En este documento, se describen las funciones de Google Cloud que pueden ayudarte a evitar la robo de datos a través de phishing, ataques internos o entidades externas cuando usas Log Analytics. También se describen los dos motores de consultas disponibles para el Análisis de registros y cómo la elección del motor de consultas afecta los datos que puedes consultar.
Restricciones para organizaciones
Puedes usar restricciones de la organización para restringir las principales de modo que solo tengan acceso a los recursos de las organizaciones Google Cloud autorizadas. Básicamente, cuando configuras restricciones para organizaciones, configuras un proxy de salida. Por ejemplo, puedes usar restricciones para organizaciones para evitar que los datos almacenados por la organización se combinen con datos externos cuando usas Log Analytics.
Para obtener más información, consulta Cómo configurar restricciones de la organización.
Controles del servicio de VPC
Los Controles del servicio de VPC ayudan a proteger contra acciones accidentales o intencionales de entidades externas o internas, lo que contribuye a minimizar los riesgos de robo de datos no autorizados desde Google Cloud servicios como Cloud Storage y BigQuery. Puedes usar Controles del servicio de VPC para crear perímetros que protejan los recursos y datos de los servicios que especifiques de forma explícita.
Un perímetro de los Controles del servicio de VPC es un límite de seguridad alrededor de los recursos deGoogle Cloud . Permite la comunicación libre dentro del perímetro, pero, de forma predeterminada, bloquea la comunicación con los servicios de Google Cloud en todo el perímetro. Un perímetro no bloquea el acceso a ninguna API o servicio de terceros en Internet.
No confundas un perímetro de Controles del servicio de VPC con una red de nube privada virtual. Un perímetro de los Controles del servicio de VPC es un límite de seguridad.
Para obtener más información, consulta Cómo configurar un perímetro de servicio.
Elige tu motor de consultas de Log Analytics
Log Analytics te permite ejecutar tus consultas en SQL en el motor de Logging predeterminado o en el motor de BigQuery. En esta sección, se describen las diferencias entre estas dos opciones.
Para configurar el motor de consultas, en la página Log Analytics, usa el menú settings Configuración:
Ejecuta consultas en el motor de consultas predeterminado
Google Cloud Observability administra el motor de consultas predeterminado. Cuando usas este motor, puedes consultar lo siguiente:
En la siguiente tabla, se resume cómo Cloud Logging usa los roles de Identity and Access Management (IAM) para controlar el acceso a los datos que almacena:
| Fuente consultada por el Análisis de registros | Roles de IAM obligatorios para leer los datos de origen |
|---|---|
Vista de _AllLogsen el bucket de registros _Required |
Visualizador de registros (roles/logging.viewer)en el proyecto que almacena el bucket de registros _Required |
Vista de _AllLogsen el bucket de registros _Default |
Visualizador de registros privados (roles/logging.privateLogViewer)en el proyecto que almacena el bucket de registros _Default |
Vista de _Defaulten el bucket de registros de _Default |
Visualizador de registros (roles/logging.viewer)en el proyecto que almacena el bucket de registros _Default |
| Vistas de registros personalizadas (en cualquier bucket de registros) |
Para obtener acceso de lectura a todas las vistas de registros de un proyecto, se requiere el rol de Descriptor de acceso de vista de registros ( Para obtener acceso de lectura solo a una vista de registro específica en un proyecto, se debe cumplir con una de las siguientes condiciones:
|
| Vistas de Analytics | Todos los siguientes:
|
Para obtener más información sobre los roles de Logging, consulta Control de acceso con IAM.
Ejecuta consultas en el motor de BigQuery
El motor de BigQuery puede ejecutar consultas que incluyen uniones de una vista de registro con otras tablas de BigQuery. Sin embargo, para usar este motor, debes crear un conjunto de datos vinculado de BigQuery en el bucket de registros correspondiente. Un conjunto de datos vinculado es un conjunto de datos de BigQuery de solo lectura que funciona como un puntero a un conjunto de datos compartido.
Si creas conjuntos de datos vinculados para tus buckets de registros, expandes el límite de seguridad de esos datos para incluir los servicios de BigQuery. Es decir, los servicios de BigQuery ahora pueden consultar tus datos de registros con una consulta a un conjunto de datos vinculado.
Si configuras el motor de consultas como BigQuery, se cumplen las siguientes condiciones:
Puedes consultar las vistas de registros cuando existe un conjunto de datos de BigQuery vinculado para el bucket de registros asociado. Sin embargo, el servicio de Log Analytics mejora las consultas que se envían al motor de BigQuery. Por este motivo, si ves los metadatos de BigQuery, es posible que sean diferentes de lo esperado.
Antes de ejecutar una consulta, se verifican tus permisos de IAM de BigQuery.
Las consultas que ejecutas en el motor de BigQuery están sujetas a los precios de BigQuery.
En la siguiente tabla, se resume cómo el motor de BigQuery usa IAM para controlar el acceso a los datos de origen:
| Fuente consultada por el Análisis de registros | Roles de IAM obligatorios para leer los datos de origen |
|---|---|
Vista _AllLogsen el bucket de registros _Required |
Todos los siguientes:
|
Vista _AllLogsen el bucket de registros _Default |
Todos los siguientes:
|
Vista _Defaulten el bucket de registros _Default |
Todos los siguientes:
|
| Vistas de registros personalizadas (en cualquier bucket de registros) |
Todos los siguientes:
|
| Vistas de Analytics | No compatible. |
| Vista de registro unida con una tabla de BigQuery |
Todos los siguientes:
|
Para obtener información sobre cómo administrar el acceso a los conjuntos de datos vinculados de BigQuery, consulta Control de acceso de BigQuery.
¿Qué sigue?
- Cómo guardar y compartir una consulta en SQL
- Consultas en SQL de muestra
- Resultados de la consulta en SQL del gráfico