Configurer et afficher le tableau de bord des cas de non-respect

Cette page explique comment configurer et utiliser le tableau de bord des cas de non-respect de VPC Service Controls pour afficher les détails des refus d'accès par périmètre de service dans votre organisation.

Coût

Lorsque vous utilisez le tableau de bord des cas de non-respect de VPC Service Controls, vous devez tenir compte des frais engendrés par l'utilisation des composants facturables suivants de Google Cloud :

  • Étant donné que vous déployez des ressources Cloud Logging dans votre organisation lorsque vous configurez le tableau de bord des cas de non-respect, l'utilisation de ces ressources entraîne certains frais.

  • Comme vous utilisez un récepteur de routeur de journaux au niveau de l'organisation pour le tableau de bord des cas de non-respect, VPC Service Controls duplique tous vos journaux d'audit dans le bucket de journaux configuré. L'utilisation du bucket de journaux entraîne des frais. Pour estimer le coût potentiel de l'utilisation du bucket de journaux, interrogez et calculez le volume de vos journaux d'audit. Pour en savoir plus sur l'interrogation de vos journaux existants, consultez Afficher les journaux.

Pour en savoir plus sur les tarifs de Cloud Logging et Cloud Monitoring, consultez Tarifs de Google Cloud Observability.

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Service Usage API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Service Usage API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

    Rôles requis

    • Pour obtenir les autorisations nécessaires pour configurer le tableau de bord des cas de non-respect, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Logging (roles/logging.admin) sur le projet dans lequel vous configurez un bucket de journaux lors de la configuration du tableau de bord des cas de non-respect. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

      Ce rôle prédéfini contient les autorisations requises pour configurer le tableau de bord des cas de non-respect. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

      Autorisations requises

      Les autorisations suivantes sont requises pour configurer le tableau de bord des cas de non-respect :

      • Pour lister les buckets de journaux du projet sélectionné : logging.buckets.list
      • Pour créer un bucket de journaux : logging.buckets.create
      • Pour activer l'analyse de journaux dans le bucket de journaux sélectionné : logging.buckets.update
      • Pour créer un récepteur de routeur de journaux : logging.sinks.create

      Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

    • Pour obtenir les autorisations nécessaires pour afficher le tableau de bord des cas de non-respect, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet dans lequel vous configurez un bucket de journaux lors de la configuration du tableau de bord des cas de non-respect :

      Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

      Ces rôles prédéfinis contiennent les autorisations requises pour afficher le tableau de bord des cas de non-respect. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

      Autorisations requises

      Les autorisations suivantes sont requises pour afficher le tableau de bord des cas de non-respect :

      • Pour afficher les noms des règles d'accès : accesscontextmanager.policies.list
      • Pour afficher les noms des projets : resourcemanager.projects.get

      Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

    Configurer le tableau de bord

    Pour configurer le tableau de bord des cas de non-respect, vous devez configurer un bucket de journaux pour agréger les journaux d'audit VPC Service Controls et créer un récepteur de routeur de journaux au niveau de l'organisation qui acheminera tous les journaux d'audit VPC Service Controls vers le bucket de journaux.

    Pour configurer le tableau de bord des cas de non-respect pour votre organisation, procédez comme suit :

    1. Dans la console Google Cloud , accédez à la page VPC Service Controls.

      Accéder à VPC Service Controls

      Si vous y êtes invité, sélectionnez votre organisation. Vous ne pouvez accéder à la page VPC Service Controls qu'au niveau de l'organisation.

    2. Sur la page VPC Service Controls, cliquez sur Tableau de bord des cas de non-respect.

    3. Sur la page de Configuration du tableau de bord des cas de non-respect, dans le champ Projet, sélectionnez le projet contenant le bucket de journaux dans lequel vous souhaitez agréger les journaux d'audit.

    4. Pour Destination du bucket de journaux, sélectionnez Bucket de journaux existant ou Créer un bucket de journaux.

      • Si vous souhaitez utiliser un bucket de journaux existant, sélectionnez-le dans la liste Bucket de journaux.

      • Si vous créez un bucket de journaux, saisissez les informations requises dans les champs suivants :

        1. Nom : nom de votre bucket de journaux.

        2. Description : description de votre bucket de journaux.

        3. Région : région dans laquelle vous souhaitez stocker vos journaux.

        4. Durée de conservation : durée personnalisée pendant laquelle Cloud Logging doit conserver vos journaux.

        Pour en savoir plus sur ces champs, consultez Créer un bucket.

    5. Cliquez sur Créer un récepteur de routeur de journaux. VPC Service Controls crée un récepteur de routeur de journaux nommé reserved_vpc_sc_dashboard_log_router dans le projet sélectionné.

    Cette opération prend environ une minute.

    Afficher les refus d'accès dans le tableau de bord

    Une fois le tableau de bord des cas de non-respect configuré, vous pouvez l'utiliser pour afficher des informations détaillées sur les refus d'accès par périmètre de service dans votre organisation.

    1. Dans la console Google Cloud , accédez à la page VPC Service Controls.

      Accéder à VPC Service Controls

      Si vous y êtes invité, sélectionnez votre organisation. Vous ne pouvez accéder à la page VPC Service Controls qu'au niveau de l'organisation.

    2. Sur la page VPC Service Controls, cliquez sur Tableau de bord des cas de non-respect. La page Tableau de bord des cas de non-respect s'affiche.

    Sur la page Tableau de bord des cas de non-respect, vous pouvez effectuer les opérations suivantes :

    • Filtrage : dans la liste  Filtrer, sélectionnez les options requises pour filtrer et afficher des données spécifiques (par exemple, le compte principal, la règle d'accès ou la ressource). Pour appliquer une valeur spécifique de l'un des tableaux en tant que filtre, cliquez sur  Ajouter un filtre avant la valeur.

    • Intervalles de temps : pour sélectionner la période des données, cliquez sur l'un des intervalles de temps prédéfinis. Pour définir une période personnalisée, cliquez sur Personnalisée.

    • Tableaux et graphiques : faites défiler la page Tableau de bord des cas de non-respect pour afficher les données classées dans différents tableaux et graphiques. Le tableau de bord des cas de non-respect affiche les tableaux et graphiques suivants :

      • Cas de non-respect

      • Nombre de cas de non-respect

      • Principaux cas de non-respect par compte principal

      • Principaux cas de non-respect par adresse IP de compte principal

      • Principaux cas de non-respect par service

      • Principaux cas de non-respect par méthode

      • Principaux cas de non-respect par ressource

      • Principaux cas de non-respect par périmètre de service

      • Principaux cas de non-respect par règle d'accès

    • Résoudre les problèmes d'accès refusé : cliquez sur le jeton de dépannage d'un accès refusé listé dans le tableau des Cas de non-respect pour diagnostiquer l'accès refusé à l'aide de l'analyseur de cas de non-respect. VPC Service Controls ouvre l'analyseur de cas de non-respect et affiche les résultats du dépannage du refus d'accès.

      Pour en savoir plus sur l'utilisation de l'analyseur des cas de non-respect, consultez Diagnostiquer un refus d'accès à l'aide d'un jeton de dépannage dans l'analyseur de cas de non-respect (Preview).

    • Pagination : le tableau de bord des cas de non-respect pagine les données affichées dans tous les tableaux. Cliquez sur  Précédent et  Suivant pour parcourir et afficher les données paginées.

    • Modifier le récepteur de routeur de journaux : pour modifier le récepteur de routeur de journaux configuré, cliquez sur Modifier le récepteur de journaux.

      Pour savoir comment modifier un récepteur de routeur de journaux, consultez Gérer les récepteurs.

    Résoudre les problèmes

    Si vous rencontrez des problèmes lors de l'utilisation du tableau de bord des cas de non-respect, essayez de les résoudre en suivant les instructions des sections suivantes.

    Un périmètre de service a refusé l'accès à votre compte utilisateur

    Si vous rencontrez une erreur due à des autorisations insuffisantes, vérifiez si un périmètre de service dans votre organisation refuse l'accès à l'API Cloud Logging. Pour résoudre ce problème, créez une règle d'entrée qui vous permet d'accéder à l'API Cloud Logging :

    1. Dans la console Google Cloud , accédez à la page VPC Service Controls.

      Accéder à VPC Service Controls

      Si vous y êtes invité, sélectionnez votre organisation.

    2. Sur la page VPC Service Controls, cliquez sur le périmètre de service qui protège le projet contenant votre bucket de journaux.

    3. Créez une règle d'entrée qui vous permet d'accéder à l'API Cloud Logging dans le projet.

    Un périmètre de service a refusé l'accès au bucket de journaux

    Si VPC Service Controls n'achemine pas vos journaux d'audit vers le bucket de journaux configuré, vous devrez peut-être créer une règle d'entrée qui autorise le compte de service du récepteur de routeur de journaux à accéder à l'API Cloud Logging dans votre périmètre de service :

    1. Dans la console Google Cloud , accédez à la page Routeur de journaux.

      Accéder au routeur de journaux

    2. Sur la page Routeur de journaux, sélectionnez le  Menu du récepteur de routeur de journaux configuré, puis sélectionnez Afficher les détails du récepteur.

    3. Dans la boîte de dialogue Détails du récepteur, copiez le compte de service utilisé par le récepteur de routeur de journaux à partir du champ Identité du rédacteur.

    4. Dans la console Google Cloud , accédez à la page VPC Service Controls.

      Accéder à VPC Service Controls

      Si vous y êtes invité, sélectionnez votre organisation.

    5. Sur la page VPC Service Controls, cliquez sur le périmètre de service qui protège le projet contenant votre bucket de journaux.

    6. Créez une règle d'entrée qui autorise le compte de service du récepteur de routeur de journaux à accéder à l'API Cloud Logging dans le projet.

    Limites

    • VPC Service Controls ne remplit pas les journaux d'audit à partir d'autres buckets au niveau du projet :

      • Si vous créez un bucket de journaux lorsque vous configurez le tableau de bord des cas de non-respect, VPC Service Controls ne remplit pas le nouveau bucket de journaux avec les journaux existants provenant d'autres projets de votre organisation. Le tableau de bord apparaît vide jusqu'à ce que VPC Service Controls enregistre de nouveaux cas de non-respect et achemine ces journaux vers le nouveau bucket de journaux.

      • Si vous sélectionnez un bucket de journaux existant lors de la configuration du tableau de bord des cas de non-respect, le tableau de bord affiche les informations de tous les journaux existants du bucket de journaux sélectionné. Le tableau de bord n'affiche pas les journaux des autres projets de votre organisation, car VPC Service Controls ne les remplit pas dans le bucket de journaux sélectionné.

    Étapes suivantes