Journaux d'audit

La page décrit les journaux d'audit créés par Cloud Build.

Résumé des journaux d'audit

Les services Google Cloud écrivent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand au sein de vos projets et organisations Google Cloud.

Les informations consignées dans les journaux d'audit sont divisées en différentes catégories :

  • Activités d'administration correspond aux opérations de modification de la configuration ou des métadonnées d'une ressource Cloud Build. Tout appel d'API qui crée ou annule une compilation et crée, supprime, active, désactive ou met à jour un déclencheur entre dans cette catégorie. Ces informations d'audit sont fournies par défaut.

  • Accès aux données (ADMIN_READ, lecture administrateur) : les opérations de lecture de la configuration ou des métadonnées d'une ressource. Ces informations d'audit sont fournies par défaut.

  • Accès aux données (DATA_READ, lecture de données) correspond aux opérations de lecture des données fournies par l'utilisateur à partir d'une ressource. Ces informations d'audit sont fournies par défaut.

  • Accès aux données (DATA_WRITE, écriture de données) correspond aux opérations d'écriture des données fournies par l'utilisateur sur une ressource. Ces informations d'audit sont fournies par défaut.

Pour plus d'informations, consultez la section Cloud Audit Logging.

Opérations auditées

Le tableau suivant récapitule les opérations de l'API Cloud Build répertoriées dans chaque catégorie de journal d'audit :

Catégorie de journaux d'audit Opérations Cloud Build
Activité d'administration
  • projects.builds.create
  • projects.builds.cancel
  • projects.builds.approve
  • projects.triggers.create
  • projects.triggers.delete
  • projects.triggers.update
  • Exécuter des déclencheurs à l'aide du bouton Exécuter le déclencheur dans la console Google Cloud
  • Créer/Mettre à jour des stratégies IAM
Accès aux données ADMIN_READ (ADMIN_READ, lecture administrateur)
  • projects.builds.get
  • projects.builds.list
  • projects.triggers.list
  • projects.triggers.get
  • Obtenir des stratégies IAM
Accès aux données DATA_READ (DATA_READ, lecture de données) Aucun
Accès aux données DATA_WRITE (DATA_WRITE, écriture de données) Aucun

Contrairement aux journaux d'audit des autres services, Cloud Build ne dispose que de journaux des accès aux données en ADMIN_READ, (lecture_administrateur) et n'offre pas de journaux en DATA_READ (lecture_de_données) et DATA_WRITE (écriture_de_données). En effet, les journaux DATA_READ et DATA_WRITE ne sont utilisés que pour les services qui stockent et gèrent des données utilisateur, et Cloud Build considère que les compilations et les déclencheurs sont des informations de configuration d'administration.

Autorisations d'accès aux journaux

Les utilisateurs suivants peuvent afficher les journaux pour les activités d'administration :

Les utilisateurs suivants peuvent afficher les journaux pour l'accès aux données :

  • Propriétaires de projet
  • Utilisateurs disposant du rôle IAM de lecteur des journaux privés
  • Utilisateurs disposant de l'autorisation IAM logging.privateLogEntries.list

Pour obtenir des instructions sur l'octroi d'autorisations IAM, consultez la section Configurer le contrôle des accès.

Format des journaux d'audit

Les entrées du journal d'audit ont la structure suivante :

  • Un objet de type LogEntry qui contient l'intégralité de l'entrée de journal
  • Un objet de type AuditLog contenu dans le champ protoPayload de l'objet LogEntry

Connaître les informations contenues dans ces objets vous aidera à comprendre et à récupérer les entrées de vos journaux d'audit à l'aide de l'explorateur de journaux et de l'API Stackdriver Logging.

Toutes les entrées des journaux d'audit contiennent le nom d'un journal d'audit, d'une ressource et d'un service.

  • logName : ce champ indique si le journal est un journal d'audit d'activité administrateur ou d'accès aux données. Exemple :

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    

    Au sein d'un projet ou d'une organisation, ces noms de journaux sont généralement présentés sous une forme abrégée : activity et data_access.

  • Type de ressource surveillée

    • build : inclut le projet, la compilation et le déclencheur de compilation pour l'opération auditée.
  • serviceName : pour Cloud Build, le champ contiendra cloudbuild.googleapis.com.

    Les types de ressources appartiennent à un seul service, mais un service peut avoir plusieurs types de ressources. Pour obtenir la liste des services et des ressources, consultez la section Mapper des services sur des ressources.

Pour en savoir plus, consultez la page Types de données des journaux d'audit.

Activer des journaux

Les journaux d'activité de l'administrateur sont activés et enregistrés par défaut. Ils ne sont pas comptabilisés dans votre quota d'ingestion de journaux.

Les journaux pour l'accès aux données ne sont pas enregistrés par défaut. Vous pouvez configurer les journaux d'audit pour l'accès aux données dans votre projet ou votre organisation. Pour savoir comment activer les journaux pour des opérations liées à l'accès aux données, consultez la page Configurer les journaux pour l'accès aux données.

Quotas et limites

Les journaux d'activité d'administration ne sont pas comptabilisés dans votre quota d'ingestion de journaux.

Les opérations d'accès aux données sont nombreuses et sont comptabilisées dans votre quota d'ingestion de journaux.

Pour plus d'informations, consultez la section Quotas et limites.

Afficher les journaux

Pour afficher un résumé de votre activité d'administration :

Pour sélectionner et filtrer vos journaux et les afficher en détail :

  1. Ouvrez la page Explorateur de journaux:

    Accéder à la page "Explorateur de journaux"

  2. Dans le premier menu déroulant, sélectionnez la ressource dont vous souhaitez voir les journaux d'audit. Sélectionnez un projet spécifique ou "tous les projets".

  3. Dans le deuxième menu déroulant, sélectionnez le nom de journal que vous souhaitez afficher : activity pour les journaux d'audit des activités d'administration, data_access pour les journaux d'audit d'accès aux données (si les journaux sont disponibles).

Les journaux d'audit apparaissent dans l'explorateur de journaux.

Vous pouvez également utiliser l'interface de filtrage avancé de l'explorateur de journaux pour spécifier le type de ressource et le nom du journal. Pour en savoir plus, consultez la section Récupérer des journaux d'audit.

Exporter vos journaux d'audit

Vous pouvez exporter des copies de tous vos journaux ou d'une partie d'entre eux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces. Pour savoir comment exporter vos journaux, consultez la page sur l'exportation des journaux.

Vous pouvez créer un récepteur agrégé capable d'exporter des entrées de journal à partir de tous les projets, dossiers et comptes de facturation d'une organisation. Comme tout récepteur, votre récepteur agrégé contient un filtre qui sélectionne les entrées de journal individuelles. Pour regrouper et exporter vos journaux d'audit, consultez la page Récepteurs agrégés.

Pour lire vos entrées de journaux à l'aide de l'API, utilisez la méthode entries.list. Pour lire vos entrées de journaux à l'aide du SDK, consultez la page qui traite de la lecture des entrées de journaux.

Étapes suivantes