Utiliser les tableaux de bord Policy Controller

Cette page explique comment utiliser les tableaux de bord Policy Controller pour afficher la couverture de vos règles et les cas de non-respect des clusters.

Utilisez la console Google Cloud pour afficher un tableau de bord contenant des informations sur la couverture de votre règle. Le tableau de bord affiche les informations suivantes :

  • Nombre de clusters d'un parc (y compris les clusters non enregistrés) sur lesquels Policy Controller est installé.
  • Nombre de clusters sur lesquels Policy Controller est installé et qui ne respectent pas les règles.
  • Nombre de contraintes appliquées à vos clusters par action d'application.

Si vous utilisez des groupes Policy Controller, vous pouvez obtenir un aperçu de votre conformité basée sur les normes dans un ou plusieurs groupes. Cette présentation est agrégée au niveau du parc et inclut également vos clusters non enregistrés (preview).

Avant de commencer

  1. Assurez-vous que vos clusters sont enregistrés auprès d'un parc et que Policy Controller est installé sur vos clusters.

  2. Pour obtenir les autorisations nécessaires pour utiliser le tableau de bord Policy Controller, demandez à votre administrateur de vous accorder les rôles IAM suivants :

    • Lecteur GKE Hub (roles/gkehub.viewer) sur le projet contenant votre parc
    • Lecteur Monitoring (roles/monitoring.viewer) sur chaque projet avec un cluster dans votre parc

    Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Afficher l'état de Policy Controller

Vous pouvez afficher des informations sur la couverture de votre règle dans la console Google Cloud.

  1. Dans la console Google Cloud, accédez à la page Stratégie de GKE Enterprise sous la section Gestion de la stratégie.

    Accéder à la règle

    Dans l'onglet Tableau de bord, consultez un aperçu de votre couverture de Policy Controller avec les informations suivantes :

    • La couverture de Policy Controller indique le nombre de clusters sur lesquels Policy Controller est installé et n'est pas installé.
    • La section Clusters non conformes indique le nombre de clusters ne présentant aucun cas de non-respect et le nombre de clusters présentant des cas de non-respect. Les cas de non-respect sont basés sur les contraintes appliquées au cluster.
    • L'action Application indique le type d'action spécifié dans chaque contrainte. Pour en savoir plus sur les actions d'application, consultez la page Effectuer un audit à l'aide de contraintes.
    • La section Conformité par normes offre un aperçu de votre conformité par rapport aux normes d'un ou plusieurs groupes Policy Controller. Si vous n'utilisez aucun bundle, l'état indiqué dans cette section est "100 % non appliqué".

  2. Pour afficher des informations plus détaillées sur les cas de non-respect des règles dans votre cluster, accédez à l'onglet Cas de non-respect :

    1. Dans la section Afficher par, sélectionnez l'une des options suivantes :

      • Contrainte : affichez une liste plate de toutes les contraintes présentant des cas de non-respect votre cluster.
      • Espace de noms : affichez les contraintes présentant des cas de non-respect, organisées par l'espace de noms contenant la ressource concernée.
      • Genre de ressource : affichez les contraintes présentant des cas de non-respect, organisées par la ressource présentant un cas de non-respect.

    2. Dans n'importe quelle vue, sélectionnez le nom de la contrainte que vous souhaitez afficher.

      L'onglet Détails affiche des informations sur le cas de non-respect, y compris l'action recommandée pour le résoudre.

      L'onglet Ressources concernées affiche des informations sur les ressources en cours d'évaluation par la contrainte et qui présentent des cas de non-respect des règles.

Afficher les résultats de règles dans Security Command Center

Une fois Policy Controller installé, vous pouvez consulter les cas de non-respect des règles dans Security Command Center. Cela vous permet de visualiser la stratégie de sécurité de vos ressources Google Cloud et de vos ressources Kubernetes au même endroit. Security Command Center doit être activé dans votre organisation au niveau Standard ou Premium.

Dans Security Command Center, les cas de non-respect des règles s'affichent sous la forme de résultats Misconfiguration. La catégorie et les étapes suivantes pour chaque résultat sont identiques à la description et aux étapes de résolution de la contrainte.

Pour en savoir plus sur l'utilisation de Policy Controller dans Security Command Center, consultez la page Résultats de failles de Policy Controller.