Cette page décrit les journaux d'audit créés pour l'activité Cloud Deploy.
Résumé des journaux d'audit
Les services Google Cloud écrivent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand au sein de vos projets et organisations Google Cloud.
Pour Cloud Deploy, seule les activités d'administration sont consignées à des fins d'audit. Ces informations d'audit sont fournies par défaut. Les activités d'administration désignent les opérations qui modifient la configuration ou les métadonnées d'une ressource Cloud Deploy. Les appels d'API qui créent, mettent à jour ou suppriment une ressource Cloud Deploy ne sont pas inclus dans la journalisation d'administration.
Pour en savoir plus, consultez la page Journaux d'audit Cloud.
Opérations auditées
Voici la liste des opérations Cloud Deploy consignées pour audit:
projects.locations.customTargetTypes.create
projects.locations.customTargetTypes.delete
projects.locations.customTargetTypes.update
projects.locations.deliveryPipelines.create
projects.locations.deliveryPipelines.delete
projects.locations.deliveryPipelines.setIamPolicy
projects.locations.deliveryPipelines.update
projects.locations.deliveryPipelines.automation.create
projects.locations.deliveryPipelines.automation.delete
projects.locations.deliveryPipelines.automation.setIamPolicy
projects.locations.deliveryPipelines.automation.update
projects.locations.deliveryPipelines.automationRuns.cancel
projects.locations.deliveryPipelines.releases.create
projects.locations.deliveryPipelines.releases.rollouts.advance
projects.locations.deliveryPipelines.releases.rollouts.approve
projects.locations.deliveryPipelines.releases.rollouts.cancel
projects.locations.deliveryPipelines.releases.rollouts.create
projects.locations.deliveryPipelines.releases.rollouts.ignoreJob
projects.locations.deliveryPipelines.releases.rollouts.jobRuns.terminate
projects.locations.deliveryPipelines.releases.rollouts.retryJob
projects.locations.targets.create
projects.locations.targets.delete
projects.locations.targets.setIamPolicy
projects.locations.targets.update
Contrairement aux journaux d'audit des autres services, Cloud Deploy ne dispose que de journaux des accès aux données ADMIN_READ
et ADMIN_WRITE
, et n'offre pas de journaux DATA_READ
et DATA_WRITE
. Les journaux DATA_READ
et DATA_WRITE
ne sont utilisés que pour les services qui stockent et gèrent les données utilisateur. Cloud Deploy considère que ses ressources sont des informations de configuration administratives.
Autorisations d'accès aux journaux
Les utilisateurs suivants peuvent afficher les journaux pour les activités d'administration :
- Propriétaires, éditeurs et lecteurs de projet
- Utilisateurs disposant du rôle IAM de lecteur de journaux
- Utilisateurs disposant de l'autorisation IAM
logging.logEntries.list
Consultez les rôles et les autorisations IAM pour en savoir plus.
Format des journaux d'audit
Les entrées du journal d'audit ont la structure suivante :
- Un objet de type
LogEntry
qui contient l'intégralité de l'entrée de journal - Un objet de type
AuditLog
contenu dans le champprotoPayload
de l'objetLogEntry
Connaître les informations contenues dans ces objets vous aide à comprendre et à récupérer les entrées de vos journaux d'audit à l'aide de l'explorateur de journaux et de l'API Cloud Logging.
Toutes les entrées des journaux d'audit contiennent le nom d'un journal d'audit, d'une ressource et d'un service.
logName: ce champ indique si le journal est un journal d'audit d'activité d'administration ou d'accès aux données. Pour Cloud Deploy, il s'agit uniquement d'activités d'administration. Exemple :
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activity
Au sein d'un projet ou d'une organisation, ces noms de journaux sont présentés sous la forme abrégée
activity
.serviceName: pour Cloud Deploy, le champ contient
clouddeploy.googleapis.com
.Les types de ressources appartiennent à un seul service, mais un service peut avoir plusieurs types de ressources. Pour obtenir la liste des services et des ressources, consultez la section Mapper des services sur des ressources.
Pour en savoir plus, consultez la page Types de données des journaux d'audit.
Activer des journaux
Les journaux d'activité de l'administrateur sont activés et enregistrés par défaut. Ils ne sont pas comptabilisés dans votre quota d'ingestion de journaux. Par défaut, les journaux d'accès aux données ne sont pas enregistrés, mais vous pouvez les configurer pour les enregistrer.
Quotas et limites
Pour en savoir plus sur les limites de Logging, consultez la page Quotas et limites.
Afficher les journaux
Pour afficher un résumé de votre activité d'administration :
Ouvrez Google Cloud Activity (Activité Google Cloud) :
Pour sélectionner et filtrer vos journaux et les afficher en détail :
Ouvrez la page Explorateur de journaux:
Dans l'explorateur de journaux, sélectionnez la ressource dont vous souhaitez afficher les journaux d'audit.
Dans la liste déroulante Nom du journal, sélectionnez le nom du journal que vous voulez afficher.
Sélectionnez Activité pour les journaux d'audit des activités d'administration et data_access pour les journaux d'audit des accès aux données (si les journaux sont disponibles).
Les journaux d'audit sont affichés dans l'explorateur de journaux.
Vous pouvez également utiliser l'interface de filtrage avancé de l'explorateur de journaux pour spécifier le type de ressource et le nom du journal. Pour en savoir plus, consultez la section Récupérer des journaux d'audit.
Exporter vos journaux d'audit
Vous pouvez exporter des copies de tous vos journaux ou d'une partie d'entre eux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces. Pour savoir comment exporter vos journaux, consultez la page sur l'exportation des journaux.
Vous pouvez créer un récepteur agrégé capable d'exporter des entrées de journal à partir de tous les projets, dossiers et comptes de facturation d'une organisation. Comme tout récepteur, votre récepteur agrégé contient un filtre qui sélectionne les entrées de journal individuelles. Pour regrouper et exporter vos journaux d'audit, consultez la page Récepteurs agrégés.
Pour lire vos entrées de journaux à l'aide de l'API, utilisez la méthode entries.list. Pour lire vos entrées de journaux à l'aide du SDK, consultez la page qui traite de la lecture des entrées de journaux.
Étapes suivantes
- Consultez la page Explorateur de journaux pour obtenir des instructions sur le filtrage des journaux.
- Consultez la page Configurer et gérer les récepteurs pour obtenir des instructions sur l'exportation de journaux.