Configurer des destinations de journaux avec des comptes de service gérés par l'utilisateur

Cette page explique comment acheminer les journaux en créant des collecteurs configurés avec des comptes de service gérés par l'utilisateur. Par défaut, Logging utilise Compte de service Logging pour tous les récepteurs d'une ressource Toutefois, si vos destinations de journalisation se trouvent dans des projets différents, vous pouvez créer et gérer votre propre compte de service géré par l'utilisateur, ce qui vous permet de gérer de manière centralisée les autorisations de gestion de l'identité et des accès à partir du projet contenant votre compte de service géré par l'utilisateur.

Vous ne pouvez créer un collecteur qui utilise un compte de service géré par l'utilisateur que lorsque la destination du collecteur est un bucket de journaux ou un projet Google Cloud. L'exemple de ce document montre comment configurer un collecteur qui utilise un compte de service géré par l'utilisateur dont la destination est un bucket de journaux.

Avant de commencer

1. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

2. Assurez-vous de disposer d'un compte de service géré par l'utilisateur, puis définissez le les variables suivantes aux valeurs appropriées pour votre Compte de service géré par l'utilisateur:

   • CUSTOM_SA_PROJECT_ID : ID du projet contenant votre compte de service géré par l'utilisateur.

   • CUSTOM_SA: adresse e-mail de votre compte de service géré par l'utilisateur.

   Pour savoir comment créer un compte de service, consultez la section Créer des comptes de service.

3. Assurez-vous de disposer d'un bucket de journaux pouvant servir de destination un récepteur de journaux, puis définissez les variables suivantes sur des valeurs adaptés à votre bucket de journaux. Si nécessaire, créez un bucket de journaux :

   • LOG_BUCKET_PROJECT_ID : ID du projet contenant votre bucket de journaux.

   • LOCATION : emplacement de votre bucket de journaux.

   • BUCKET_NAME: nom de votre bucket de journaux.

4. Identifiez le nom du compte de service Logging existe dans le projet dans lequel vous prévoyez de créer le récepteur de journaux, puis Définissez les variables suivantes sur les valeurs appropriées:

   • SINK_PROJECT_ID: ID du projet dans lequel vous prévoyez de créer le récepteur de journaux.

   • LOGGING_SA : adresse e-mail du compte de service de journalisation par défaut. Pour obtenir cette adresse, exécutez la commande suivante :

     gcloud logging settings describe --project=SINK_PROJECT_ID
     

     Dans la réponse, la ligne commençant par loggingServiceAccountId indique l'adresse e-mail de votre compte de service.

5. Dans le projet contenant votre compte de service géré par l'utilisateur, assurez-vous que la contrainte booléenne de règle d'administration iam.disableCrossProjectServiceAccountUsage n'est pas appliquée. Par défaut, cette contrainte est appliquée. Pour désactiver cette contrainte afin de pouvoir associer un compte de service ressource dans un autre projet, exécutez la commande suivante:

   gcloud resource-manager org-policies disable-enforce \
   iam.disableCrossProjectServiceAccountUsage \
   --project=CUSTOM_SA_PROJECT_ID
   

   Pour en savoir plus sur l'activation des comptes de service entre les projets, consultez la page Activez l'association de comptes de service entre plusieurs projets.

Accorder des rôles IAM

Cette section décrit les conditions préalables à la création d'un récepteur qui utilise un de service géré par l'utilisateur.

Autoriser le compte de service géré par l'utilisateur à écrire des entrées de journal sur la destination du récepteur

Accordez au compte de service géré par l'utilisateur les autorisations dont il a besoin pour écrire des entrées de journal à la destination du récepteur que vous créerez à l'étape suivante. La destination du récepteur sera un bucket de journaux stocké dans le projet nommé LOG_BUCKET_PROJECT_ID.

Pour accorder les autorisations requises au compte de service géré par l'utilisateur, attribuez-lui le rôle Écrivain de bucket de journaux (roles/logging.bucketWriter) sur le projet contenant le bucket de journaux :

gcloud projects add-iam-policy-binding LOG_BUCKET_PROJECT_ID \
--member='serviceAccount:CUSTOM_SA' \
--role='roles/logging.bucketWriter'

Pour en savoir plus sur la commande précédente, consultez gcloud projects add-iam-policy-binding

Configurer l'emprunt d'identité d'un compte de service

Configurez le compte de service Cloud Logging par défaut, LOGGING_SA, pour emprunter l'identité du compte de service géré par l'utilisateur, CUSTOM_SA Le compte de service Cloud Logging par défaut existant dans le projet Google Cloud vous voulez créer des récepteurs de journaux utilisant le compte de service géré par l'utilisateur.

Pour configurer l'usurpation d'identité du compte de service, attribuez le rôle Créateur de jetons du compte de service (roles/iam.serviceAccountTokenCreator) au compte de service Cloud Logging sur le compte de service géré par l'utilisateur :

gcloud iam service-accounts add-iam-policy-binding CUSTOM_SA \
--project=CUSTOM_SA_PROJECT_ID \
--member='serviceAccount:LOGGING_SA' \
--role='roles/iam.serviceAccountTokenCreator'

L'usurpation d'identité de compte de service implique deux comptes principaux : le compte de service qui ne dispose pas des autorisations nécessaires pour accéder à une ressource et le compte de service porteur de privilèges qui dispose des autorisations nécessaires pour accéder à une ressource. Dans ce Dans ce cas, le compte de service géré par l'utilisateur est le compte disposant de droits car il peut écrire des entrées de journal dans la destination du récepteur, qui est un bucket de journaux du projet nommé LOG_BUCKET_PROJECT_ID. Le compte de service Logging dispose des droits d'acheminement des journaux.

Pour en savoir plus sur le rôle Créateur de jetons de compte de service, consultez la section Rôles pour gérer et usurper l'identité de comptes de service : rôle Créateur de jetons de compte de service.

Pour en savoir plus sur l'emprunt d'identité de compte de service, consultez À propos des comptes de service l'usurpation d'identité.

Autoriser l'entité principale à exécuter des opérations en tant que compte de service géré par l'utilisateur

Accorder au compte principal qui créera le récepteur les autorisations nécessaires exécuter des opérations en tant que compte de service géré par l'utilisateur.

Pour accorder les autorisations requises, attribuez au principal le rôle "Utilisateur de compte de service" (roles/iam.serviceAccountUser) sur le projet Google Cloud qui stocke le compte de service géré par l'utilisateur, CUSTOM_SA_PROJECT_ID.

Avant d'exécuter la commande suivante, effectuez les remplacements suivants:

• PRINCIPAL : identifiant du compte principal auquel vous souhaitez accorder le rôle. Les identifiants des comptes principaux se présentent généralement sous la forme suivante: PRINCIPAL-TYPE:ID Par exemple, user:my-user@example.com. Pour obtenir la liste complète des formats pouvant être utilisés pour PRINCIPAL, consultez la section Identifiants principaux.

Exécutez la gcloud iam service-accounts add-iam-policy-binding commande:

gcloud iam service-accounts add-iam-policy-binding CUSTOM_SA \
--project=CUSTOM_SA_PROJECT_ID \
--member='PRINCIPAL' \
--role='roles/iam.serviceAccountUser'

Si vous utilisez des rôles personnalisés, le principal a besoin de l'autorisation iam.serviceAccounts.actAs.

Pour en savoir plus sur le rôle d'utilisateur du compte de service, consultez la section Rôles de gestion et d'emprunt d'identité des comptes de service: Compte de service Rôle utilisateur.

Créer un collecteur de journaux qui utilise un compte de service géré par l'utilisateur

Pour créer un collecteur avec un compte de service géré par l'utilisateur, exécutez la commande gcloud logging sinks create et incluez l'option --custom-writer-identity.

Avant d'exécuter la commande suivante, effectuez les remplacements suivants :

• SINK_NAME : nom du récepteur de journaux.

Exécutez la gcloud logging sinks create commande:

gcloud logging sinks create SINK_NAME \
logging.googleapis.com/projects/LOG_BUCKET_PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME \
--custom-writer-identity=serviceAccount:CUSTOM_SA \
--project=SINK_PROJECT_ID

Vérifier que votre sink achemine les journaux

Dans cette section, vous allez utiliser la gcloud CLI pour écrire et lire un journal pour vérifier que votre récepteur achemine correctement les journaux.

Pour vérifier que votre récepteur achemine correctement les journaux, procédez comme suit:

1. Exécutez la commande gcloud logging write :

   Avant d'exécuter la commande suivante, effectuez les remplacements suivants:

   • LOG_NAME : nom du journal. Par exemple, vous pouvez définir ce champ sur mylog.

   Exécutez la commande gcloud logging write :

   gcloud logging write LOG_NAME "Test log entry" --project=SINK_PROJECT_ID
   

   La commande précédente renvoie le message suivant : Created log entry.

2. Pour lire l'entrée de journal que vous venez d'écrire, exécutez la commande suivante:

   gcloud logging read 'textPayload="Test log entry"' \
   --bucket=BUCKET_NAME --location=LOCATION \
   --view=_AllLogs --project=SINK_PROJECT_ID
   

Étape suivante

• Pour savoir comment acheminer vos journaux vers des destinations compatibles, consultez la section Acheminer les journaux vers des destinations compatibles.

• Pour en savoir plus sur la manière dont Logging achemine et stocke vos journaux, consultez la page Présentation du routage et du stockage.

• Si vous rencontrez des problèmes lorsque vous utilisez des récepteurs pour acheminer les journaux, consultez Résoudre les problèmes liés aux journaux de routage

• Pour savoir comment afficher vos journaux routés dans leur destination, et découvrir comment les journaux sont formatés et organisés, consultez la page Afficher les journaux dans les destinations de récepteur.