Activer Cloud Audit Logging

La page suivante décrit comment activer les journaux d'audit Cloud pour vos ressources sécurisées par Identity-Aware Proxy (IAP). L'activation des journaux d'audit Cloud vous permet d'afficher une requête et de voir tous les niveaux d'accès qu'un utilisateur a atteints ou non.

Les journaux d'audit Cloud ne généreront jamais de journaux pour les ressources publiques.

Les journaux d'audit pour les utilisateurs authentifiés avec un ID externe ne sont pas disponibles.

Avant de commencer

Avant de commencer, vous avez besoin des éléments suivants :

  • Une application Web avec IAP activé ou une machine virtuelle accessible via IAP pour TCP.
  • Une version à jour de Google Cloud SDK. Obtenir le SDK Google Cloud

Activer Cloud Audit Logs à l'aide de Google Cloud SDK

L'activation des journaux d'audit Cloud pour votre projet sécurisé par IAP vous permet de voir les requêtes d'accès autorisées et non autorisées. Pour consulter les requêtes et tous les niveaux d'accès qu'un demandeur a atteints, procédez comme suit :

  1. Téléchargez les paramètres de stratégie IAM (Identity and Access Management) du projet en exécutant la commande de ligne de commande gcloud suivante: 
    gcloud projects get-iam-policy PROJECT_ID > policy.yaml
  2. Modifiez le fichier policy.yaml que vous avez téléchargé en ajoutant une section auditConfigs comme suit. Veillez à ne pas changer les valeurs etag. 
    auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_READ
  - logType: DATA_WRITE
  service: iap.googleapis.com
  3. Mettez à jour les paramètres de stratégie IAM avec le fichier .yaml modifié en exécutant la commande de ligne de commande gcloud suivante: 
    gcloud projects set-iam-policy PROJECT_ID policy.yaml

Toutes les requêtes d'accès aux ressources du projet génèrent des journaux d'audit.

Activer Cloud Audit Logs à l'aide de la console

  1. Dans la console Google Cloud, sélectionnez IAM et administration > Journaux d'audit:

    Accéder aux journaux d'audit

  2. Dans le champ Filtre, saisissez Identity-Aware Proxy.

  3. Sélectionnez API Cloud Identity-Aware Proxy, puis sélectionnez ou désélectionnez les journaux que vous souhaitez activer ou désactiver.

Consulter les journaux d'audit Cloud

Pour consulter les journaux Cloud Audit Logging, procédez comme suit :

  1. Accédez à la page des journaux de la console Google Cloud pour votre projet.
    Accéder à la page "Journaux"
  2. Dans la liste déroulante de sélection des ressources, choisissez une ressource. Les ressources sécurisées par IAP se trouvent sous Application GAE, Service de backend GCE et Instance de VM.
  3. Dans la liste déroulante Nom du journal, sélectionnez data_access.
    1. Le nom du journal data_access ne s'affiche que s'il y a eu du trafic vers votre ressource après l'activation de Cloud Audit Logs pour IAP.
  4. Cliquez pour afficher la date et l'heure de l'accès que vous souhaitez consulter.
    1. Un accès autorisé est représenté par une icône i bleue.
    2. Un accès non autorisé est représenté par une icône !! orange.

Les journaux ne contiennent que des informations sur les niveaux d'accès qu'un utilisateur a atteints. Les niveaux d'accès ayant bloqué une requête non autorisée ne sont pas répertoriés dans l'entrée de journal. Pour déterminer les conditions nécessaires à la réussite d'une requête pour une ressource donnée, vérifiez les niveaux d'accès de cette ressource.

Vous trouverez ci-dessous des informations importantes sur les champs de journal :

Champ Valeur
authenticationInfo Adresse e-mail de l'utilisateur qui a tenté d'accéder à la ressource (principalEmail). Ces informations ne sont pas présentes dans les journaux des requêtes non authentifiées.
requestMetadata.callerIp Adresse IP d'origine de la requête.
requestMetadata.requestAttributes Méthode de la requête et URL.
authorizationInfo.resource Ressource concernée par l'accès.
authorizationInfo.granted Valeur booléenne indiquant si IAP a autorisé ou non l'accès demandé.

Notez que UpdateIapSettings et ValidateIapAttributeExpression sont classés dans le journal data_access et ne s'affichent qu'une fois Cloud Audit Logs activés pour votre projet.

Étapes suivantes