Journaux d'audit Cloud avec Cloud Storage

Cette page fournit des informations supplémentaires sur l'utilisation des journaux d'audit Cloud avec Cloud Storage. Utilisez les journaux d'audit Cloud pour générer des journaux concernant les opérations d'API effectuées dans Cloud Storage. Pour configurer les journaux d'audit Cloud, consultez la page Configurer les journaux d'accès aux données.

Informations consignées

Les journaux d'audit Cloud sont constitués de deux types de journaux :

  • Journaux pour les activités d'administration : consignent les opérations modifiant la configuration ou les métadonnées d'un projet, d'un bucket ou d'un objet.

  • Journaux pour l'accès aux données : consignent les opérations de modification des objets ou de lecture d'un projet, d'un bucket ou d'un objet. Il existe plusieurs sous-types de journaux d'accès aux données :

    • ADMIN_READ correspond aux opérations de lecture de la configuration ou des métadonnées d'un projet, d'un bucket ou d'un objet

    • DATA_READ correspond aux opérations de lecture d'un objet

    • DATA_WRITE correspond aux opérations de création ou de modification d'un objet

Le tableau suivant récapitule les opérations Cloud Storage consignées dans chaque type de journal :

Type d'entrée de journal Sous-type Opérations
Activité d'administration
  • Créer des buckets
  • Supprimer des buckets
  • Définir/Modifier des stratégies IAM
  • Définir/modifier des LCA d'objet
  • Mettre à jour les métadonnées des buckets
Accès aux données ADMIN_READ
  • Obtenir les métadonnées des buckets
  • Obtenir des stratégies IAM
  • Obtenir les LCA d'objet
  • Répertorier les buckets
DATA_READ
  • Obtenir les données d'objet
  • Obtenir les métadonnées d'objet
  • Répertorier les objets
  • Copier/Composer des objets1
DATA_WRITE
  • Créer des objets
  • Supprimer des objets
  • Mettre à jour des métadonnées d'objet sans LCA2
  • Copier/Composer des objets1

1 La copie et la composition ne sont pas atomiques : elles lisent et écrivent toutes deux des données. Par conséquent, ces opérations génèrent deux entrées de journal.

2 Les journaux d'audit Cloud ne consignent pas les actions réalisées par la fonctionnalité de gestion du cycle de vie des objets. Pour connaître les différents modes de suivi de ces actions, reportez-vous à la section Options de suivi des actions du cycle de vie.

Les journaux Cloud Storage utilisent un objet AuditLog et suivent le même format que les autres journaux d'audit Cloud. Ces journaux contiennent des informations telles que :

  • l'utilisateur qui a effectué la demande, y compris son adresse e-mail ;
  • le nom de la ressource sur laquelle la demande a été effectuée ;
  • le résultat de la demande.

Paramètres des journaux

Les journaux relatifs aux opérations Cloud Storage sont générés par le service storage.googleapis.com.

Les journaux des activités d'administration sont enregistrés par défaut. Ils ne sont pas comptabilisés dans votre quota d'attribution de journaux.

Les journaux d'accès aux données relatifs aux opérations Cloud Storage ne sont pas enregistrés par défaut. Pour savoir comment activer les journaux pour des opérations liées à l'accès aux données, consultez la page Configurer les journaux pour l'accès aux données. Notez que, contrairement aux journaux des activités d'administration, les journaux d'accès aux données sont comptabilisés dans votre quota d'ingestion de journaux et peuvent avoir une incidence sur le coût global des journaux dans Stackdriver.

Accès aux journaux

Les utilisateurs suivants peuvent afficher les journaux des activités d'administration :

Les utilisateurs suivants peuvent afficher les journaux des accès aux données :

  • Propriétaires de projet
  • Utilisateurs disposant du rôle IAM Lecteur des journaux privés
  • Utilisateurs disposant de l'autorisation IAM logging.privateLogEntries.list

Consultez la section relative à l'ajout des membres IAM à un projet pour obtenir des instructions sur les autorisations d'accès.

Afficher les journaux

Les journaux relatifs à Cloud Storage sont classés dans le type de ressource GCS bucket.

Vous pouvez afficher un résumé des journaux d'audit pour votre projet dans le flux d'activité de la console Google Cloud Platform. Pour afficher une version plus détaillée des journaux, consultez la visionneuse de journaux.

Pour obtenir des instructions sur le filtrage des journaux dans la visionneuse de journaux, consultez le guide relatif aux journaux d'audit Cloud.

Dénomination des journaux

Les journaux d'audit Cloud utilisent des noms de journaux standards pour tous les journaux d'audit. Pour en savoir plus sur la structure des noms de journaux et consulter des exemples d'utilisation de ces noms en tant que filtres de résultats, consultez la section Afficher les journaux d'audit.

Restrictions

Les restrictions suivantes s'appliquent aux journaux d'audit Cloud avec Cloud Storage :

Étape suivante

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Besoin d'aide ? Consultez notre page d'assistance.