Cette page explique comment utiliser une règle d'administration en mode de simulation pour surveiller l'impact d'une modification de règle sur vos workflows avant son application.
Une règle d'administration en mode de simulation est créée et appliquée de la même manière que les autres règles d'administration d'administration. Les cas de non-respect de la règle sont consignés dans un journal d'audit, mais les actions non conformes ne sont pas refusées.
Avant de commencer
Pour utiliser une règle d'administration en mode de simulation, vous devez activer la facturation pour votre projet Google Cloud. Pour savoir comment vérifier si la facturation est activée pour un projet, consultez la section Vérifier l'état de la facturation de vos projets.
Pour en savoir plus sur les règles d'administration, les contraintes et leur fonctionnement, consultez la page Présentation du service de règles d'administration.
Rôles requis
Pour obtenir les autorisations nécessaires pour gérer les règles d'administration, demandez à votre administrateur de vous attribuer le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin
) pour l'organisation.
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Ce rôle prédéfini contient les autorisations requises pour gérer les règles d'administration. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour gérer les règles d'administration:
-
orgpolicy.constraints.list
-
orgpolicy.policies.create
-
orgpolicy.policies.delete
-
orgpolicy.policies.list
-
orgpolicy.policies.update
-
orgpolicy.policy.get
-
orgpolicy.policy.set
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Limites
Les seules contraintes de règle d'administration pouvant être utilisées dans les règles d'administration d'administration de simulation sont les suivantes:
- Limiter l'utilisation des services de ressources
- Restreindre les versions TLS
- Contraintes personnalisées
Toute tentative de création d'une règle d'administration en mode de simulation en utilisant une autre contrainte entraîne une erreur.
Créer une règle d'administration en mode de simulation
Contraintes de liste
Vous pouvez créer une règle d'administration en mode de simulation pour une contrainte de liste à l'aide de la console Google Cloud ou de Google Cloud CLI. Les exemples suivants montrent comment créer une règle d'administration en mode de simulation qui audite l'effet de la contrainte de liste gcp.restrictServiceUsage
.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le sélecteur de projet, choisissez la ressource pour laquelle vous souhaitez définir la règle d'administration.
Sélectionnez la contrainte Restreindre l'utilisation des services de ressources dans la liste de la page Règles d'administration.
Sélectionnez l'onglet Simulation.
Cliquez sur Gérer la règle de dry run.
Sur la page Modifier la règle de dry run, sélectionnez Remplacer la règle parente.
Sous Application des règles, cliquez sur Remplacer.
Cliquez sur Ajouter une règle.
Dans Valeurs de règle, sélectionnez Personnalisé.
Dans Type de règle, sélectionnez Refuser.
Dans la zone Valeurs personnalisées, saisissez
compute.googleapis.com
, puis cliquez sur OK.S'il s'agit d'une contrainte personnalisée, vous pouvez cliquer sur Tester les modifications pour simuler l'effet de cette règle d'administration. Pour en savoir plus, consultez la section Tester les modifications apportées aux règles d'administration avec Policy Simulator.
Pour appliquer la règle d'administration en mode de simulation, cliquez sur Définir la règle de dry run. Vous pouvez également définir la règle active en cliquant sur Définir une règle.
Vous pouvez vérifier l'état de votre règle d'administration en mode de simulation en accédant à l'onglet Simulation d'une contrainte de règle d'administration.
Pour les projets auxquels une règle d'administration en mode dry run est appliquée, vous pouvez afficher les journaux d'audit en cliquant sur Afficher les journaux de refus. Pour cette règle d'administration, les journaux d'audit affichent les cas de non-respect comme si la contrainte Restreindre l'utilisation des services de ressources était appliquée pour refuser compute.googleapis.com
.
gcloud
Pour créer une règle d'administration en mode de simulation, créez un fichier YAML qui définit la contrainte avec dryRunSpec
. Exemple :
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage dryRunSpec: rules: values: denied_values: - compute.googleapis.com
Remplacez les éléments suivants :
RESOURCE_TYPE
parorganizations
,folders
ouprojects
.RESOURCE_ID
par votre ID d'organisation, votre ID de dossier, votre ID de projet ou votre numéro de projet, en fonction du type de ressource spécifié dansRESOURCE_TYPE
.
Cette règle d'administration n'appliquera pas la contrainte gcp.restrictServiceUsage
, mais les journaux d'audit affichent les violations comme si c'était le cas.
Vous pouvez définir une règle d'administration active et une règle d'administration de simulation dans le même fichier YAML, si vous définissez à la fois spec
et dryRunSpec
. Exemple :
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage spec: rules: - values: allowedValues: - container.googleapis.com dryRunSpec: rules: values: allowedValues: - compute.googleapis.com - appengine.googleapis.com
Pour appliquer une règle d'administration en mode de simulation, utilisez la commande org-policies set policy
. Pour mettre à jour une règle d'administration existante en mode de simulation avec de nouvelles contraintes, utilisez l'option --update-mask
. Exemple :
gcloud org-policies set-policy POLICY_PATH \ --update-mask=UPDATE_MASK
Remplacez les éléments suivants :
POLICY_PATH
par le chemin d'accès complet au fichier YAML de votre règle d'administration.UPDATE_MASK
avecspec
pour ne mettre à jour que la règle active oudryRunSpec
pour ne mettre à jour la règle d'administration qu'en mode de simulation. Vous pouvez également utiliser*
pour mettre à jour les champsspec
etdryRunSpec
. Si ce champ n'est pas défini lors de la mise à jour d'une règle d'administration existante, cette commande génère une erreur et la règle d'administration n'est pas mise à jour.
Vous pouvez vérifier que la règle d'administration en mode de simulation est définie à l'aide de la commande org-policies describe
. Le champ dryRunSpec
ne s'affiche que s'il existe dans la règle d'administration.
La règle d'administration ci-dessus appliquera la contrainte gcp.restrictServiceUsage
de sorte que seul container.googleapis.com
soit autorisé. Toutefois, les journaux d'audit affichent également les cas de non-respect des règles compute.googleapis.com
et appengine.googleapis.com
.
Contraintes booléennes
Vous pouvez créer une règle d'administration en mode de simulation pour une contrainte booléenne à l'aide de la console Google Cloud ou de Google Cloud CLI. Les exemples suivants montrent comment créer une règle d'administration en mode de simulation qui audite l'effet d'une règle d'administration personnalisée booléenne.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le sélecteur de projet, choisissez la ressource pour laquelle vous souhaitez définir la règle d'administration.
Sélectionnez la règle d'administration personnalisée que vous souhaitez appliquer dans la liste figurant sur la page Règles d'administration.
Sélectionnez l'onglet Simulation.
Cliquez sur Gérer la règle de dry run.
Sur la page Modifier la règle de dry run, sélectionnez Remplacer la règle parente.
Cliquez sur Ajouter une règle.
Sous Application, sélectionnez Activé, puis cliquez sur OK.
Pour appliquer la règle d'administration en mode de simulation, cliquez sur Définir la règle de dry run. Une fois que vous avez vérifié que la règle d'administration en mode de simulation fonctionne comme prévu, vous pouvez définir la règle active en cliquant sur Définir une règle.
Vous pouvez vérifier l'état de votre règle d'administration en mode de simulation en accédant à l'onglet Simulation d'une contrainte de règle d'administration.
Pour les projets auxquels une règle d'administration en mode dry run est appliquée, vous pouvez afficher les journaux d'audit en cliquant sur Afficher les journaux de refus. Pour cette règle d'administration, les journaux d'audit affichent les cas de non-respect comme si la règle d'administration personnalisée était appliquée.
gcloud
Pour créer une règle d'administration en mode de simulation, créez un fichier YAML qui définit la contrainte avec dryRunSpec
. Exemple :
name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME dryRunSpec: rules: - enforce: true
Remplacez les éléments suivants :
RESOURCE_TYPE
parorganizations
,folders
ouprojects
.RESOURCE_ID
par votre ID d'organisation, votre ID de dossier, votre ID de projet ou votre numéro de projet, en fonction du type de ressource spécifié dansRESOURCE_TYPE
.CONSTRAINT_NAME
par le nom de votre contrainte personnalisée. Exemple :custom.disableGkeAutoUpgrade
Cette règle d'administration n'appliquera pas la contrainte personnalisée, mais les journaux d'audit affichent les violations comme si c'était le cas.
Vous pouvez définir une règle d'administration active et une règle d'administration en mode de simulation dans le même fichier YAML, si vous définissez à la fois spec
et dryRunSpec
. Exemple :
name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: false dryRunSpec: rules: - enforce: true
Pour appliquer une règle d'administration en mode de simulation, utilisez la commande org-policies set policy
. Pour mettre à jour une règle d'administration existante en mode de simulation avec de nouvelles contraintes, utilisez l'option --update-mask
. Exemple :
gcloud org-policies set-policy POLICY_PATH \ --update-mask=UPDATE_MASK
Remplacez les éléments suivants :
POLICY_PATH
par le chemin d'accès complet au fichier YAML de votre règle d'administration.UPDATE_MASK
avecspec
pour ne mettre à jour que la règle active oudryRunSpec
pour ne mettre à jour la règle d'administration qu'en mode de simulation. Vous pouvez également utiliser*
pour mettre à jour les champsspec
etdryRunSpec
. Si ce champ n'est pas défini lors de la mise à jour d'une règle d'administration existante, cette commande génère une erreur et la règle d'administration n'est pas mise à jour.
Vous pouvez vérifier qu'une règle d'administration en mode de simulation est définie à l'aide de la commande org-policies describe
. Le champ dryRunSpec
ne s'affiche que s'il existe dans la règle d'administration.
Cette règle d'administration n'applique pas la contrainte personnalisée. Toutefois, les journaux d'audit affichent les violations de la contrainte personnalisée.
Créer une règle d'administration en mode de simulation à partir d'une règle active
Vous pouvez utiliser une règle d'administration existante comme point de départ pour une règle d'administration en mode de simulation. Cela peut vous permettre de déterminer l'impact qu'une modification de votre règle existante pourrait avoir sur votre environnement.
Vous pouvez créer une règle d'administration en mode de simulation à partir d'une règle existante à l'aide de la console Google Cloud ou de Google Cloud CLI.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le sélecteur de projet, choisissez une ressource sur laquelle la contrainte Restreindre l'utilisation des services de ressources est déjà configurée.
Sélectionnez la contrainte Restreindre l'utilisation des services de ressources dans la liste de la page Règles d'administration.
Sélectionnez l'onglet En direct.
Cliquez sur Gérer la règle.
Cliquez sur Ajouter une règle.
Dans Valeurs de règle, sélectionnez Personnalisé.
Dans Type de règle, sélectionnez Refuser.
Dans le champ Valeurs personnalisées, saisissez
appengine.googleapis.com
.Cliquez sur OK, puis sur Définir la règle de dry run.
gcloud
Pour créer une règle d'administration en mode de simulation sur la base d'une règle d'administration active existante, obtenez la règle actuelle sur la ressource à l'aide de la commande org-policies describe
. Exemple :
gcloud org-policies describe gcp.restrictServiceUsage \ --project=PROJECT_ID
Remplacez PROJECT_ID
par l'ID ou le numéro du projet dans lequel cette règle d'administration est configurée.
Le résultat doit ressembler à ce qui suit :
name: projects/123456789012/policies/gcp.restrictServiceUsage spec: etag: CJy93KEGEKCJw/QB rules: - values: allowedValues: - compute.googleapis.com updateTime: '2023-04-12T21:11:56.512804Z'
Copiez le résultat de cette commande dans un fichier temporaire. Modifiez ce fichier pour supprimer les champs etag
et updateTime
, puis remplacez le champ spec
par dryRunSpec
. Apportez les modifications à la configuration de contrainte que vous souhaitez tester dans votre règle d'administration en mode de simulation.
Une fois terminé, le fichier YAML doit se présenter comme suit:
name: projects/123456789012/policies/gcp.restrictServiceUsage dryRunSpec: rules: values: allowedValues: - compute.googleapis.com - appengine.googleapis.com
Pour appliquer la règle d'administration en mode de simulation, utilisez org-policies set policy
avec l'option --update-mask
. Exemple :
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
Remplacez POLICY_PATH
par le chemin d'accès complet au fichier YAML de règle d'administration temporaire.
Supprimer une règle d'administration en mode de simulation
Vous pouvez supprimer une règle d'administration en mode de simulation à l'aide de la console Google Cloud ou de Google Cloud CLI.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans le sélecteur de projet, choisissez la ressource pour laquelle vous souhaitez définir la règle d'administration.
Sélectionnez la contrainte Restreindre l'utilisation des services de ressources dans la liste de la page Règles d'administration.
Sélectionnez l'onglet Simulation.
Cliquez sur Supprimer la règle de dry run.
gcloud
Pour supprimer une règle d'administration en mode de simulation, créez un fichier YAML qui définit la règle d'administration sans spécification de dry run. Exemple :
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage spec: rules: - values: allowedValues: - container.googleapis.com
Remplacez les éléments suivants :
RESOURCE_TYPE
parorganizations
,folders
ouprojects
.RESOURCE_ID
par votre ID d'organisation, votre ID de dossier, votre ID de projet ou votre numéro de projet, en fonction du type de ressource spécifié dansRESOURCE_TYPE
.
Exécutez ensuite la commande org-policies set policy
avec l'option --update-mask
définie sur dryRunSpec
. Exemple :
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
Cette opération met à jour la règle d'administration existante pour supprimer la spécification de dry run et ignore la partie active de la spécification.
Pour supprimer simultanément des règles d'administration actives et des règles d'règles d'administration en mode de simulation, utilisez la commande org-policies delete
. Exemple :
gcloud org-policies delete CONSTRAINT_NAME \ --RESOURCE_TYPE=RESOURCE_ID
Remplacez les éléments suivants :
CONSTRAINT_NAME
par le nom de la contrainte que vous souhaitez supprimer. Exemple :gcp.restrictServiceUsage
RESOURCE_TYPE
parorganizations
,folders
ouprojects
.RESOURCE_ID
par votre ID d'organisation, votre ID de dossier, votre ID de projet ou votre numéro de projet, en fonction du type de ressource spécifié dansRESOURCE_TYPE
.
Évaluation efficace des règles d'administration en mode de simulation
Les règles d'administration en mode de simulation sont héritées de la même manière que les autres règles d'administration. Si une règle d'administration en mode de simulation est définie sur une ressource d'organisation, toutes les ressources descendantes en héritent, sauf si elle est remplacée à un niveau inférieur de la hiérarchie.
Une évaluation efficace des stratégies indique le résultat des règles d'administration fusionnées sur cette ressource. Par conséquent, les ajustements apportés à la règle d'administration active sont reflétés dans la règle d'administration en vigueur en mode de simulation si la règle de mode de simulation est héritée au lieu d'être définie localement.
Prenons l'exemple d'une ressource d'administration, Organization A
, avec une règle d'administration active définie sur enforced: false
et une règle d'administration en mode de simulation définie sur enforced: true
. Une ressource enfant, Folder B
, définit également la règle d'administration active sur enforced: false
et hérite de la règle d'administration en mode de simulation. Sous Folder B
, la règle active définie signifie que l'évaluation effective de la règle d'administration en mode de simulation est également enforce: false
, ce qui remplace la règle d'administration en mode de simulation définie dans son organisation parente.
Une ressource enfant de Folder B
, Project X
, définit la règle active sur enforced: true
. Comme pour le comportement sur Folder B
, l'évaluation effective de la règle d'administration en mode de simulation pour Project X
est enforced: true
, car la règle active est définie.
Une autre ressource enfant de Folder B
, Project Y
, définit la règle d'administration en mode de simulation sur enforced: true
. Il hérite de la règle d'administration de sa ressource parente. L'évaluation effective est donc enforced: false
pour la règle active et enforced: true
pour la règle d'administration en mode de simulation.
Ressource | Définir une règle d'administration active | Règle d'administration en vigueur | Définir la règle d'administration en mode de simulation | Règle d'administration effective en mode de simulation |
---|---|---|---|---|
Organisation A | enforced: false |
enforced: false |
enforced: true |
enforced: true |
Dossier B | enforced: false |
enforced: false |
Aucune | enforced: false |
Dossier C | Aucune | enforced: false |
Aucune | enforced: true |
Projet X | enforced: true |
enforced: true |
Aucune | enforced: true |
Projet Y | Aucune | enforced: false |
enforced: true |
enforced: true |
Analyser les effets d'une règle d'administration en mode de simulation
Une règle d'administration en mode de simulation ne bloque aucune opération lorsqu'elle est appliquée. Pour voir l'effet potentiel de votre règle d'administration, vous pouvez consulter les journaux d'audit associés.
Les journaux d'audit des règles d'administration actives et des règles d'administration en mode de simulation sont générés selon que l'opération est autorisée ou refusée par les règles appliquées à une ressource donnée. Le tableau suivant décrit les situations dans lesquelles un journal d'audit des règles d'administration est généré:
Règles d'administration en ligne | Règle d'administration en mode de simulation | Journal d'audit généré |
---|---|---|
Autoriser | Autoriser | Non |
Autoriser | Refuser | Journal d'audit en mode de simulation uniquement |
Refuser | Autoriser | Journal d'audit en mode "direct" et "test à blanc" |
Refuser | Refuser | Journal d'audit en mode "direct" et "test à blanc" |
Dans les journaux d'audit, les cas de non-respect des règles d'administration en mode de simulation apparaissent avec les cas en mode "actif". Exemple :
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"status": {
"code": 7,
"message": "PERMISSION_DENIED"
},
"authenticationInfo": {},
"requestMetadata": {
"callerIp": "1.2.3.4",
"requestAttributes": {},
"destinationAttributes": {}
},
"serviceName": "appengine.googleapis.com",
"methodName": "google.api.appengine.v1.appengine.apps.services.get",
"resourceName": "projects/sur-project-test-3",
"metadata": {
"constraint": "constraints/gcp.restrictServiceUsage",
"checkedValue": "appengine.googleapis.com",
"liveResult": "ALLOWED",
"@type": "type.googleapis.com/google.cloud.audit.OrgPolicyDryRunAuditMetadata",
"dryRunResult": "DENIED"
}
},
"insertId": "1f2bvoxcmg1",
"resource": {
"type": "audited_resource",
"labels": {
"project_id": "sur-project-test-3",
"service": "appengine.googleapis.com",
"method": "google.api.appengine.v1.appengine.apps.services.get"
}
},
"timestamp": "2022-06-16T19:42:58.244990928Z",
"severity": "WARNING",
"logName": "projects/sur-project-test-3/logs/cloudaudit.googleapis.com%2Fpolicy",
"receiveTimestamp": "2022-06-16T19:42:59.572025716Z"
}
Vous pouvez utiliser l'explorateur de journaux pour n'interroger que la règle d'administration en mode de simulation.
Console
Vous pouvez utiliser l'explorateur de journaux de la console Google Cloud pour récupérer les entrées du journal d'audit de votre projet, dossier ou organisation Google Cloud :
Dans la console Google Cloud, accédez à la page Journalisation > Explorateur de journaux.
Sélectionnez un projet, une organisation ou un dossier Google Cloud existant.
Dans le volet Générateur de requêtes, procédez comme suit :
Dans Type de ressource, sélectionnez la ressource Google Cloud dont vous souhaitez afficher les journaux d'audit.
Dans Nom du journal, sélectionnez le type de journal d'audit policy.
Dans le volet Requête, saisissez la commande suivante :
protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED"
Si vous rencontrez des problèmes lors de la tentative d'affichage de journaux dans l'explorateur de journaux, consultez les informations de dépannage.
Pour en savoir plus sur l'utilisation de l'explorateur de journaux pour effectuer des requêtes, consultez la page Créer des requêtes dans l'explorateur de journaux.
gcloud
Google Cloud CLI fournit une interface de ligne de commande à l'API Logging. Fournissez un identifiant de ressource valide dans chacun des noms de journaux. Par exemple, si votre requête inclut un ID de projet, celui-ci doit faire référence au nom du projet actuellement sélectionné.
Pour lire les entrées de journal d'audit pour les cas de non-respect des règles d'administration en mode de simulation, exécutez la commande suivante:
gcloud logging read protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED" \ --RESOURCE_TYPE=RESOURCE_ID \
Remplacez les éléments suivants :
RESOURCE_TYPE
parorganization
,folder
ouproject
.RESOURCE_ID
par votre ID d'organisation, votre ID de dossier, votre ID de projet ou votre numéro de projet, en fonction du type de ressource spécifié dansRESOURCE_TYPE
.
Ajoutez l'option --freshness
à votre commande pour lire les journaux datant de plus d'une journée.
Pour en savoir plus sur l'utilisation de gcloud CLI, consultez la page gcloud logging read
.
Si votre organisation comporte de nombreux projets, vous pouvez utiliser des récepteurs agrégés pour agréger et acheminer les entrées des journaux d'audit de tous les projets de votre organisation vers une table BigQuery. Pour en savoir plus sur la création de récepteurs agrégés, consultez la section Collecter et acheminer les journaux au niveau de l'organisation vers les destinations compatibles.
Étapes suivantes
Pour en savoir plus sur la création et la gestion des contraintes de règles d'administration, consultez la section Utiliser des contraintes.