Cette page explique comment enregistrer une organisation, un dossier ou un projet en tant que ressource à auditer dans Audit Manager.
L'inscription permet d'effectuer les tâches suivantes :
Un agent de service géré par Google associé à Audit Manager est créé. Il surveille la ressource spécifiée en votre nom. L'adresse e-mail de l'agent de service utilise le format suivant, où RESOURCE_ID correspond à l'ID de l'organisation, du dossier ou du projet.
RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.comLa révocation des rôles de cet agent de service peut entraîner l'arrêt de l'audit de la ressource par Audit Manager.
Les buckets Cloud Storage spécifiés sont configurés comme destination pour stocker les données d'audit.
Lorsque vous enregistrez une ressource, ses ressources enfants le sont également. Par exemple, si vous inscrivez une organisation, tous les projets de cette organisation sont également inscrits. Si une ressource parente est déjà inscrite et que vous tentez d'inscrire l'une de ses ressources enfants, celle-ci est inscrite indépendamment.
Avant de commencer
Assurez-vous de disposer des rôles et autorisations IAM suivants :
- Administrateur Audit Manager (
roles/auditmanager.admin) - Administrateur de l'espace de stockage(
roles/storage.admin) ou Propriétaire des anciens buckets de l'espace de stockage (roles/storage.legacyBucketOwner)
- Administrateur Audit Manager (
Pour enregistrer une organisation ou un dossier, vous devez disposer des autorisations supplémentaires suivantes :
- Organisation :
resourcemanager.organizations.setIamPolicy - Dossier :
resourcemanager.folders.setIamPolicy
- Organisation :
Identifiez ou créez des buckets Cloud Storage dans lesquels les données d'audit doivent être exportées.
Pour savoir comment créer des buckets Cloud Storage, consultez Créer un bucket.
Enregistrer une ressource pour l'audit
Vous pouvez inscrire une organisation, un dossier ou un projet pour l'audit dans Audit Manager.
Le moyen le plus simple d'enregistrer une ressource consiste à utiliser la console Google Cloud . Vous pouvez également utiliser l'API Audit Manager ou Google Cloud CLI.
Console
Dans la console Google Cloud , accédez à la page Audit Manager.
Cliquez sur Paramètres.
En fonction de la ressource que vous avez sélectionnée dans le sélecteur de projet, une liste de dossiers ou de projets s'affiche sur la page Paramètres.
Sur la page Paramètres, sélectionnez la ressource que vous souhaitez enregistrer dans Audit Manager, puis cliquez sur Enregistrer dans la colonne État.
Dans la boîte de dialogue Sélectionner les détails du bucket de stockage, sélectionnez un ou plusieurs buckets Cloud Storage dans lesquels vous souhaitez enregistrer vos rapports et vos preuves, puis cliquez sur S'inscrire.
Votre ressource est désormais enregistrée pour l'audit.
gcloud
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
RESOURCE_TYPE: type de ressource. Les valeurs possibles sontorganization,folderetproject. -
RESOURCE_ID: ID de ressource de l'organisation, du dossier ou du projet. Exemple :8767234. -
BUCKET_URI: URI du bucket Cloud Storage. Exemple :gs://testbucketauditmanager.
Exécutez la commande suivante :
Linux, macOS ou Cloud Shell
gcloud audit-manager enrollments add \ --RESOURCE_TYPE=RESOURCE_ID \ --eligible-gcs-buckets=BUCKET_URI
Windows (PowerShell)
gcloud audit-manager enrollments add ` --RESOURCE_TYPE=RESOURCE_ID ` --eligible-gcs-buckets=BUCKET_URI
Windows (cmd.exe)
gcloud audit-manager enrollments add ^ --RESOURCE_TYPE=RESOURCE_ID ^ --eligible-gcs-buckets=BUCKET_URI
REST
Avant d'utiliser les données de requête, effectuez les remplacements suivants :
-
RESOURCE_TYPE: type de ressource. Les valeurs possibles sontorganizations,foldersetprojects. -
RESOURCE_ID: ID de ressource de l'organisation, du dossier ou du projet. Exemple :8767234. -
BUCKET_URI: URI du bucket Cloud Storage. Exemple :gs://testbucketauditmanager.
Méthode HTTP et URL :
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource
Corps JSON de la requête :
{
"destinations": [
{
"eligibleGcsBucket": "BUCKET_URI"
}
]
}
Pour envoyer votre requête, choisissez l'une des options suivantes :
curl
Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource"
PowerShell
Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource" | Select-Object -Expand Content
Vous devriez recevoir un code d'état indiquant le succès de l'opération (2xx), ainsi qu'une réponse vide.
Si vous souhaitez modifier l'emplacement de stockage des données d'audit après l'enregistrement, vous devez mettre à jour l'enregistrement de votre ressource et spécifier les nouveaux emplacements de stockage. L'inscription et les emplacements de stockage précédents sont remplacés par la nouvelle demande.