La page décrit les journaux d'audit créés par Cloud Build.
Résumé des journaux d'audit
Les services Google Cloud écrivent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand au sein de vos projets et organisations Google Cloud.
Les informations consignées dans les journaux d'audit sont divisées en différentes catégories :
Activités d'administration correspond aux opérations de modification de la configuration ou des métadonnées d'une ressource Cloud Build. Tout appel d'API qui crée ou annule une compilation et crée, supprime, active, désactive ou met à jour un déclencheur entre dans cette catégorie. Ces informations d'audit sont fournies par défaut.
Accès aux données (ADMIN_READ, lecture administrateur) : les opérations de lecture de la configuration ou des métadonnées d'une ressource. Ces informations d'audit sont fournies par défaut.
Accès aux données (DATA_READ, lecture de données) correspond aux opérations de lecture des données fournies par l'utilisateur à partir d'une ressource. Ces informations d'audit sont fournies par défaut.
Accès aux données (DATA_WRITE, écriture de données) correspond aux opérations d'écriture des données fournies par l'utilisateur sur une ressource. Ces informations d'audit sont fournies par défaut.
Pour plus d'informations, consultez la section Cloud Audit Logging.
Opérations auditées
Le tableau suivant récapitule les opérations de l'API Cloud Build répertoriées dans chaque catégorie de journal d'audit :
Catégorie de journaux d'audit | Opérations Cloud Build |
---|---|
Activité d'administration |
|
Accès aux données ADMIN_READ (ADMIN_READ, lecture administrateur) |
|
Accès aux données DATA_READ (DATA_READ, lecture de données) |
Aucun |
Accès aux données DATA_WRITE (DATA_WRITE, écriture de données) |
Aucun |
Contrairement aux journaux d'audit des autres services, Cloud Build ne dispose que de journaux des accès aux données en ADMIN_READ
, (lecture_administrateur) et n'offre pas de journaux en DATA_READ
(lecture_de_données) et DATA_WRITE
(écriture_de_données). En effet, les journaux DATA_READ
et DATA_WRITE
ne sont utilisés que pour les services qui stockent et gèrent des données utilisateur, et Cloud Build considère que les compilations et les déclencheurs sont des informations de configuration d'administration.
Autorisations d'accès aux journaux
Les utilisateurs suivants peuvent afficher les journaux pour les activités d'administration :
- Propriétaires, éditeurs et lecteurs de projet
- Utilisateurs disposant du rôle IAM de lecteur de journaux
- Utilisateurs disposant de l'autorisation IAM
logging.logEntries.list
Les utilisateurs suivants peuvent afficher les journaux pour l'accès aux données :
- Propriétaires de projet
- Utilisateurs disposant du rôle IAM de lecteur des journaux privés
- Utilisateurs disposant de l'autorisation IAM
logging.privateLogEntries.list
Pour obtenir des instructions sur l'octroi d'autorisations IAM, consultez la section Configurer le contrôle des accès.
Format des journaux d'audit
Les entrées du journal d'audit ont la structure suivante :
- Un objet de type
LogEntry
qui contient l'intégralité de l'entrée de journal - Un objet de type
AuditLog
contenu dans le champprotoPayload
de l'objetLogEntry
Connaître les informations contenues dans ces objets vous aidera à comprendre et à récupérer les entrées de vos journaux d'audit à l'aide de l'explorateur de journaux et de l'API Stackdriver Logging.
Toutes les entrées des journaux d'audit contiennent le nom d'un journal d'audit, d'une ressource et d'un service.
logName : ce champ indique si le journal est un journal d'audit d'activité administrateur ou d'accès aux données. Exemple :
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
Au sein d'un projet ou d'une organisation, ces noms de journaux sont généralement présentés sous une forme abrégée :
activity
etdata_access
.Type de ressource surveillée
build
: inclut le projet, la compilation et le déclencheur de compilation pour l'opération auditée.
serviceName : pour Cloud Build, le champ contiendra
cloudbuild.googleapis.com
.Les types de ressources appartiennent à un seul service, mais un service peut avoir plusieurs types de ressources. Pour obtenir la liste des services et des ressources, consultez la section Mapper des services sur des ressources.
Pour en savoir plus, consultez la page Types de données des journaux d'audit.
Activer des journaux
Les journaux d'activité de l'administrateur sont activés et enregistrés par défaut. Ils ne sont pas comptabilisés dans votre quota d'ingestion de journaux.
Les journaux pour l'accès aux données ne sont pas enregistrés par défaut. Vous pouvez configurer les journaux d'audit pour l'accès aux données dans votre projet ou votre organisation. Pour savoir comment activer les journaux pour des opérations liées à l'accès aux données, consultez la page Configurer les journaux pour l'accès aux données.
Quotas et limites
Les journaux d'activité d'administration ne sont pas comptabilisés dans votre quota d'ingestion de journaux.
Les opérations d'accès aux données sont nombreuses et sont comptabilisées dans votre quota d'ingestion de journaux.
Pour plus d'informations, consultez la section Quotas et limites.
Afficher les journaux
Pour afficher un résumé de votre activité d'administration :
Ouvrez Activité Google Cloud Platform :
Pour sélectionner et filtrer vos journaux et les afficher en détail :
Ouvrez la page Explorateur de journaux:
Dans le premier menu déroulant, sélectionnez la ressource dont vous souhaitez voir les journaux d'audit. Sélectionnez un projet spécifique ou "tous les projets".
Dans le deuxième menu déroulant, sélectionnez le nom de journal que vous souhaitez afficher :
activity
pour les journaux d'audit des activités d'administration,data_access
pour les journaux d'audit d'accès aux données (si les journaux sont disponibles).
Les journaux d'audit apparaissent dans l'explorateur de journaux.
Vous pouvez également utiliser l'interface de filtrage avancé de l'explorateur de journaux pour spécifier le type de ressource et le nom du journal. Pour en savoir plus, consultez la section Récupérer des journaux d'audit.
Exporter vos journaux d'audit
Vous pouvez exporter des copies de tous vos journaux ou d'une partie d'entre eux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces. Pour savoir comment exporter vos journaux, consultez la page sur l'exportation des journaux.
Vous pouvez créer un récepteur agrégé capable d'exporter des entrées de journal à partir de tous les projets, dossiers et comptes de facturation d'une organisation. Comme tout récepteur, votre récepteur agrégé contient un filtre qui sélectionne les entrées de journal individuelles. Pour regrouper et exporter vos journaux d'audit, consultez la page Récepteurs agrégés.
Pour lire vos entrées de journaux à l'aide de l'API, utilisez la méthode entries.list. Pour lire vos entrées de journaux à l'aide du SDK, consultez la page qui traite de la lecture des entrées de journaux.
Étapes suivantes
- Consultez la page Explorateur de journaux pour obtenir des instructions sur le filtrage des journaux.
- Consultez la page Configurer et gérer les récepteurs pour obtenir des instructions sur l'exportation de journaux.
- Découvrez comment stocker et afficher les journaux de compilation.