Activer les journaux d'audit des accès aux données

Ce guide explique comment activer ou désactiver tout ou partie les journaux d'audit des accès aux données dans votre les projets, comptes de facturation, dossiers et organisations Google Cloud par à l'aide de la console Google Cloud ou de l'API.

Avant de commencer

Avant de continuer à configurer les journaux d'audit pour l'accès aux données, prenez en compte les informations suivantes:

  • Les journaux d'audit pour l'accès aux données sont désactivés par défaut (sauf dans BigQuery). Si vous souhaitez que les journaux d'audit des accès aux données soient écrits pour les services Google Cloud autres que BigQuery, vous devez les activer explicitement.

  • Les journaux d'audit des accès aux données sont stockés _Default, sauf si vous les avez acheminées ailleurs. Pour en savoir plus, consultez Stockage et routage des journaux d'audit

  • Les journaux d'audit pour l'accès aux données aident l'assistance Google à résoudre les problèmes liés à votre compte. Par conséquent, nous vous recommandons d'activer les journaux d'audit d'accès aux données lorsque cela est possible.

Présentation de la configuration

Vous pouvez activer et configurer certains aspects des journaux d'audit pour l'accès aux données pour vos ressources et services Google Cloud:

  • Organisations: vous pouvez activer et configurer les journaux d'audit des accès aux données dans une qui s'applique à l'ensemble des comptes existants aux projets et dossiers Google Cloud de l'organisation.

  • Dossiers: vous pouvez activer et configurer les journaux d'audit des accès aux données qui s'applique à tous les projets Google Cloud nouveaux et existants dans le dossier. Vous ne pouvez pas désactiver un journal d'audit des accès aux données qui a été activé dans l'organisation parente du projet.

  • Projets: vous pouvez configurer les journaux d'audit pour l'accès aux données au niveau d'une projet Google Cloud. Vous ne pouvez pas désactiver un journal d'audit des accès aux données a été activé dans une organisation ou un dossier parent.

  • Comptes de facturation: pour configurer les journaux d'audit des accès aux données pour la facturation utilisez la Google Cloud CLI. Pour en savoir plus sur l'utilisation la gcloud CLI avec les journaux d'audit des accès aux données et les comptes de facturation, consultez la documentation de référence gcloud beta billing accounts set-iam-policy

  • Configurations par défaut: vous pouvez spécifier un journal d'audit des accès aux données par défaut dans une organisation, un dossier ou un projet Google Cloud s'applique aux futurs services Google Cloud qui commencent à produire des Données Accéder aux journaux d'audit Pour savoir comment procéder, consultez Définir la configuration par défaut

  • Services: vous pouvez spécifier les services pour lesquels vous souhaitez recevoir. Par exemple, pour recevoir des journaux d'audit de Compute Engine, mais pas de Cloud SQL. Pour obtenir la liste des API Google Cloud qui peuvent générer des journaux d'audit, consultez Services Google avec journaux d'audit :

  • Types de journaux: vous pouvez configurer les types d'opérations enregistrés dans vos journaux d'audit des accès aux données. Il existe trois types de journaux d'audit des accès aux données :

    • ADMIN_READ : enregistre les opérations de lecture des métadonnées ou des informations de configuration.

    • DATA_READ : enregistre les opérations de lecture des données fournies par l'utilisateur.

    • DATA_WRITE : enregistre les opérations d'écriture des données fournies par l'utilisateur.

    Par exemple, Cloud DNS écrit les trois types de journaux d'accès aux données, mais vous pouvez configurer vos journaux d'audit des accès aux données pour qu'ils n'enregistrent que Opérations DATA_WRITE.

  • Comptes principaux exemptés: vous pouvez exempter des comptes principaux spécifiques de dont les accès aux données sont enregistrés. Par exemple, vous pouvez être exempté des comptes de test internes de manière à empêcher enregistré. Pour obtenir la liste des comptes principaux valides, y compris les utilisateurs et les groupes, consultez les Référence du type Binding.

Vous pouvez configurer les journaux d'audit des accès aux données Journaux d'audit de la console Google Cloud ou à l'aide de l'API. Ces méthodes sont décrites dans les sections ci-dessous.

Configurations spécifiques aux services

S'il existe à la fois une configuration pour tous les services Google Cloud (allServices) et une configuration pour un service Google Cloud spécifique, la configuration pour le service correspond à l'union des deux configurations. Autrement dit :

  • Vous pouvez activer les journaux d'audit pour l'accès aux données pour des services Google Cloud spécifiques, mais vous ne pouvez pas les désactiver pour les services Google Cloud activés dans la configuration globale.

  • Vous pouvez ajouter des types d'informations supplémentaires au journal d'audit pour l'accès aux données d'un service Google Cloud, mais vous ne pouvez pas supprimer les types d'informations spécifiés dans la configuration globale.

  • Vous pouvez ajouter des comptes principaux à des listes d'exemptions, mais vous ne pouvez pas les supprimer des listes d'exemptions dans la configuration globale.

  • Pour le service de transfert de données BigQuery, la configuration du journal d'audit des accès aux données est (héritées de la configuration de journal d'audit par défaut).

Configurations de ressources Google Cloud

Vous pouvez configurer les journaux d'audit des accès aux données pour les projets Google Cloud, comptes de facturation, dossiers et organisations. S'il existe une configuration service Google Cloud à travers la hiérarchie, le résultat configuration est l'union des configurations. En d'autres termes, au Au niveau du projet Google Cloud:

  • Vous pouvez activer les journaux pour un service Google Cloud, mais vous ne pouvez pas les désactiver les journaux d'un service Google Cloud activé dans un environnement une organisation ou un dossier.

  • Vous pouvez activer des types d'informations, mais pas en désactiver les informations qui sont activées dans une organisation ou un dossier parent.

  • Vous pouvez ajouter des comptes principaux à des listes d'exemptions, mais vous ne pouvez pas les supprimer des listes d'exemptions d'une organisation ou d'un dossier parent.

  • Vous pouvez activer l'audit d'accès aux données au niveau d'une organisation ou d'un dossier parent les journaux d'un projet Google Cloud au sein de cette organisation ou de ce dossier, si les journaux d'audit des accès aux données n'ont pas été configurés projet Google Cloud.

Contrôle des accès

Les rôles et autorisations Identity and Access Management régissent l'accès aux données de Logging, y compris l'affichage et la gestion des stratégies IAM sous-jacentes aux configurations des journaux d'audit pour l'accès aux données.

Pour afficher ou définir les stratégies associées à la configuration de l'accès aux données, vous devez disposer d'un rôle doté d'autorisations au niveau des ressources approprié. Pour obtenir des instructions l'attribution de ces rôles au niveau des ressources, consultez Gérer l'accès aux projets, dossiers et organisations Google Cloud

  • Pour définir des stratégies IAM, vous devez disposer d'un rôle doté de l'autorisation resourcemanager.RESOURCE_TYPE.setIamPolicy.

  • Pour afficher les stratégies IAM, vous devez disposer d'un rôle doté de l'autorisation resourcemanager.RESOURCE_TYPE.getIamPolicy.

Pour obtenir la liste des autorisations et des rôles dont vous avez besoin pour afficher l'audit des accès aux données les journaux, consultez Contrôle des accès avec IAM

Configurer les journaux d'audit des accès aux données à l'aide de la console Google Cloud

Cette section explique comment utiliser la console Google Cloud pour configurer des données Accéder aux journaux d'audit

Vous pouvez également utiliser l'API ou la Google Cloud CLI pour effectuer ces tâches programmatically; voir Pour en savoir plus, consultez Configurer les journaux d'audit des accès aux données à l'aide de l'API.

Pour accéder aux options de configuration des journaux d'audit dans la console Google Cloud, procédez comme suit : procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Journaux d'audit:

    Accéder aux journaux d'audit

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est IAM et administration.

  2. Sélectionnez un projet, une organisation ou un dossier Google Cloud existant.

Activer les journaux d'audit

Pour activer les journaux d'audit des accès aux données, procédez comme suit:

  1. Dans le tableau Configuration des journaux d'audit pour l'accès aux données, sélectionnez une ou plusieurs les services Google Cloud depuis la colonne Service.

  2. Dans l'onglet Types de journaux, sélectionnez les types de journaux d'audit des accès aux données que vous à activer pour les services sélectionnés.

  3. Cliquez sur Enregistrer.

Lorsque vous activez des journaux d'audit, le tableau inclut une Icône Coche .

Dans l'exemple suivant, vous pouvez voir que, pour le service Access Approval, Lecture de données:

Configuration des journaux d'audit

Vous pouvez également activer les journaux d'audit pour tous les services Google Cloud qui génèrent des journaux d'audit d'accès aux données. Dans le tableau Configuration des journaux d'audit des accès aux données, sélectionnez tous les services Google Cloud.

Notez que cette méthode de configuration groupée ne s'applique qu'à Google Cloud actuellement disponibles pour votre ressource. Si un nouveau le service Google Cloud est ajouté, il hérite configuration d'audit par défaut.

Désactiver les journaux d'audit pour l'accès aux données

Pour désactiver les journaux d'audit des accès aux données, procédez comme suit:

  1. Dans le tableau Configuration des journaux d'audit pour l'accès aux données, sélectionnez une ou plusieurs aux services Google Cloud.

  2. Dans l'onglet Types de journaux du panneau d'informations, sélectionnez le champ les types de journaux d'audit que vous souhaitez désactiver pour les services sélectionnés.

  3. Cliquez sur Enregistrer.

Lorsque vous désactivez les journaux d'audit des accès aux données, le tableau indique par un tiret. Les journaux d'audit des accès aux données activés sont signalés par une icône Icône Coche .

Définir des exceptions

Vous pouvez définir des exceptions pour contrôler les comptes principaux qui génèrent des données Accéder aux journaux d'audit pour des services particuliers Lorsque vous ajoutez un compte principal exempté, ne sont pas créés pour ces journaux d'audit pour les types de journaux sélectionnés.

Pour définir des exceptions, procédez comme suit:

  1. Dans le tableau Configuration des journaux d'audit pour l'accès aux données, sélectionnez une service Google Cloud depuis la colonne Service.

  2. Sélectionnez l'onglet Comptes principaux exemptés du panneau d'informations.

  3. Dans Ajouter un compte principal exempté, saisissez le compte principal que vous souhaitez exempter. de générer des journaux d'audit pour l'accès aux données pour le service sélectionné.

    Vous pouvez ajouter plusieurs comptes principaux en cliquant sur le bouton Ajouter un compte principal exempté autant de fois que nécessaire.

    Pour obtenir la liste des comptes principaux valides, y compris les utilisateurs et les groupes, consultez la documentation de référence sur le type Binding.

  4. Dans Types de journaux désactivés, sélectionnez les types de journaux d'audit des accès aux données. que vous souhaitez désactiver.

  5. Cliquez sur Enregistrer.

Lorsque vous avez ajouté des comptes principaux exemptés à un service, le champ Data dans le tableau de configuration des journaux d'audit des accès. Colonne Comptes principaux exemptés.

Pour supprimer un compte principal de la liste d'exemptions:

  1. Dans le tableau Configuration des journaux d'audit pour l'accès aux données, sélectionnez une service Google Cloud depuis la colonne Service.

  2. Sélectionnez l'onglet Comptes principaux exemptés du panneau d'informations.

  3. Pointez sur le nom d'un compte principal, puis sélectionnez l'icône de suppression l'icône qui s'affiche.

  4. Une fois que le nom du compte principal s'affiche en texte barré, cliquez sur Enregistrer.

Pour modifier les informations d'un compte principal exempté:

  1. Dans le tableau Configuration des journaux d'audit pour l'accès aux données, sélectionnez une service Google Cloud depuis la colonne Service.

  2. Sélectionnez l'onglet Comptes principaux exemptés du panneau d'informations.

  3. Développez à l'aide du nom principal.

  4. Sélectionnez ou désélectionnez les types de journaux d'audit pour l'accès aux données en fonction des besoins principal.

  5. Cliquez sur Enregistrer.

Définir la configuration par défaut

Vous pouvez définir une configuration pour toutes les instances les services de votre projet, dossier ou organisation Google Cloud héritent. Cette configuration par défaut s'applique si un nouveau service Google Cloud devient disponible et que les comptes principaux de votre organisation commencent à l'utiliser : hérite de la stratégie de journalisation d'audit que vous avez déjà définie pour d'autres services Google Cloud, ce qui permet de s'assurer que les journaux d'audit des accès aux données sont capturés.

Pour définir ou modifier la configuration par défaut, procédez comme suit:

  1. Cliquez sur Définir la configuration par défaut.

  2. Dans l'onglet Types de journaux du panneau d'informations, sélectionnez le champ les types de journaux d'audit que vous souhaitez activer ou désactiver.

  3. Cliquez sur Enregistrer.

  4. Sélectionnez l'onglet Comptes principaux exemptés du panneau d'informations.

  5. Dans Ajouter un compte principal exempté, saisissez le compte principal que vous souhaitez exempter. de générer des journaux d'audit pour l'accès aux données pour le service sélectionné.

    Vous pouvez ajouter plusieurs comptes principaux en cliquant sur le bouton Ajouter un compte principal exempté autant de fois que nécessaire.

    Pour obtenir la liste des comptes principaux valides, y compris les utilisateurs et les groupes, consultez la documentation de référence sur le type Binding.

  6. Dans Types de journaux désactivés, sélectionnez les types de journaux d'audit des accès aux données. que vous souhaitez désactiver.

  7. Cliquez sur Enregistrer.

Configurer les journaux d'audit pour l'accès aux données à l'aide de l'API

Cette section explique comment utiliser l'API et la gcloud CLI pour configurer les journaux d'audit des accès aux données de manière programmatique.

La plupart de ces tâches peuvent également être effectuées à l'aide de la console Google Cloud. Pour obtenir des instructions, consultez Configurer les journaux d'audit des accès aux données à l'aide de la console Google Cloud sur cette page.

Objets des stratégies IAM

Pour configurer les journaux d'audit des accès aux données à l'aide de l'API, vous devez modifier le paramètre la stratégie IAM associée à votre projet, dossier et ou une organisation. La configuration des journaux d'audit se trouve dans la section auditConfigs de la stratégie :

"auditConfigs": [
  {
    object(AuditConfig)
  }
]

Pour en savoir plus, reportez-vous au type de stratégie IAM.

Les sections suivantes décrivent l'objet AuditConfig plus en détail. Pour les commandes de l'API et de la gcloud CLI permettant de modifier la configuration, voir getIamPolicy et setIamPolicy.

AuditConfig objet

La configuration des journaux d'audit consiste en une liste d'objets AuditConfig. Chaque objet configure les journaux pour un service spécifique ou établit une configuration globale applicable à tous les services. Voici à quoi ressemblent les objets :

{
  "service": SERVICE_NAME,
  "auditLogConfigs": [
    {
      "logType": "ADMIN_READ"
      "exemptedMembers": [ PRINCIPAL,]
    },
    {
      "logType": "DATA_READ"
      "exemptedMembers": [ PRINCIPAL,]
    },
    {
      "logType": "DATA_WRITE"
      "exemptedMembers": [ PRINCIPAL,]
    },
  ]
},

SERVICE_NAME a une valeur telle que "appengine.googleapis.com", ou il s'agit de la la valeur spéciale "allServices". Si une configuration ne mentionne pas un service spécifique, la configuration globale s'applique. Si aucune configuration n'est définie, les journaux d'audit pour l'accès aux données ne sont pas activés sur le service en question. Pour obtenir la liste des noms de service, consultez la section Services de journalisation.

La section auditLogConfigs de l'objet AuditConfig est une liste de 0 à 3 objets, chacun d'entre eux configurant un type de journal d'audit. Si vous omettez l'un des types de la liste, ce type d'information n'est pas activé pour le service.

PRINCIPAL est un utilisateur pour lequel les journaux d'audit pour l'accès aux données ne sont pas collectés. La Le type Binding décrit différents types de comptes principaux, y compris utilisateurs et groupes, mais ceux-ci ne peuvent pas tous être utilisés pour configurer l'accès aux données les journaux d'audit.

Vous trouverez ci-dessous un exemple de configuration d'audit aux formats JSON et YAML. Le format YAML est le format par défaut lorsque vous utilisez la Google Cloud CLI.

JSON

"auditConfigs": [
  {
    "auditLogConfigs": [
      {
        "logType": "ADMIN_READ"
      },
      {
        "logType": "DATA_WRITE"
      },
      {
        "logType": "DATA_READ"
      }
    ],
    "service": "allServices"
  },
  {
    "auditLogConfigs": [
      {
        "exemptedMembers": [
          "499862534253-compute@developer.gserviceaccount.com"
        ],
        "logType": "ADMIN_READ"
      }
    ],
    "service": "cloudsql.googleapis.com"
  }
],

YAML

auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices
- auditLogConfigs:
  - exemptedMembers:
    - 499862534253-compute@developer.gserviceaccount.com
    logType: ADMIN_READ
  service: cloudsql.googleapis.com

Configurations courantes

Vous trouverez ci-dessous quelques configurations de journaux d'audit courantes pour les projets Google Cloud.

Activer tous les journaux d'audit pour l'accès aux données

La section auditConfigs suivante active les journaux d'audit des accès aux données pour tous comptes principaux et services Google Cloud:

JSON

"auditConfigs": [
      {
        "service": "allServices",
        "auditLogConfigs": [
          { "logType": "ADMIN_READ" },
          { "logType": "DATA_READ"  },
          { "logType": "DATA_WRITE" },
        ]
      },
    ]

YAML

auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices

Activer un service et un type d'information

La configuration suivante active les journaux d'audit des accès aux données DATA_WRITE pour Cloud SQL:

JSON

"auditConfigs": [
  {
    "service": "cloudsql.googleapis.com",
    "auditLogConfigs": [
      { "logType": "DATA_WRITE" },
    ]
  },
]

YAML

auditConfigs:
- auditLogConfigs:
  - logType: DATA_WRITE
  service: cloudsql.googleapis.com

Désactiver tous les journaux d'audit pour l'accès aux données

Pour désactiver tous les journaux d'audit des accès aux données (sauf BigQuery) dans une votre projet Google Cloud, incluez une section auditConfigs: vide dans votre nouveau Stratégie IAM:

JSON

"auditConfigs": [],

YAML

auditConfigs:

Si vous supprimez entièrement la section auditConfigs de votre nouvelle stratégie, alors setIamPolicy ne modifie pas la configuration des journaux d'audit pour l'accès aux données. Pour en savoir plus, consultez Masque de mise à jour de la méthode setIamPolicy.

Les journaux d'audit pour l'accès aux données BigQuery ne peuvent pas être désactivés.

getIamPolicy et setIamPolicy

Utilisez les méthodes getIamPolicy et setIamPolicy de l'API Cloud Resource Manager pour lire et rédiger votre stratégie IAM. Plusieurs options s'offrent à vous :

  • L'API Cloud Resource Manager propose les méthodes suivantes:

    projects.getIamPolicy
projects.setIamPolicy
organizations.getIamPolicy
organizations.setIamPolicy

  • La Google Cloud CLI propose les fonctionnalités suivantes : Commandes Resource Manager:

    gcloud projects get-iam-policy
gcloud projects set-iam-policy
gcloud resource-manager folders get-iam-policy
gcloud resource-manager folders set-iam-policy
gcloud organizations get-iam-policy
gcloud organizations set-iam-policy
gcloud beta billing accounts get-iam-policy
gcloud beta billing accounts set-iam-policy

Quel que soit votre choix, suivez ces trois étapes :

  1. Consultez la stratégie actuelle en utilisant l'une des méthodes getIamPolicy. Enregistrez-la dans un fichier temporaire.
  2. Modifiez la stratégie dans le fichier temporaire. Ne modifiez (ou n'ajoutez) que la section auditConfigs.
  3. Rédigez la stratégie modifiée dans le fichier temporaire à l'aide de l'une des méthodes setIamPolicy.

La méthode setIamPolicy échoue si Resource Manager détecte qu'un autre utilisateur a modifié la stratégie depuis votre dernier accès lors de l'étape 1. Si cela se produit, répétez les trois étapes.

Examples

Les exemples suivants montrent comment configurer les journaux d'audit pour l'accès aux données de votre projet à l'aide de la commande gcloud et de l'API Cloud Resource Manager.

Pour configurer les journaux d'audit pour l'accès aux données de votre organisation, remplacez la version "projects" des commandes et méthodes d'API par la version "organizations".

gcloud

Pour configurer vos journaux d'audit pour l'accès aux données à l'aide de la commande gcloud projects, procédez comme suit :

  1. Consultez la stratégie IAM de votre projet et stockez-la dans un fichier :

    gcloud projects get-iam-policy PROJECT_ID > /tmp/policy.yaml

    La stratégie renvoyée est présentée ci-dessous. Elle ne comporte pas encore de section auditConfigs:

    bindings:
- members:
  - user:colleague@example.com
  role: roles/editor
- members:
  - user:myself@example.com
  role: roles/owner
etag: BwVM-FDzeYM=
version: 1

  2. Modifiez votre stratégie dans /tmp/policy.yaml. Vous ne pouvez ajouter ou modifier que la configuration des journaux d'audit pour l'accès aux données.

    Vous trouverez ci-dessous un exemple de stratégie modifiée, qui active les journaux d'audit pour l'accès en écriture aux données dans Cloud SQL. Quatre lignes ont été ajoutées au début :

    auditConfigs:
- auditLogConfigs:
  - logType: DATA_WRITE
  service: cloudsql.googleapis.com
bindings:
- members:
  - user:colleague@example.com
  role: roles/editor
- members:
  - user:myself@example.com
  role: roles/owner
etag: BwVM-FDzeYM=
version: 1

  3. Rédigez votre nouvelle stratégie IAM :

    gcloud projects set-iam-policy PROJECT_ID /tmp/policy.yaml

    Si la commande précédente signale un conflit avec une autre modification, répétez ces étapes depuis le début.

JSON

Pour exploiter votre stratégie IAM au format JSON au lieu de YAML, utilisez les commandes gcloud suivantes dans l'exemple :

gcloud projects get-iam-policy PROJECT_ID --format=json >/tmp/policy.json
gcloud projects set-iam-policy PROJECT_ID /tmp/policy.json

API

Pour configurer les journaux d'audit pour l'accès aux données à l'aide de l'API Cloud Resource Manager, procédez comme suit :

  1. Consultez la stratégie IAM de votre projet en spécifiant les paramètres suivants dans la méthode d'API getIamPolicy :

    • resource : projects/PROJECT_ID
    • Corps de la requête : empty

    La méthode renvoie l'objet de la stratégie actuelle décrit ci-dessous. La stratégie de ce projet ne comporte pas encore de section auditConfigs:

    {
  "version": 1,
  "etag": "BwXqwxkr40M=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:myself@example.com"
      ]
    }
  ]
}

  2. Modifiez la stratégie actuelle :

    • Modifiez ou ajoutez la section auditConfigs.

      Pour désactiver vos journaux d'audit pour l'accès aux données, indiquez une valeur vide pour la section : auditConfigs:[].

    • Conservez la valeur de etag.

    Vous pouvez également supprimer toutes les autres informations du nouvel objet de stratégie, à condition de définir updateMask à l'étape suivante. La stratégie modifiée, qui active les journaux d'audit d'écriture de données dans Cloud SQL, est décrite ci-dessous :

    {
  "policy": {
    "auditConfigs": [
      {
        "auditLogConfigs": [
          {
            "logType": "DATA_WRITE"
          }
        ],
        "service": "cloudsql.googleapis.com"
      }
    ],
    "etag": "BwXqwxkr40M="
  },
  "updateMask": "auditConfigs,etag"
}

  3. Rédigez la nouvelle stratégie à l'aide de la méthode d'API setIamPolicy, en spécifiant les paramètres suivants :

    • resource : projects/PROJECT_ID
    • Corps de la requête: inclut la règle modifiée.

Masque de mise à jour setIamPolicy

Cette section explique l'importance du paramètre updateMask dans le setIamPolicy et explique pourquoi vous devez faire attention aux de la gcloud CLI set-iam-policy afin de ne pas provoquer pouvant causer des dommages accidentels à votre projet ou organisation Google Cloud.

La méthode setIamPolicy API method utilise un paramètre updateMask pour contrôler les champs de stratégie mis à jour. Par exemple, si le masque ne contient pas de section bindings, vous ne pouvez pas modifier accidentellement cette section de la stratégie. En revanche, si le masque contient une section bindings, celle-ci est systématiquement mise à jour. Si vous n'incluez pas de valeur à jour pour bindings, cette section est entièrement supprimée de la stratégie.

La commande gcloud projects set-iam-policy, qui appelle setIamPolicy, ne vous permet pas de spécifier le paramètre updateMask. À la place, la commande calcule une valeur pour updateMask de la façon suivante :

  • Le paramètre updateMask contient toujours les champs bindings et etag.
  • Si l'objet de stratégie fourni dans set-iam-policy contient d'autres champs de premier niveau, tels que auditConfigs, ces champs sont ajoutés à updateMask.

Compte tenu de ces règles, la commande set-iam-policy présente les comportements suivants :

  • Si vous omettez la section auditConfigs dans votre nouvelle stratégie, la valeur précédente de la section auditConfigs (le cas échéant) n'est pas modifiée, car cette section ne se trouve pas dans le masque de mise à jour. Cela n'a aucune incidence, mais cela peut porter à confusion.

  • Si vous omettez bindings dans votre nouvel objet de stratégie, la section bindings est supprimée de votre stratégie, car elle apparaît dans le masque de mise à jour. Cela est très nuisible et entraîne la perte d'accès de tous les comptes principaux à votre projet Google Cloud.

  • Si vous omettez etag dans votre nouvel objet de stratégie, la vérification des modifications simultanées apportées à votre stratégie est désactivée. Cela peut entraîner l'écrasement accidentel des modifications effectuées par un autre utilisateur.