Contraintes liées aux règles d'administration pour les journaux de flux VPC

Cette page fournit des informations sur les contraintes liées aux règles d'administration que vous pouvez configurer pour les journaux de flux VPC.

Les administrateurs peuvent activer ou désactiver les journaux de flux VPC. Par défaut, aucune contrainte n'est imposée pour activer ou désactiver les journaux de flux VPC.

Un administrateur des règles d'administration peut utiliser la contrainte constraints/compute.requireVpcFlowLogs pour exiger que les journaux de flux VPC soient activés pour tous les sous-réseaux couverts par la règle avec un taux d'échantillonnage spécifié. La règle est appliquée lors de la création de sous-réseaux ou de la mise à jour de la configuration des journaux de flux VPC sur les sous-réseaux. Les sous-réseaux préexistants ne sont pas affectés si leurs configurations de journaux de flux VPC ne sont pas mises à jour.

Avant de commencer

Autorisations IAM

Le compte principal qui crée les contraintes doit disposer du rôle Administrateur des règles d'administration (roles/orgpolicy.policyAdmin).

Les comptes principaux qui affichent les contraintes doivent disposer de l'autorisation orgpolicy.policy.get sur la ressource appropriée. Par exemple, le rôle Lecteur de règles d'administration (roles/orgpolicy.policyViewer) inclut l'autorisation orgpolicy.policy.get.

Arrière-plan des règles d'administration

Si vous n'avez jamais utilisé les contraintes de règles d'administration auparavant, consultez les pages suivantes :

Planifier vos contraintes

Vous pouvez créer des contraintes aux niveaux suivants de la hiérarchie des ressources :

  • Organisation
  • Dossier
  • Projet

Par défaut, lorsqu'une contrainte est créée sur un nœud, tous ses nœuds enfants héritent de la contrainte. Toutefois, un administrateur des règles d'administration associé à un dossier donné peut décider si un sous-dossier hérite de ses parents ou non. L'héritage n'est donc pas automatique. Pour en savoir plus, consultez la section Héritage de la page Comprendre le processus d'évaluation hiérarchique.

Taux d'échantillonnage pour les journaux de flux VPC

Vous pouvez utiliser la contrainte constraints/compute.requireVpcFlowLogs pour vous assurer que les taux d'échantillonnage suivants sont configurés sur les sous-réseaux.

Valeur du règlement Taux d'échantillonnage
ESSENTIAL Supérieur ou égal à 0,1 (10 %) et inférieur à 0,5 (50 %)
LIGHT Supérieur ou égal à 0,5 (50 %) et inférieur à 1,0 (100 %)
COMPREHENSIVE Égal à 1,0 (100 %)

Ces valeurs de règles peuvent être combinées. Consultez le tableau suivant pour obtenir des exemples.

Taux d'échantillonnage Valeurs à inclure dans la contrainte
Au moins 0,1 (10 %) ESSENTIAL, LIGHT et COMPREHENSIVE
Au moins 0,5 (50 %) LIGHT et COMPREHENSIVE
1,0 (100 %) COMPREHENSIVE

Configurer la contrainte des journaux de flux VPC

Console

Pour en savoir plus sur la configuration d'une contrainte à l'aide de la console Google Cloud, consultez la page Personnaliser les règles pour les contraintes de liste.

  1. Accédez à la page de la règle Exiger des règles prédéfinies pour les journaux de flux VPC dans la console Google Cloud :

    Accéder à la règle d'administration

  2. Cliquez sur Modifier.

  3. Sur la page Modifier, sélectionnez une valeur pour S'applique à :

    • Hériter la règles du parent : si vous configurez des règles pour un projet ou un dossier, la règle du champ d'application parent est héritée. Si vous configurez des règles pour une organisation, la règle n'est pas activée.

    • Valeur par défaut gérée par Google : désactive la règle, même si elle est activée au niveau du champ d'application parent.

    • Personnaliser : permet d'activer et de configurer la règle pour tous les sous-réseaux du champ d'application actuel.

  4. Pour Application des règles, sélectionnez Remplacer.

    L'option Fusionner avec le parent n'est pas autorisée pour les journaux de flux VPC.

  5. Dans la section Règles, cliquez sur Ajouter une règle.

  6. Pour Valeurs de règles, sélectionnez Personnalisé.

    Les autres valeurs ne sont pas autorisées pour les journaux de flux VPC.

  7. Pour Type de règle, sélectionnez Autoriser.

  8. Dans la section Valeurs personnalisées, saisissez la valeur qui représente le taux d'échantillonnage que vous souhaitez configurer.

    Si vous devez spécifier plusieurs valeurs pour configurer le taux d'échantillonnage souhaité, cliquez sur Nouvelle valeur de règle, puis saisissez la valeur suivante. Répétez cette procédure si vous devez spécifier une troisième valeur.

  9. Cliquez sur Enregistrer.

gcloud

Pour en savoir plus sur la configuration d'une contrainte à l'aide de Google Cloud CLI, consultez la page Configurer l'application de ressources sur la ressource Organisation.

  1. Obtenez la règle actuelle pour la ressource Organisation en utilisant la commande describe. Cette commande renvoie la règle directement appliquée à cette ressource. Si aucune règle n'est définie, la commande renvoie une erreur NOT_FOUND.

    gcloud org-policies describe \
    compute.requireVpcFlowLogs \
    [ --organization=ID | --folder=ID | --project=ID ]

    Remplacez les éléments suivants :

    • ID : ID de l'organisation, du dossier ou du projet auquel vous souhaitez appliquer la contrainte.

  2. Définissez la règle sur l'organisation à l'aide de la commande set-policy. Cette commande écrase toutes les règles actuellement associées à la ressource.

    1. Créez un fichier temporaire /tmp/policy.yaml pour stocker la règle :

       name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs
 spec:
   rules:
   - values:
       allowedValues:
       - POLICY_VALUES

      Remplacez les éléments suivants :

      • RESOURCE_TYPE : type de ressource auquel vous souhaitez appliquer la règle. Les options valides sont organizations, folders et projects.

      • ID : ID de l'organisation, du dossier ou du projet auquel vous souhaitez appliquer la contrainte.

      • POLICY_VALUES : valeurs qui représentent le taux d'échantillonnage que vous souhaitez configurer. Vous pouvez combiner plusieurs valeurs. Pour en savoir plus, consultez la section Taux d'échantillonnage pour les journaux de flux VPC.

      Cet exemple de contrainte nécessite un taux d'échantillonnage d'au moins 10 % au niveau de l'organisation :

      name: organizations/ID/policies/compute.requireVpcFlowLogs
spec:
 rules:
 - values:
     allowedValues:
     - ESSENTIAL
     - LIGHT
     - COMPREHENSIVE

      Cet exemple de contrainte nécessite un taux d'échantillonnage d'au moins 50 % au niveau de l'organisation :

      name: organizations/ID/policies/compute.requireVpcFlowLogs
spec:
 rules:
 - values:
     allowedValues:
     - LIGHT
     - COMPREHENSIVE

      Cet exemple de contrainte nécessite un taux d'échantillonnage de 100 % au niveau de l'organisation :

      name: organizations/ID/policies/compute.requireVpcFlowLogs
spec:
 rules:
 - values:
     allowedValues:
     - COMPREHENSIVE

    2. Exécutez la commande set-policy :

       gcloud org-policies set-policy /tmp/policy.yaml

  3. Affichez la règle actuellement en vigueur en utilisant describe --effective. Cette commande renvoie la règle d'administration telle qu'elle est évaluée à ce stade de la hiérarchie des ressources (héritage inclus).

    gcloud org-policies describe \
    compute.requireVpcFlowLogs --effective \
    [ --organization=ID | --folder=ID | --project=ID ]

Effets de la définition d'une exigence pour les journaux de flux VPC

La configuration d'une règle d'administration avec la contrainte constraints/compute.requireVpcFlowLogs peut entraîner des erreurs si vous créez un sous-réseau ou si vous mettez à jour la configuration des journaux de flux VPC d'un sous-réseau existant et que la configuration ne répond pas. aux exigences de la règle.

Si des erreurs s'affichent, vous devrez peut-être savoir comment la contrainte est configurée pour pouvoir créer une configuration valide. Si vous ne disposez pas des autorisations IAM nécessaires pour afficher la contrainte, contactez l'administrateur de votre organisation.

Les sous-réseaux qui sont créés avant la définition de la règle ne sont pas affectés par cette règle, à condition que la configuration de leurs journaux de flux VPC ne soit pas mise à jour.

Effets sur la création de sous-réseaux

Lors de la création d'un sous-réseau dans le champ d'application de la règle, les conditions suivantes s'appliquent :

  • Si les journaux de flux VPC sont explicitement activés avec un taux d'échantillonnage répondant aux exigences de la règle, le sous-réseau est créé avec les journaux de flux VPC activés et le taux d'échantillonnage demandé.

  • Si les journaux de flux VPC sont explicitement activés avec un taux d'échantillonnage qui ne répond pas aux exigences de la règle, une erreur est renvoyée et le sous-réseau n'est pas créé.

  • Si les journaux de flux VPC sont explicitement désactivés, une erreur est renvoyée et le sous-réseau n'est pas créé.

  • Si les journaux de flux VPC ne sont pas définis et que le taux d'échantillonnage n'est pas non plus défini, un sous-réseau est créé avec les journaux de flux VPC activés et le taux d'échantillonnage minimal requis par la règle. Par exemple, si la règle est configurée avec les valeurs de règle LIGHT et COMPREHENSIVE, le taux d'échantillonnage est défini sur 0.5 (50 %).

Effets sur les mises à jour du sous-réseau

Lors de la mise à jour d'un sous-réseau existant dans le champ d'application de la règle, les conditions suivantes s'appliquent :

  • Si la mise à jour active les journaux de flux VPC, ou si les journaux de flux VPC ont déjà été activés, et que le taux d'échantillonnage est défini sur une valeur répondant aux exigences de la règle, le sous-réseau est mis à jour avec les journaux de flux VPC activés avec le taux d'échantillonnage demandé.

  • Si la mise à jour active les journaux de flux VPC, ou si les journaux de flux VPC ont déjà été activés, et que le taux d'échantillonnage est défini sur une valeur qui ne répond pas aux exigences de la règle, une erreur est renvoyée et le sous-réseau n'est pas mise à jour.

  • Si la mise à jour désactive les journaux de flux VPC, une erreur est renvoyée et le sous-réseau n'est pas mis à jour.

  • Si la mise à jour n'active pas ou ne désactive pas les journaux de flux VPC et que le taux d'échantillonnage n'est pas non plus défini, la règle est ignorée et le sous-réseau est mis à jour.

Effets sur la création de réseaux VPC en mode automatique

Lorsqu'un réseau VPC en mode automatique est créé, un sous-réseau est automatiquement créé dans chaque région. Si le réseau est dans le champ d'application d'une règle de journaux de flux VPC, les journaux de flux VPC sont activés sur les sous-réseaux avec le taux d'échantillonnage minimal défini par la règle. Par exemple, si la règle est configurée avec les valeurs de règle LIGHT et COMPREHENSIVE, le taux d'échantillonnage est défini sur 0.5 (50 %).

Étape suivante