Présentation

Dans cet atelier, vous allez découvrir les journaux d'audit Google Cloud. Cloud Audit Logs gère plusieurs journaux d'audit pour chaque projet, dossier et organisation. Ces journaux permettent de déterminer qui a fait quoi, quand et où.

Objectifs

Dans cet atelier, vous allez apprendre à :

• activer les journaux des accès aux données sur Cloud Storage ;
• générer de l'activité d'administration et d'accès aux données ;
• consulter des journaux d'audit.

Préparation

Pour chaque atelier, nous vous attribuons un nouveau projet Google Cloud et un nouvel ensemble de ressources pour une durée déterminée, sans frais.

1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, un pop-up s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau Détails concernant l'atelier, qui contient les éléments suivants :

   • Le bouton Ouvrir la console Google Cloud
   • Le temps restant
   • Les identifiants temporaires que vous devez utiliser pour cet atelier
   • Des informations complémentaires vous permettant d'effectuer l'atelier

2. Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée si vous utilisez le navigateur Chrome).

   L'atelier lance les ressources, puis ouvre la page Se connecter dans un nouvel onglet.

   Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

   Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

3. Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.

   {{{user_0.username | "Username"}}}

   Vous trouverez également le nom d'utilisateur dans le panneau Détails concernant l'atelier.

4. Cliquez sur Suivant.

5. Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.

   {{{user_0.password | "Password"}}}

   Vous trouverez également le mot de passe dans le panneau Détails concernant l'atelier.

6. Cliquez sur Suivant.

   Important : Vous devez utiliser les identifiants fournis pour l'atelier. Ne saisissez pas ceux de votre compte Google Cloud. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

7. Accédez aux pages suivantes :

   • Acceptez les conditions d'utilisation.
   • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
   • Ne vous inscrivez pas à des essais sans frais.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Pour afficher un menu contenant la liste des produits et services Google Cloud, cliquez sur le menu de navigation en haut à gauche, ou saisissez le nom du service ou du produit dans le champ Recherche.

Une fois la connexion initiale effectuée, le tableau de bord du projet s'affiche.

Activer Google Cloud Shell

Google Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud.

Google Cloud Shell vous permet d'accéder à vos ressources Google Cloud grâce à une ligne de commande.

1. Dans la barre d'outils située en haut à droite dans la console Cloud, cliquez sur le bouton "Ouvrir Cloud Shell".

   

2. Cliquez sur Continuer.

Le provisionnement et la connexion à l'environnement prennent quelques instants. Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET. Par exemple :

gcloud est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.

• Vous pouvez lister les noms des comptes actifs à l'aide de cette commande :

gcloud auth list

Résultat :

Credentialed accounts: - @.com (active)

Exemple de résultat :

Credentialed accounts: - google1623327_student@qwiklabs.net

• Vous pouvez lister les ID de projet à l'aide de cette commande :

gcloud config list project

Résultat :

[core] project =

Exemple de résultat :

[core] project = qwiklabs-gcp-44776a13dea667a6 Remarque : Pour consulter la documentation complète sur gcloud, accédez au guide de présentation de la gcloud CLI.

Tâche 1 : Activer les journaux des accès aux données sur Cloud Storage

Dans cette tâche, vous allez activer les journaux des accès aux données sur Cloud Storage pour suivre les opérations de lecture ou d'écriture des données fournies par l'utilisateur, ainsi que les métadonnées et les informations de configuration.

1. Dans la console Google Cloud, accédez au menu de navigation (), puis cliquez sur IAM et administration > Journaux d'audit.

2. Faites défiler la page ou utilisez l'option Filtre pour trouver Google Cloud Storage, puis cochez la case correspondante. Cette commande permet d'afficher le panneau d'informations qui contient l'onglet TYPES DE JOURNAUX.

Les journaux d'audit des accès aux données sont divisés en différentes catégories :

• Lecture administrateur : enregistre les opérations de lecture des métadonnées ou des informations de configuration. Les journaux d'audit pour les activités d'administration consignent les opérations d'écriture des métadonnées et des informations de configuration. Il est impossible de les désactiver.
• Lecture de données : enregistre les opérations de lecture des données fournies par l'utilisateur.
• Écriture de données : enregistre les opérations d'écriture des données fournies par l'utilisateur.

3. Sélectionnez Lecture administrateur, Lecture de données et Écriture de données, puis cliquez sur Enregistrer.

Cliquez sur Vérifier ma progression pour valider l'objectif. Activer les journaux des accès aux données sur Cloud Storage

Tâche 2 : Générer de l'activité d'administration et d'accès aux données

Dans cette tâche, vous allez générer des activités d'administration et d'accès aux données en créant un bucket de stockage. Vous allez ensuite importer un fichier, créer un réseau et une VM, puis supprimer le bucket de stockage.

1. Ouvrez le terminal Cloud Shell.

2. Utilisez gcloud storage pour créer un bucket Cloud Storage portant le même nom que votre projet. Cliquez sur Autoriser si vous y êtes invité :

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID

3. Assurez-vous que le bucket a bien été créé :

gcloud storage ls

4. Créez un fichier texte simple de type "Hello World" et importez-le dans votre bucket :

echo "Hello World!" > sample.txt gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID

5. Vérifiez que le fichier se trouve dans le bucket :

gcloud storage ls gs://$DEVSHELL_PROJECT_ID

6. Créez un réseau en mode automatique, nommez-le mynetwork, puis créez une machine virtuelle et placez-la dans le nouveau réseau :

gcloud compute networks create mynetwork --subnet-mode=auto gcloud compute instances create default-us-vm \ --zone={{{project_0.default_zone|Zone}}} --network=mynetwork \ --machine-type=e2-medium

Cliquez sur Vérifier ma progression pour valider l'objectif. Vérifier que le bucket, le réseau et l'instance de machine virtuelle ont bien été créés

7. Supprimez le bucket de stockage :

gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID

Tâche 3 : Consulter les journaux d'audit

Dans cette tâche, vous allez afficher et explorer les journaux d'audit des activités d'administration et d'accès aux données dans l'explorateur de journaux. Vous examinerez les détails des événements consignés, tels que la suppression de buckets et les opérations d'accès aux données. Vous lirez ensuite les journaux d'accès aux données à l'aide de Cloud SDK.

Les journaux d'activités d'administration contiennent des entrées relatives aux appels d'API et aux autres opérations d'administration qui modifient la configuration ou les métadonnées des ressources. Par exemple, ces journaux enregistrent des entrées lorsque des instances de VM et des applications App Engine sont créées ou lorsque des autorisations sont modifiées. Pour afficher ces journaux, vous devez disposer des rôles Cloud Identity and Access Management de lecteur de journaux ou de lecteur de projets.

Les journaux d'activités d'administration sont toujours activés. Vous n'avez donc pas besoin de vous en charger. L'utilisation des journaux d'audit pour les activités d'administration n'engendre aucuns frais.

1. Dans la console Google Cloud, accédez au menu de navigation (), puis cliquez sur Afficher tous les produits > Observabilité > Journalisation.

2. Dans l'explorateur de journaux, activez Afficher la requête et supprimez le contenu du champ Requête.

3. Cliquez sur le menu déroulant Tous les noms de journaux, puis accédez à la section Audit du cloud et utilisez le filtre pour trouver le journal activité et l'appliquer à la requête.

4. Appuyez sur le bouton Exécuter la requête, puis utilisez l'explorateur Champs de journal pour n'afficher que les entrées du bucket GCS.

5. Recherchez l'entrée de journal correspondant à la date de suppression du bucket Cloud Storage.

6. Développez l'entrée de suppression, puis affichez le champ protoPayload > authenticationInfo pour vérifier que l'adresse e-mail de l'utilisateur ayant réalisé l'action s'affiche bien.

   N'hésitez pas à explorer d'autres champs de l'entrée. Notez également le nombre de valeurs sur lesquelles il est possible de cliquer pour inclure/exclure des éléments dans la requête.

7. Supprimez la requête existante et utilisez le champ Tous les noms de journaux pour afficher les journaux data_access.

Quelles opérations s'affichent maintenant ?

Cliquez sur Vérifier ma progression pour valider l'objectif. Consulter les journaux d'audit

Utiliser le SDK Cloud

Vous pouvez lire les entrées de journal à l'aide de la commande Cloud SDK :

Exemple :

gcloud logging read [FILTER]

1. Ouvrez à nouveau le terminal Cloud Shell.

2. Pour afficher ces journaux d'accès aux données à l'aide d'une ligne de commande, exécutez celle-ci :

gcloud logging read \ "logName=projects/$DEVSHELL_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"

Félicitations !

Dans cet exercice, vous avez examiné et utilisé les journaux d'audit de Google Cloud. Vous pouvez désormais déterminer plus facilement qui a fait quoi et quand. Bravo.

Terminer l'atelier

Une fois l'atelier terminé, cliquez sur Terminer l'atelier. Google Cloud Skills Boost supprime les ressources que vous avez utilisées, puis efface le compte.

Si vous le souhaitez, vous pouvez noter l'atelier. Sélectionnez un nombre d'étoiles, saisissez un commentaire, puis cliquez sur Envoyer.

Le nombre d'étoiles correspond à votre degré de satisfaction :

• 1 étoile = très insatisfait(e)
• 2 étoiles = insatisfait(e)
• 3 étoiles = ni insatisfait(e), ni satisfait(e)
• 4 étoiles = satisfait(e)
• 5 étoiles = très satisfait(e)

Si vous ne souhaitez pas donner votre avis, vous pouvez fermer la boîte de dialogue.

Pour soumettre des commentaires, suggestions ou corrections, veuillez accéder à l'onglet Assistance.

Copyright 2024 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms de société et de produit peuvent être des marques des sociétés auxquelles ils sont associés.