Ce document décrit les Google Cloud fonctionnalités qui peuvent vous aider à éviter l'exfiltration de données par hameçonnage, attaques internes ou entités externes lorsque vous utilisez Observability Analytics. Il décrit également les deux moteurs de requête disponibles pour Observability Analytics et explique comment le choix du moteur de requête affecte les données que vous pouvez interroger.
Restrictions sur les organisations
Vous pouvez utiliser des restrictions sur les organisations pour limiter les principaux afin qu'ils n'aient accès qu'aux ressources des organisations autorisées Google Cloud . En d'autres termes, lorsque vous configurez des restrictions sur les organisations, vous configurez un proxy de sortie. Par exemple, vous pouvez utiliser des restrictions sur les organisations pour empêcher que les données stockées par l'organisation ne soient combinées avec des données externes lorsque vous utilisez Observability Analytics.
Pour en savoir plus, consultez Configurer des restrictions sur les organisations.
VPC Service Controls
VPC Service Controls vous aide à vous protéger contre les actions accidentelles ou ciblées par des entités externes ou des entités internes, ce qui permet de minimiser les risques d'exfiltration de données non justifiée à partir de Google Cloud services tels que Cloud Storage et BigQuery. VPC Service Controls vous permet de créer des périmètres qui protègent les ressources et les données des services que vous spécifiez explicitement.
Un périmètre VPC Service Controls est une limite de sécurité autour Google Cloud des ressources. Il permet une communication libre au sein du périmètre, mais, bloque par défaut la communication avec les Google Cloud services au-delà du périmètre. Un périmètre ne bloque pas l'accès aux API ni aux services tiers sur Internet.
Ne confondez pas un périmètre VPC Service Controls avec un réseau de cloud privé virtuel. Un périmètre VPC Service Controls est une limite de sécurité.
Pour en savoir plus, consultez Configurer un périmètre de service.
Choisir votre moteur de requête Observability Analytics
Observability Analytics vous permet d'exécuter vos requêtes SQL sur le moteur Logging par défaut ou sur le moteur BigQuery. Cette section décrit les différences entre ces deux options.
Pour définir le moteur de requête, sur la page Observability Analytics , utilisez le menu settings Paramètres :
Exécuter des requêtes sur le moteur de requête par défaut
Le moteur de requête par défaut est géré par Google Cloud Observability. Lorsque vous utilisez ce moteur, vous pouvez interroger les éléments suivants :
Le tableau suivant récapitule comment Cloud Logging utilise les rôles Identity and Access Management (IAM) pour contrôler l'accès aux données qu'il stocke :
| Source interrogée par Observability Analytics | Rôle(s) IAM requis pour lire les données sources |
|---|---|
Vue _AllLogs sur le bucket de journaux _Required |
Lecteur de journaux (roles/logging.viewer)sur le projet qui stocke le bucket de journaux _Required. |
Vue _AllLogs sur le bucket de journaux _Default |
Lecteur de journaux privés (roles/logging.privateLogViewer)sur le projet qui stocke le bucket de journaux _Default. |
Vue _Default sur le bucket de journaux _Default |
Lecteur de journaux (roles/logging.viewer)sur le projet qui stocke le bucket de journaux _Default. |
| Vues de journaux personnalisées (sur n'importe quel bucket de journaux) |
Pour un accès en lecture à toutes les vues de journaux d'un projet : Pour un accès en lecture à une seule vue de journaux spécifique dans un projet, effectuez l'une des opérations suivantes :
|
| Vues Analytics | Tous les éléments suivants :
|
Pour en savoir plus sur les rôles Logging, consultez Contrôle des accès avec IAM.
Exécuter des requêtes sur le moteur BigQuery
Le moteur BigQuery peut exécuter des requêtes qui incluent des jointures d'une vue de journaux avec d'autres tables BigQuery. Toutefois, pour utiliser ce moteur, vous devez créer un ensemble de données BigQuery associé sur le bucket de journaux correspondant. Un ensemble de données associé est un ensemble de données BigQuery en lecture seule qui sert de pointeur vers un ensemble de données partagé.
Si vous créez des ensembles de données associés pour vos buckets de journaux, vous étendez la limite de sécurité de ces données pour inclure les services BigQuery. Autrement dit, les services BigQuery peuvent désormais interroger vos données de journaux en envoyant une requête à un ensemble de données associé.
Si vous définissez le moteur de requête sur BigQuery, les conditions suivantes sont remplies :
Vous pouvez interroger des vues de journaux lorsqu'un ensemble de données BigQuery associé existe pour le bucket de journaux associé. Toutefois, le service Observability Analytics améliore les requêtes envoyées au moteur BigQuery. Pour cette raison, si vous affichez des métadonnées BigQuery, elles peuvent être différentes de celles attendues.
Avant l'exécution d'une requête, vos autorisations IAM BigQuery sont vérifiées.
Les requêtes que vous exécutez sur le moteur BigQuery sont soumises à la tarification BigQuery.
Le tableau suivant récapitule comment le moteur BigQuery utilise IAM pour contrôler l'accès aux données sources :
| Source interrogée par Observability Analytics | Rôle(s) IAM requis pour lire les données sources |
|---|---|
Vue _AllLogs sur le bucket de journaux _Required |
Tous les éléments suivants :
|
Vue _AllLogs sur le bucket de journaux _Default |
Tous les éléments suivants :
|
Vue _Default sur le bucket de journaux _Default |
Tous les éléments suivants :
|
| Vues de journaux personnalisées (sur n'importe quel bucket de journaux) |
Tous les éléments suivants :
|
| Vues Analytics | Non compatible |
| Vue de journaux jointe à une table BigQuery |
Tous les éléments suivants :
|
Pour en savoir plus sur la gestion de l'accès aux ensembles de données BigQuery associés, consultez Contrôle des accès BigQuery.
Étape suivante
- Enregistrer et partager une requête SQL.
- Exemples de requêtes SQL.
- Représenter les résultats d'une requête SQL sous forme de graphique.