Configurer et afficher le tableau de bord des cas de non-respect

Cette page explique comment configurer et utiliser le tableau de bord des cas de non-respect de VPC Service Controls pour afficher les détails des refus d'accès par périmètre de service dans votre organisation.

Coût

Lorsque vous utilisez le tableau de bord des cas de non-respect de VPC Service Controls, vous devez tenir compte des coûts que vous encourez en utilisant les composants facturables suivants de Google Cloud:

• Étant donné que vous déployez des ressources Cloud Logging dans votre organisation lorsque vous configurez le tableau de bord des cas de non-respect, vous payez des frais pour utiliser ces ressources.

• Étant donné que vous utilisez un récepteur de routeur de journaux au niveau de l'organisation pour le tableau de bord des cas de non-respect, VPC Service Controls duplique tous vos journaux d'audit dans le bucket de journaux configuré. Des frais vous sont facturés pour l'utilisation du bucket de journaux. Pour estimer le coût potentiel de l'utilisation du bucket de journaux, interrogez et calculez le volume de vos journaux d'audit. Pour en savoir plus sur l'interrogation de vos journaux existants, consultez la section Afficher les journaux.

Pour en savoir plus sur les tarifs de Cloud Logging et de Cloud Monitoring, consultez la page Tarifs de Google Cloud Observability.

Avant de commencer

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Service Usage API.

   Enable the API

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Make sure that billing is enabled for your Google Cloud project.

7. Enable the Service Usage API.

   Enable the API

Rôles requis

• Pour obtenir les autorisations nécessaires pour configurer le tableau de bord des cas de non-respect, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de journalisation (roles/logging.admin) sur le projet dans lequel vous configurez un bucket de journaux lors de la configuration du tableau de bord des cas de non-respect. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

  Ce rôle prédéfini contient les autorisations requises pour configurer le tableau de bord des cas de non-respect. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

  Autorisations requises

  Les autorisations suivantes sont requises pour configurer le tableau de bord des cas de non-respect:

  • Pour afficher la liste des buckets de journaux du projet sélectionné : logging.buckets.list
  • Pour créer un bucket de journaux : logging.buckets.create
  • Pour activer l'Analyse de journaux dans le bucket de journaux sélectionné : logging.buckets.update
  • Pour créer un collecteur Log Router : logging.sinks.create

  Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

• Pour obtenir les autorisations nécessaires pour afficher le tableau de bord des cas de non-respect, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet dans lequel vous configurez un bucket de journaux lors de la configuration du tableau de bord des cas de non-respect:

  • Accesseur de vues de journaux (roles/logging.viewAccessor)
  • Lecteur de l'outil de dépannage de VPC Service Controls (roles/accesscontextmanager.vpcScTroubleshooterViewer)

  Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

  Ces rôles prédéfinis contiennent les autorisations requises pour afficher le tableau de bord des cas de non-respect. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

  Autorisations requises

  Les autorisations suivantes sont requises pour afficher le tableau de bord des cas de non-respect:

  • Pour afficher les noms des règles d'accès : accesscontextmanager.policies.list
  • Pour afficher les noms des projets : resourcemanager.projects.get

  Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Configurer le tableau de bord

Pour configurer le tableau de bord des cas de non-respect, vous devez configurer un bucket de journaux pour agréger les journaux d'audit VPC Service Controls et créer un récepteur de routeur de journaux au niveau de l'organisation qui acheminera tous les journaux d'audit VPC Service Controls vers le bucket de journaux.

Pour configurer le tableau de bord des cas de non-respect pour votre organisation, procédez comme suit une seule fois:

1. Dans Google Cloud Console, accédez à la page VPC Service Controls.

   Accéder à VPC Service Controls

   Si vous y êtes invité, sélectionnez votre organisation. Vous ne pouvez accéder à la page VPC Service Controls qu'au niveau de l'organisation.

2. Sur la page VPC Service Controls, cliquez sur Tableau de bord des cas de non-respect.

3. Sur la page Configuration du tableau de bord des cas de non-respect, dans le champ Projet, sélectionnez le projet contenant le bucket de journaux dans lequel vous souhaitez agréger les journaux d'audit.

4. Dans le champ Bucket de journaux, sélectionnez un bucket de journaux existant ou créez-en un.

5. Si vous créez un bucket de journaux, saisissez un nom dans le champ Nom du bucket de journaux.

6. Cliquez sur Créer un récepteur de routeur de journaux. VPC Service Controls crée un récepteur de routeur de journaux nommé reserved_vpc_sc_dashboard_log_router dans le projet sélectionné.

Cette opération prend environ une minute.

Afficher les refus d'accès dans le tableau de bord

Une fois le tableau de bord des cas de non-respect configuré, vous pouvez l'utiliser pour afficher les détails des refus d'accès par périmètre de service dans votre organisation.

1. Dans Google Cloud Console, accédez à la page VPC Service Controls.

   Accéder à VPC Service Controls

   Si vous y êtes invité, sélectionnez votre organisation. Vous ne pouvez accéder à la page VPC Service Controls qu'au niveau de l'organisation.

2. Sur la page VPC Service Controls, cliquez sur Tableau de bord des cas de non-respect. La page Tableau de bord des cas de non-respect s'affiche.

Sur la page Tableau de bord des cas de non-respect, vous pouvez effectuer les opérations suivantes:

• Filtrage:à l'aide des filtres disponibles sur la page, tels que la stratégie d'accès et la ressource, vous pouvez filtrer et afficher des données spécifiques.

• Intervalles de temps:pour sélectionner la période des données, cliquez sur l'un des intervalles de temps prédéfinis. Pour définir une période personnalisée, cliquez sur Personnalisée.

• Tableaux:faites défiler la page du tableau de bord des cas de non-respect pour afficher les données classées dans différents tableaux. Le tableau de bord des cas de non-respect affiche les tableaux suivants:

  • Cas de non-respect

  • Principaux cas de non-conformité par compte principal

  • Principaux cas de non-conformité par adresse IP de compte principal

  • Principaux cas de non-conformité par service

  • Principaux cas de non-conformité par méthode

  • Principaux cas de non-conformité par ressource

  • Principaux cas de non-conformité par périmètre de service

• Résoudre les refus d'accès:cliquez sur le jeton de dépannage d'un refus d'accès listé dans le tableau Non-respect pour diagnostiquer le refus d'accès à l'aide de l'analyseur de non-respect. VPC Service Controls ouvre l'analyseur de non-respect et affiche le résultat du dépannage du refus d'accès.

  Pour en savoir plus sur l'utilisation de l'outil d'analyse des cas de non-respect, consultez Diagnostiquer un événement de refus d'accès à l'aide de l'outil d'analyse des cas de non-respect de VPC Service Controls (Preview).

• Pagination:le tableau de bord des cas de non-respect effectue la pagination des données affichées dans tous les tableaux. Cliquez sur chevron_left et chevron_right pour parcourir et afficher les données paginées.

• Modifier le récepteur du routeur de journaux:pour modifier le récepteur du routeur de journaux configuré, cliquez sur Modifier le récepteur de journaux.

  Pour savoir comment modifier un récepteur du routeur de journaux, consultez Gérer les récepteurs.

Résoudre les problèmes

Si vous rencontrez des problèmes lors de l'utilisation du tableau de bord des cas de non-respect, essayez de les résoudre comme décrit dans les sections suivantes.

Un périmètre de service a refusé l'accès à votre compte utilisateur

Si vous rencontrez une erreur en raison d'autorisations insuffisantes, vérifiez si un périmètre de service de votre organisation refuse l'accès à l'API Cloud Logging. Pour résoudre ce problème, créez une règle d'entrée qui vous permet d'accéder à l'API Cloud Logging:

1. Dans Google Cloud Console, accédez à la page VPC Service Controls.

   Accéder à VPC Service Controls

   Si vous y êtes invité, sélectionnez votre organisation.

2. Sur la page VPC Service Controls, cliquez sur le périmètre de service qui protège le projet contenant votre bucket de journaux.

3. Créez une règle d'entrée qui vous permet d'accéder à l'API Cloud Logging dans le projet.

Un périmètre de service a refusé l'accès au bucket de journaux

Si VPC Service Controls n'achemine pas vos journaux d'audit vers le bucket de journaux configuré, vous devrez peut-être créer une règle d'entrée permettant au compte de service du récepteur Log Router d'accéder à l'API Cloud Logging dans votre périmètre de service:

1. Dans la console Google Cloud, accédez à la page Routeur de journaux.

   Accéder au Routeur de journaux

2. Sur la page Routeur de journaux, sélectionnez Menu more_vert pour le récepteur Routeur de journaux configuré, puis Afficher les détails du récepteur.

3. Dans la boîte de dialogue Détails du récepteur, dans le champ Identité du rédacteur, copiez le compte de service utilisé par le récepteur Log Router.

4. Dans Google Cloud Console, accédez à la page VPC Service Controls.

   Accéder à VPC Service Controls

   Si vous y êtes invité, sélectionnez votre organisation.

5. Sur la page VPC Service Controls, cliquez sur le périmètre de service qui protège le projet contenant votre bucket de journaux.

6. Créez une règle d'entrée qui permet au compte de service du collecteur Log Router d'accéder à l'API Cloud Logging dans le projet.

Limites

• VPC Service Controls ne remplit pas les journaux d'audit à partir d'autres buckets au niveau du projet:

  • Si vous créez un bucket de journaux lorsque vous configurez le tableau de bord des cas de non-respect, VPC Service Controls ne remplit pas les journaux existants d'autres projets de votre organisation dans le bucket de journaux nouvellement créé. Le tableau de bord apparaît vide jusqu'à ce que VPC Service Controls enregistre de nouvelles infractions et les achemine vers le nouveau bucket de journaux.

  • Si vous sélectionnez un bucket de journaux existant lors de la configuration du tableau de bord des cas de non-respect, le tableau de bord affiche les informations de tous les journaux existants du bucket de journaux sélectionné. Le tableau de bord n'affiche pas les journaux d'autres projets de votre organisation, car VPC Service Controls ne les remplit pas dans le bucket de journaux sélectionné.

Étape suivante

• Journalisation d'audit VPC Service Controls
• Diagnostiquer les problèmes à l'aide de l'outil de dépannage de VPC Service Controls
• Diagnostiquer un événement de refus d'accès à l'aide de l'analyseur de non-respect de VPC Service Controls (aperçu)
• Résoudre les problèmes courants liés à VPC Service Controls avec les Google Cloud services