Cette documentation concerne la version actuelle de GKE sur AWS, publiée en novembre 2021. Consultez les notes de version pour plus d'informations.

Cloud Audit Logs

Présentation

GKE sur AWS est compatible avec les journaux d'audit au niveau de l'API Cloud et du cluster Kubernetes. Ce document fournit des informations sur la journalisation d'audit des clusters Kubernetes. Pour en savoir plus sur les journaux d'audit des API Cloud, consultez la page Informations sur les journaux d'audit des API Cloud.

GKE sur AWS utilise la journalisation d'audit Kubernetes, qui conserve un enregistrement chronologique des appels passés au serveur d'API Kubernetes d'un cluster. Les journaux d'audit sont utiles pour analyser les requêtes API suspectes et collecter des statistiques.

Dans les versions de cluster 1.23 et ultérieures, GKE sur AWS écrit par défaut des journaux d'audit Cloud dans un projet Google Cloud. L'écriture de journaux d'audit Cloud présente les avantages suivants :

Les journaux d'audit de tous les clusters GKE peuvent être centralisés.
Les entrées de journal écrites dans Cloud Audit Logging sont immuables.
Les entrées Cloud Audit Logging sont conservées pendant 400 jours.
Cloud Audit Logging est inclus dans le prix d'Anthos.

Limites

La version actuelle de Cloud Audit Logs pour GKE sur AWS présente plusieurs limites:

La journalisation des accès aux données (get, list, watch) n'est pas prise en charge.
La modification de la stratégie d'audit Kubernetes n'est pas acceptée.
Cloud Audit Logging n'est pas résilient aux pannes réseau étendues. Si les entrées de journal ne peuvent pas être exportées vers Google Cloud, elles sont mises en cache dans un tampon de disque de 10 Go. Si ce tampon est plein, les entrées suivantes sont ignorées.

Avant de commencer

Pour activer les journaux d'audit Cloud, vous devez ajouter un accès sortant à servicecontrol.googleapis.com à partir des sous-réseaux de votre plan de contrôle.

Règle d'audit

Le comportement de Cloud Audit Logging est déterminé par une règle de journalisation d'audit Kubernetes configurée de manière statique. La modification de cette règle n'est pas possible pour le moment, mais elle sera disponible dans une version ultérieure.

Accéder à Cloud Audit Logs

Vous pouvez accéder aux journaux d'audit Cloud dans la console Google Cloud ou avec Google Cloud CLI.

Console

Dans la console Google Cloud, accédez à la page Explorateur de journaux du menu Journalisation.

Accéder à la page Journaux
Cliquez sur le bouton Afficher la requête.

Renseignez la zone de texte avec le filtre suivant :

resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"

L'écran ressemble à ceci :

Explorateur de journaux avec activation/désactivation de l'option "Afficher la requête" et requête renseignée

Cliquez sur Exécuter la requête pour afficher tous les journaux d'audit des clusters GKE sur AWS qui ont été configurés pour se connecter à ce projet.

gcloud

Répertoriez les deux premières entrées du journal d'activité d'administration de votre projet qui s'appliquent au type de ressource k8s_cluster :

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
    AND resource.type="k8s_cluster" ' \
    --limit 2 \
    --freshness 300d

où PROJECT_ID correspond à l'ID de votre projet.

La sortie affiche deux entrées de journal. Notez que pour chaque entrée de journal, le champ logName a la valeur projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity et que protoPayload.serviceName est égal à gkemulticloud.googleapis.com.