Configurer les journaux d'audit pour l'accès aux données

Ce guide explique comment activer ou désactiver tout ou partie des journaux d'audit pour l'accès aux données dans vos projets cloud, comptes de facturation, dossiers et organisations cloud.

Avant de commencer

Avant de continuer à configurer les journaux d'audit pour l'accès aux données, prenez en compte les informations suivantes:

  • Les journaux d'audit pour l'accès aux données sont désactivés par défaut (sauf dans BigQuery). Si vous souhaitez que les journaux d'audit des accès aux données soient écrits pour les services Google Cloud autres que BigQuery, vous devez les activer explicitement.

  • Les journaux d'audit pour l'accès aux données aident l'assistance Google à résoudre les problèmes liés à votre compte. Par conséquent, nous vous recommandons d'activer les journaux d'audit d'accès aux données lorsque cela est possible.

  • Les journaux d'audit pour les activités d'administration sont activés pour tous les services Google Cloud et ne peuvent pas être configurés.

Présentation de la configuration

Vous pouvez activer et configurer certains aspects des journaux d'audit pour l'accès aux données pour vos ressources et services Google Cloud:

  • Organisations: vous pouvez activer et configurer les journaux d'audit pour l'accès aux données au sein d'une organisation, qui s'applique à tous les projets et dossiers Cloud existants et nouveaux de l'organisation.

  • Dossiers: vous pouvez activer et configurer les journaux d'audit pour l'accès aux données dans un dossier, ce qui s'applique à tous les projets Cloud existants et nouveaux du dossier. Vous ne pouvez pas désactiver un journal d'audit d'accès aux données activé dans l'organisation parente du projet.

  • Projets: vous pouvez configurer les journaux d'audit d'accès aux données pour un projet Cloud individuel. Vous ne pouvez pas désactiver un journal d'audit pour l'accès aux données activé dans l'organisation ou le dossier parent du projet.

  • Comptes de facturation: pour configurer les journaux d'audit d'accès aux données pour les comptes de facturation, utilisez la CLI de Google Cloud. Pour en savoir plus sur l'utilisation de la CLI gcloud avec les journaux d'audit et les comptes de facturation Data Access, consultez la documentation de référence de la commande gcloud beta billing accounts set-iam-policy.

  • Configurations par défaut: vous pouvez spécifier une configuration de journal d'audit pour l'accès aux données par défaut dans une organisation, un dossier ou un projet Cloud qui s'applique aux futurs services Google Cloud qui commencent à générer des journaux d'audit pour l'accès aux données.

  • Services: vous pouvez spécifier les services dont vous souhaitez recevoir les journaux d'audit. Par exemple, pour recevoir des journaux d'audit de Compute Engine, mais pas de Cloud SQL. Pour obtenir la liste des services Google Cloud pouvant générer des journaux d'audit, consultez la section Services Google avec les journaux d'audit.

  • Opérations: vous pouvez configurer les types d'opérations enregistrés dans vos journaux d'audit pour l'accès aux données. Vous pouvez enregistrer trois types d'opérations:

    • ADMIN_READ : enregistre les opérations de lecture des métadonnées ou des informations de configuration. Ces opérations ne peuvent pas être désactivées.

    • DATA_READ : enregistre les opérations de lecture des données fournies par l'utilisateur.

    • DATA_WRITE : enregistre les opérations d'écriture des données fournies par l'utilisateur.

    Par exemple, Cloud DNS écrit les trois types d'opérations, mais vous pouvez configurer vos journaux d'audit pour l'accès aux données de manière à enregistrer uniquement les opérations DATA_WRITE.

  • Utilisateurs et groupes exemptés: vous pouvez empêcher des utilisateurs ou des groupes spécifiques d'enregistrer leurs accès aux données. Par exemple, vous pouvez exempter l'enregistrement des opérations Cloud Debugger de vos comptes de test internes.

Vous pouvez configurer les journaux d'audit pour l'accès aux données via la console de journaux d'audit IAM ou l'API. Ces méthodes sont décrites dans les sections ci-dessous.

Configurations spécifiques aux services

S'il existe à la fois une configuration pour tous les services Google Cloud (allServices) et une configuration pour un service Google Cloud spécifique, la configuration pour le service correspond à l'union des deux configurations. Autrement dit :

  • Vous pouvez activer les journaux d'audit pour l'accès aux données pour des services Google Cloud spécifiques, mais vous ne pouvez pas les désactiver pour les services Google Cloud activés dans la configuration globale.

  • Vous pouvez ajouter des types d'informations supplémentaires au journal d'audit pour l'accès aux données d'un service Google Cloud, mais vous ne pouvez pas supprimer les types d'informations spécifiés dans la configuration globale.

  • Vous pouvez ajouter des utilisateurs et des groupes à des listes d'exemptions, mais vous ne pouvez pas les supprimer des listes d'exemptions dans la configuration globale.

  • Pour le service de transfert de données BigQuery, la configuration du journal d'audit pour l'accès aux données est héritée de la configuration de votre journal d'audit par défaut.

Configurations de projets, de dossiers et d'organisations

Vous pouvez configurer les journaux d'audit pour l'accès aux données sur l'ensemble des projets cloud, dossiers et organisations. S'il existe une configuration pour un service Google Cloud dans la hiérarchie, la configuration résultante est l'union des configurations. En d'autres termes, voici ce que vous pouvez faire au niveau du projet Cloud:

  • Vous pouvez activer les journaux pour un service Google Cloud, mais vous ne pouvez pas les désactiver pour un service Google Cloud activé dans le dossier ou l'organisation.

  • Vous pouvez activer des types d'informations, mais vous ne pouvez pas désactiver ceux qui sont activés dans l'organisation ou le dossier.

  • Vous pouvez ajouter des utilisateurs et des groupes à des listes d'exemptions, mais vous ne pouvez pas les supprimer des listes d'exemptions d'une organisation ou d'un dossier.

  • Au niveau d'une organisation ou d'un dossier, vous pouvez activer les journaux d'audit pour l'accès aux données sur un projet cloud au sein de cette organisation ou de ce dossier, même si les journaux d'audit pour l'accès aux données n'ont pas été configurés dans le projet cloud.

Contrôle des accès

Les rôles et autorisations Identity and Access Management régissent l'accès aux données de Logging, y compris l'affichage et la gestion des stratégies IAM sous-jacentes aux configurations des journaux d'audit pour l'accès aux données.

Pour afficher ou définir les stratégies associées à la configuration de l'accès aux données, vous devez disposer d'un rôle doté d'autorisations au niveau des ressources approprié. Pour savoir comment attribuer ces rôles au niveau des ressources, consultez la page Gérer l'accès aux projets cloud, dossiers et organisations.

  • Pour définir des stratégies IAM, vous devez disposer d'un rôle doté de l'autorisation resourcemanager.RESOURCE_TYPE.setIamPolicy.

  • Pour afficher les stratégies IAM, vous devez disposer d'un rôle doté de l'autorisation resourcemanager.RESOURCE_TYPE.getIamPolicy.

Pour obtenir la liste des autorisations et des rôles dont vous avez besoin pour afficher les journaux d'audit pour l'accès aux données, consultez le guide du contrôle des accès de Logging.

Configurer les journaux d'audit pour l'accès aux données à l'aide de Cloud Console

Cette section explique comment utiliser Cloud Console pour configurer les journaux d'audit relatifs à l'accès aux données.

Vous pouvez également utiliser l'API ou la CLI Google Cloud pour effectuer ces tâches de manière automatisée. Pour en savoir plus, consultez Configurer les journaux d'audit pour l'accès aux données avec l'API.

Pour accéder aux options de configuration des journaux d'audit dans Cloud Console, procédez comme suit:

  1. Dans Cloud Console, sélectionnez IAM & Admin > Audit Logs (Journaux d'audit et d'administration).

    Accéder à la page "Journaux d'audit"

  2. Sélectionnez un projet, un dossier ou une organisation Cloud existant en haut de la page.

Activer les journaux d'audit

Pour activer les journaux d'audit pour l'accès aux données, procédez comme suit:

  1. Dans le tableau principal de la page Audit Logs (Journaux d'audit), sélectionnez un ou plusieurs services Google Cloud dans la colonne Title (Titre).

  2. Dans l'onglet Type de journal, sélectionnez les types de journaux d'audit d'accès aux données que vous souhaitez activer, puis cliquez sur Enregistrer.

  3. Une coche s'affiche dans le tableau lorsque vous activez un journal d'audit. Dans l'exemple suivant, les journaux d'audit Admin Read (Lecture administrateur) et Data Read (Lecture de données) sont activés pour le service Cloud Composer API :

    Configuration des journaux d'audit

Vous pouvez également activer les journaux d'audit pour tous les services Google Cloud qui génèrent des journaux d'audit d'accès aux données. Dans le tableau principal de la page Audit Logs (Journaux d'audit), sélectionnez tous les services Google Cloud.

Notez que cette méthode de configuration groupée ne s'applique qu'aux services Google Cloud actuellement disponibles. Si un nouveau service Google Cloud est ajouté, il hérite de votre configuration d'audit par défaut.

Désactiver les journaux d'audit pour l'accès aux données

Pour désactiver les journaux d'audit pour l'accès aux données, procédez comme suit:

  1. Dans le tableau principal de la page Audit Logs (Journaux d'audit), sélectionnez un ou plusieurs services Google Cloud.

  2. Dans l'onglet Log Type (Type de journal), sélectionnez les types de journaux d'audit pour l'accès aux données que vous souhaitez désactiver, puis cliquez sur Save (Enregistrer).

  3. Un tiret gris s'affiche dans le tableau lorsque vous désactivez un journal d'audit. Les journaux d'audit pour l'accès aux données activés sont signalés par une coche verte.

Définir des exemptions d'utilisateurs

Vous pouvez définir des exceptions pour vous permettre de contrôler quels utilisateurs ou groupes génèrent des journaux d'audit pour l'accès aux données. Lorsque vous ajoutez un utilisateur ou un groupe exempté, les journaux d'audit ne sont pas créés pour lui pour les types de journaux sélectionnés. Notez que les journaux d'activités d'administration sont toujours générés, quel que soit l'état de l'exemption.

Pour définir des exceptions, procédez comme suit:

  1. Dans le tableau principal de la page de configuration Audit Logs (Journaux d'audit), sélectionnez un ou plusieurs services Google Cloud dans la colonne Title (Titre).

  2. Sélectionnez l'onglet Exempted Users (Utilisateurs exemptés). Dans Ajouter un utilisateur exempté, saisissez l'adresse e-mail de l'utilisateur ou du groupe que vous souhaitez ajouter à la liste des exceptions pour les services sélectionnés. Vous pouvez ajouter plusieurs utilisateurs ou groupes en sélectionnant le bouton Ajouter un utilisateur exempté autant de fois que nécessaire.

  3. Cochez les cases correspondant aux types de journaux d'audit pour l'accès aux données que vous souhaitez désactiver, puis cliquez sur Enregistrer.

  4. Lorsque vous avez ajouté des utilisateurs ou des groupes exemptés à un service, le tableau l'indique avec un nombre dans la colonne Exceptions.

Pour supprimer un utilisateur ou un groupe de votre liste d'exceptions:

  1. Accédez à l'onglet Utilisateurs exemptés du panneau d'informations.

  2. Pointez sur le nom d'un utilisateur ou d'un groupe, puis sélectionnez l'icône Corbeille qui s'affiche.

  3. Une fois que le nom de l'utilisateur s'affiche dans le texte barré, cliquez sur Enregistrer.

Pour modifier les informations d'un utilisateur exempté :

  1. Accédez à l'onglet Utilisateurs exemptés du panneau d'informations.

  2. Cliquez sur la flèche de développement à droite du nom de l'utilisateur.

  3. Sélectionnez ou désélectionnez les types de journaux d'audit pour l'accès aux données en fonction des autorisations que vous souhaitez accorder à l'utilisateur, puis cliquez sur Enregistrer.

Définir la configuration par défaut

Vous pouvez définir une configuration qui sera appliquée à tous les services Google Cloud nouveaux et existants de votre projet cloud, dossier ou organisation. Cette configuration par défaut est appliquée à tout nouveau service Google Cloud dès sa mise à disposition aux utilisateurs de votre organisation lorsqu'ils commencent à l'utiliser : le service hérite de la stratégie de journalisation d'audit que vous avez définie précédemment pour d'autres services Google Cloud. Vous avez ainsi l'assurance que les journaux d'audit pour l'accès aux données sont bien capturés pour ce service.

Pour définir la configuration par défaut:

  1. Cliquez sur Default Audit Config (Configuration d'audit par défaut) en haut de la page.

  2. Dans l'onglet Type de journal, sélectionnez les types de journaux d'audit d'accès aux données que vous souhaitez activer ou désactiver, puis cliquez sur Enregistrer.

  3. Dans l'onglet Utilisateurs exemptés, saisissez l'adresse e-mail des utilisateurs ou des groupes que vous souhaitez ajouter à la liste des exceptions, puis cliquez sur Enregistrer. Pour savoir comment procéder, consultez la section Définir des exceptions utilisateur.

Configurer les journaux d'audit pour l'accès aux données à l'aide de l'API

Cette section explique comment utiliser l'API et la CLI gcloud pour configurer les journaux d'audit pour l'accès aux données de manière automatisée.

La plupart de ces tâches peuvent également être effectuées via Cloud Console. Pour en savoir plus, consultez la page Configurer les journaux d'audit pour l'accès aux données avec Cloud Console.

Objets des stratégies IAM

Pour configurer les journaux d'audit pour l'accès aux données à l'aide de l'API, vous devez modifier la stratégie IAM associée au projet cloud, au dossier ou à l'organisation. La configuration des journaux d'audit se trouve dans la section auditConfigs de la stratégie :

"auditConfigs": [
  {
    object(AuditConfig)
  }
]

Pour en savoir plus, reportez-vous au type de stratégie IAM.

Les sections suivantes décrivent l'objet AuditConfig plus en détail. Pour connaître les commandes de l'API et de la CLI gcloud utilisées pour modifier la configuration, consultez setIamPolicy et setIamPolicy.

AuditConfig objets

La configuration des journaux d'audit consiste en une liste d'objets AuditConfig. Chaque objet configure les journaux pour un service spécifique ou établit une configuration globale applicable à tous les services. Voici à quoi ressemblent les objets :

{
  "service": SERVICE,
  "auditLogConfigs": [
    {
      "logType": "ADMIN_READ"
      "exemptedMembers": [ PRINCIPAL,]
    },
    {
      "logType": "DATA_READ"
      "exemptedMembers": [ PRINCIPAL,]
    },
    {
      "logType": "DATA_WRITE"
      "exemptedMembers": [ PRINCIPAL,]
    },
  ]
},

SERVICE correspond à un nom de service tel que "appengine.googleapis.com", ou à la valeur spéciale "allServices". Si une configuration ne mentionne pas un service spécifique, la configuration globale s'applique. Si aucune configuration n'est définie, les journaux d'audit pour l'accès aux données ne sont pas activés sur le service en question. Pour obtenir la liste des noms de service, consultez la section Services de journalisation.

La section auditLogConfigs de l'objet AuditConfig est une liste de 0 à 3 objets, chacun d'entre eux configurant un type de journal d'audit. Si vous omettez l'un des types de la liste, ce type d'information n'est pas activé pour le service.

PRINCIPAL est un utilisateur pour lequel les journaux d'audit pour l'accès aux données ne sont pas collectés. Vous pouvez spécifier des utilisateurs uniques, des groupes ou des comptes de service. Le type Binding décrit différents types de comptes principaux, mais ils ne peuvent pas tous être utilisés dans la configuration des journaux d'audit pour l'accès aux données.

Vous trouverez ci-dessous un exemple de configuration d'audit aux formats JSON et YAML. Le format YAML est le format par défaut lorsque vous utilisez la CLI Google Cloud.

JSON

"auditConfigs": [
  {
    "auditLogConfigs": [
      {
        "logType": "ADMIN_READ"
      },
      {
        "logType": "DATA_WRITE"
      },
      {
        "logType": "DATA_READ"
      }
    ],
    "service": "allServices"
  },
  {
    "auditLogConfigs": [
      {
        "exemptedMembers": [
          "499862534253-compute@developer.gserviceaccount.com"
        ],
        "logType": "ADMIN_READ"
      }
    ],
    "service": "cloudsql.googleapis.com"
  }
],

YAML

auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices
- auditLogConfigs:
  - exemptedMembers:
    - 499862534253-compute@developer.gserviceaccount.com
    logType: ADMIN_READ
  service: cloudsql.googleapis.com

Configurations courantes

Vous trouverez ci-dessous quelques configurations de journaux d'audit courantes pour les projets cloud.

Ces configurations n'incluent pas les éventuelles configurations de journaux d'audit définies pour l'organisation ou le dossier dont dépend le projet. Pour en savoir plus, consultez la section Configurations de l'organisation et du projet cloud.

Activer tous les journaux d'audit pour l'accès aux données

La section auditConfigs suivante permet d'activer les journaux d'audit pour l'accès aux données pour tous les services et utilisateurs :

JSON

"auditConfigs": [
      {
        "service": "allServices",
        "auditLogConfigs": [
          { "logType": "ADMIN_READ" },
          { "logType": "DATA_READ"  },
          { "logType": "DATA_WRITE" },
        ]
      },
    ]

YAML

auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_WRITE
  - logType: DATA_READ
  service: allServices

Activer un service et un type d'information

La configuration suivante active les journaux d'audit pour l'accès aux données pour Cloud SQL. Les journaux n'enregistrent que les écritures des données définies par l'utilisateur:

JSON

"auditConfigs": [
  {
    "service": "cloudsql.googleapis.com",
    "auditLogConfigs": [
      { "logType": "DATA_WRITE" },
    ]
  },
]

YAML

auditConfigs:
- auditLogConfigs:
  - logType: DATA_WRITE
  service: cloudsql.googleapis.com

Désactiver tous les journaux d'audit pour l'accès aux données

Pour désactiver tous les journaux d'audit d'accès aux données (sauf BigQuery) dans un projet cloud, ajoutez une section auditConfigs: vide dans votre nouvelle stratégie IAM :

JSON

"auditConfigs": [],

YAML

auditConfigs:

Si vous supprimez entièrement la section auditConfigs de votre nouvelle stratégie, alors setIamPolicy ne modifie pas la configuration des journaux d'audit pour l'accès aux données. Pour en savoir plus, consultez la section Masque de mise à jour de la méthode setIamPolicy.

Les journaux d'audit pour l'accès aux données BigQuery ne peuvent pas être désactivés.

getIamPolicy et setIamPolicy

Vous pouvez consulter et écrire votre stratégie IAM à l'aide des méthodes getIamPolicy et setIamPolicy de l'API Resource Manager. Plusieurs options s'offrent à vous :

  • L'API Resource Manager propose les méthodes suivantes :

    projects.getIamPolicy
    projects.setIamPolicy
    organizations.getIamPolicy
    organizations.setIamPolicy
    
  • La CLI Google Cloud contient les commandes Resource Manager suivantes:

    gcloud projects get-iam-policy
    gcloud projects set-iam-policy
    gcloud resource-manager folders get-iam-policy
    gcloud resource-manager folders set-iam-policy
    gcloud organizations get-iam-policy
    gcloud organizations set-iam-policy
    gcloud beta billing accounts get-iam-policy
    gcloud beta billing accounts set-iam-policy
    

Quel que soit votre choix, suivez ces trois étapes :

  1. Consultez la stratégie actuelle en utilisant l'une des méthodes getIamPolicy. Enregistrez-la dans un fichier temporaire.
  2. Modifiez la stratégie dans le fichier temporaire. Ne modifiez (ou n'ajoutez) que la section auditConfigs.
  3. Rédigez la stratégie modifiée dans le fichier temporaire à l'aide de l'une des méthodes setIamPolicy.

La méthode setIamPolicy échoue si Resource Manager détecte qu'un autre utilisateur a modifié la stratégie depuis votre dernier accès lors de l'étape 1. Si cela se produit, répétez les trois étapes.

Examples

Les exemples suivants montrent comment configurer les journaux d'audit pour l'accès aux données de votre projet à l'aide de la commande gcloud et de l'API Resource Manager.

Pour configurer les journaux d'audit pour l'accès aux données de votre organisation, remplacez la version "projects" des commandes et méthodes d'API par la version "organizations".

gcloud

Pour configurer vos journaux d'audit pour l'accès aux données à l'aide de la commande gcloud projects, procédez comme suit :

  1. Consultez la stratégie IAM de votre projet et stockez-la dans un fichier :

    gcloud projects get-iam-policy PROJECT_ID > /tmp/policy.yaml
    

    La stratégie renvoyée est présentée ci-dessous. Elle ne comporte pas encore de section auditConfigs:

    bindings:
    - members:
      - user:colleague@example.com
      role: roles/editor
    - members:
      - user:myself@example.com
      role: roles/owner
    etag: BwVM-FDzeYM=
    version: 1
    
  2. Modifiez votre stratégie dans /tmp/policy.yaml. Vous ne pouvez ajouter ou modifier que la configuration des journaux d'audit pour l'accès aux données.

    Vous trouverez ci-dessous un exemple de stratégie modifiée, qui active les journaux d'audit pour l'accès en écriture aux données dans Cloud SQL. Quatre lignes ont été ajoutées au début :

    auditConfigs:
    - auditLogConfigs:
      - logType: DATA_WRITE
      service: cloudsql.googleapis.com
    bindings:
    - members:
      - user:colleague@example.com
      role: roles/editor
    - members:
      - user:myself@example.com
      role: roles/owner
    etag: BwVM-FDzeYM=
    version: 1
    
  3. Rédigez votre nouvelle stratégie IAM :

    gcloud projects set-iam-policy PROJECT_ID /tmp/policy.yaml
    

    Si la commande précédente signale un conflit avec une autre modification, répétez ces étapes depuis le début.

JSON

Pour exploiter votre stratégie IAM au format JSON au lieu de YAML, utilisez les commandes gcloud suivantes dans l'exemple :

gcloud projects get-iam-policy PROJECT_ID --format=json >/tmp/policy.json
gcloud projects set-iam-policy PROJECT_ID /tmp/policy.json

API

Pour configurer les journaux d'audit pour l'accès aux données à l'aide de l'API Resource Manager, procédez comme suit :

  1. Consultez la stratégie IAM de votre projet en spécifiant les paramètres suivants dans la méthode d'API getIamPolicy :

    • resource : projects/PROJECT_ID
    • Corps de la requête : empty

    La méthode renvoie l'objet de la stratégie actuelle décrit ci-dessous. La stratégie de ce projet ne comporte pas encore de section auditConfigs:

    {
      "bindings": [
      {
        "members": [
          "user:colleague@example.com"
        ],
        "role": "roles/editor"
      },
      {
        "members": [
          "user:myself@example.com"
        ],
        "role": "roles/owner"
      }
    ],
    "etag": "BwUsv2gimRs=",
    "version": 1
    

    }

  2. Modifiez la stratégie actuelle :

    • Modifiez ou ajoutez la section auditConfigs.

      Pour désactiver vos journaux d'audit pour l'accès aux données, indiquez une valeur vide pour la section : auditConfigs:[].

    • Conservez la valeur de etag.

    Vous pouvez également supprimer toutes les autres informations du nouvel objet de stratégie, à condition de définir updateMask à l'étape suivante. La stratégie modifiée, qui active les journaux d'audit d'écriture de données dans Cloud SQL, est décrite ci-dessous :

    {
      "auditConfigs": [
        {
          "auditLogConfigs": [
            {
              "logType": "DATA_WRITE"
            }
          ],
          "service": "cloudsql.googleapis.com"
        }
      ],
      "etag": "BwVM-FDzeYM="
    }
    
  3. Rédigez la nouvelle stratégie à l'aide de la méthode d'API setIamPolicy, en spécifiant les paramètres suivants :

    • resource : projects/PROJECT_ID
    • Corps de la requête :
      • updateMask : "auditConfigs,etag"
      • policy : votre objet de stratégie modifié

Masque de mise à jour setIamPolicy

Cette section explique l'importance du paramètre updateMask dans la méthode setIamPolicy et vous explique pourquoi vous devez utiliser la commande set-iam-policy de la CLI gcloud de manière à ne pas causer de dommages accidentels à votre projet ou votre organisation Cloud.

La méthode setIamPolicy API method utilise un paramètre updateMask pour contrôler les champs de stratégie mis à jour. Par exemple, si le masque ne contient pas de section bindings, vous ne pouvez pas modifier accidentellement cette section de la stratégie. En revanche, si le masque contient une section bindings, celle-ci est systématiquement mise à jour. Si vous n'incluez pas de valeur à jour pour bindings, cette section est entièrement supprimée de la stratégie.

La commande gcloud projects set-iam-policy, qui appelle setIamPolicy, ne vous permet pas de spécifier le paramètre updateMask. À la place, la commande calcule une valeur pour updateMask de la façon suivante :

  • Le paramètre updateMask contient toujours les champs bindings et etag.
  • Si l'objet de stratégie fourni dans set-iam-policy contient d'autres champs de premier niveau, tels que auditConfigs, ces champs sont ajoutés à updateMask.

Compte tenu de ces règles, la commande set-iam-policy présente les comportements suivants :

  • Si vous omettez la section auditConfigs dans votre nouvelle stratégie, la valeur précédente de la section auditConfigs (le cas échéant) n'est pas modifiée, car cette section ne se trouve pas dans le masque de mise à jour. Cela n'a aucune incidence, mais cela peut porter à confusion.

  • Si vous omettez bindings dans votre nouvel objet de stratégie, la section bindings est supprimée de votre stratégie, car elle apparaît dans le masque de mise à jour. Une telle omission a de graves conséquences, car elle entraîne la révocation de l'accès au projet cloud pour tous les utilisateurs.

  • Si vous omettez etag dans votre nouvel objet de stratégie, la vérification des modifications simultanées apportées à votre stratégie est désactivée. Cela peut entraîner l'écrasement accidentel des modifications effectuées par un autre utilisateur.