una respuesta similar a la que figura a continuación:
done: false name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24
REST
Opcional: Genera una evaluación de auditoría
Antes de ejecutar una auditoría real, puedes generar una evaluación de auditoría (o alcance) que incluya un desglose detallado de las tareas para la auditoría según el marco de trabajo de cumplimiento que elegiste.
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
- RESOURCE_TYPE: Es el tipo de recurso, ya sea un proyecto o una carpeta. Por ejemplo:
foldersoprojects. - RESOURCE_ID: Es el ID del recurso del proyecto o la carpeta. Por ejemplo:
8767234. - LOCATION: Es la ubicación del extremo de API de Audit Manager. Para obtener una lista de los extremos disponibles, consulta Ubicaciones del Administrador de auditoría. Por ejemplo:
us-central1. - FRAMEWORK: Es el ID del framework con el que se realizará la auditoría. Por ejemplo:
builtin-cis-v8. Para encontrar el ID de un framework, consulta la página Ver evaluaciones en el Administrador de auditorías. - AUDIT_REPORT_FORMAT: Es el formato del informe de auditoría de salida.
Solo se admite el formato ODF:
AUDIT_REPORT_FORMAT_ODF.
Método HTTP y URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate
Cuerpo JSON de la solicitud:
{
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
Para enviar tu solicitud, elige una de estas opciones:
curl
Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"
PowerShell
Guarda el cuerpo de la solicitud en un archivo llamado request.json
y ejecuta el siguiente comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content
Deberías recibir una respuesta JSON similar a la que se muestra a continuación:
{
"scope_report_contents" : "980u43nrf090834uhbkfehf......"
"name" : "folders/8767234/locations/us-west"
}
La respuesta contiene la siguiente información:
name: Es un identificador de cadena único del recurso aplicable.
El campo scope_reports_contents es el formato de bytes del contenido, que debe convertirse al formato ODF antes de la revisión.
Cómo ejecutar una auditoría a pedido
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
- RESOURCE_TYPE: Es el tipo de recurso, ya sea un proyecto o una carpeta. Por ejemplo:
foldersoprojects. - RESOURCE_ID: Es el ID del recurso del proyecto o la carpeta. Por ejemplo:
8767234. - LOCATION: Es la ubicación del extremo de API de Audit Manager. Para obtener una lista de los extremos disponibles, consulta Ubicaciones del Administrador de auditoría. Por ejemplo:
us-central1. - FRAMEWORK: Es el ID del framework con el que se realizará la auditoría. Por ejemplo:
builtin-cis-v8. Para encontrar el ID de un framework, consulta la página Ver evaluaciones en el Administrador de auditorías. - BUCKET_URI: Es el URI del bucket de Cloud Storage. Por ejemplo:
gs://testbucketauditmanager. - AUDIT_REPORT_FORMAT: Es el formato del informe de auditoría de salida.
Solo se admite el formato ODF:
AUDIT_REPORT_FORMAT_ODF.
Método HTTP y URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate
Cuerpo JSON de la solicitud:
{
"destination" : {
"gcs_uri" : "BUCKET_URI"
},
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
Para enviar tu solicitud, elige una de estas opciones:
curl
Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"
PowerShell
Guarda el cuerpo de la solicitud en un archivo llamado request.json
y ejecuta el siguiente comando:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content
Deberías recibir una respuesta JSON similar a la que se muestra a continuación:
{
"name": "organizations/834/projects/10398413/locations/987234/operations/098234",
"done": false
}
La respuesta contiene la siguiente información:
name: Es un identificador de cadena único de la solicitud de operación de evaluación de auditoría. Este identificador se usa para hacer un seguimiento del progreso del proceso de evaluación de la auditoría. Por ejemplo:operation/098234.done: Es una marca booleana establecida enfalseque indica que se activó el proceso. Se establece entruecuando se completa la evaluación de la auditoría.