Les actions sensibles sont toujours écrites dans les journaux de la plate-forme Sensitive Actions Service. De plus, Google Cloud fournit un résumé des actions sensibles via de Advisory Notifications.
Des liens permettant d'afficher les trois premières actions individuelles de chaque type dans les journaux de la plate-forme sont fournis dans la notification. Vous devez disposer d'un rôle Identity and Access Management approprié
, tel que
roles/logs.viewer, pour pouvoir afficher les journaux Cloud Logging.
S'il existe plus de trois actions sensibles d'un type particulier, la notification peut également fournir un lien permettant d'afficher toutes les actions dans Logging. Toutefois, ce lien n'est pas fourni dans tous les cas. Certaines actions sensibles, telles que l'ajout d'une clé SSH au niveau du projet, peuvent se produire dans plusieurs projets différents de votre organisation. Dans ce cas, Google ne peut pas vous fournir un seul lien Logging pour afficher toutes les actions sensibles, car Logging est toujours limité à une ressource particulière (projet, dossier ou organisation).
Afficher tous les journaux d'actions sensibles dans l'organisation
Si vous souhaitez afficher tous les journaux d'actions sensibles de votre organisation, vous pouvez configurer un bucket Logging pour les agréger.
Utilisez la requête suivante pour inclure tous les journaux d'actions sensibles dans le bucket :
logName:sensitiveaction.googleapis.com%2Faction
Vous pouvez ajouter des termes supplémentaires si vous ne souhaitez que certains types de journaux d'actions sensibles, tels que AND "add_ssh_key".
Configurer des alertes pour les journaux d'actions sensibles
Si vous souhaitez recevoir des alertes plus fréquentes concernant les actions sensibles, vous pouvez configurer une alerte basée sur les journaux. Par exemple, utilisez la requête suivante pour faire correspondre tous les journaux d'actions sensibles :
logName:sensitiveaction.googleapis.com%2Faction
Étape suivante
- Découvrez la journalisation d'audit.