Utiliser les tableaux de bord Policy Controller

Cette page explique comment utiliser les tableaux de bord Policy Controller pour afficher votre couverture et vos violations de clusters.

Cette page s'adresse aux administrateurs et opérateurs informatiques qui souhaitent s'assurer que toutes les ressources exécutées sur la plate-forme cloud répondent aux exigences de conformité organisationnelle en fournissant et en maintenant l'automatisation des audits ou des applications, et qui configurent des alertes et surveillent les performances et les failles des systèmes informatiques. Pour en savoir plus sur les rôles courants et les exemples de tâches que nous citons dans le contenu Google Cloud , consultez la section Rôles utilisateur et tâches courantes de l'utilisateur dans GKE Enterprise.

Utilisez la console Google Cloud pour afficher un tableau de bord contenant des informations sur la couverture de votre règle. Le tableau de bord affiche les informations suivantes :

  • Nombre de clusters d'un parc (y compris les clusters non enregistrés) sur lesquels Policy Controller est installé.
  • Nombre de clusters sur lesquels Policy Controller est installé et qui ne respectent pas les règles.
  • Nombre de contraintes appliquées à vos clusters par action d'application.

Si vous utilisez des groupes Policy Controller, vous pouvez consulter un aperçu de votre conformité en fonction des normes d'un ou de plusieurs groupes. Cette présentation est agrégée au niveau du parc et inclut également vos clusters non enregistrés (preview).

Avant de commencer

  1. Assurez-vous que vos clusters sont enregistrés dans un parc et que Policy Controller est installé.

  2. Pour obtenir les autorisations nécessaires pour utiliser le tableau de bord Policy Controller, demandez à votre administrateur de vous accorder les rôles IAM suivants :

    • Lecteur GKE Hub (roles/gkehub.viewer) sur le projet contenant votre parc
    • Lecteur Monitoring (roles/monitoring.viewer) sur chaque projet avec un cluster dans votre parc

    Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Afficher l'état de Policy Controller

Vous pouvez afficher des informations sur la couverture de votre règle dans la console Google Cloud .

  1. Dans la console Google Cloud , accédez à la page Stratégie de GKE Enterprise sous la section Gestion de la stratégie.

    Accéder à la page "Règle"

    Dans l'onglet Tableau de bord, consultez un aperçu de votre couverture de Policy Controller avec les informations suivantes :

    • La section Couverture de Policy Controller indique le nombre de clusters sur lesquels Policy Controller est installé et n'est pas installé.
    • La section Clusters non conformes indique le nombre de clusters ne présentant aucun cas de non-respect et le nombre de clusters présentant des cas de non-respect. Les cas de non-respect sont basés sur les contraintes appliquées au cluster.
    • L'action Enforcement (Application) indique le type d'action spécifié dans chaque contrainte. Pour en savoir plus sur les mesures d'application, consultez la section Effectuer un audit à l'aide de contraintes.
    • Conformité par norme : aperçu de votre conformité en fonction des normes d'un ou de plusieurs groupes Policy Controller. Si vous n'utilisez aucun lot, l'état de cette section indique "100% non appliqué".

  2. Pour afficher des informations plus détaillées sur les cas de non-respect des règles dans votre cluster, accédez à l'onglet Cas de non-respect :

    1. Dans la section Afficher par, sélectionnez l'une des options suivantes :

      • Contrainte : affichez une liste plate de toutes les contraintes présentant des cas de non-respect votre cluster.
      • Espace de noms : affichez les contraintes présentant des cas de non-respect, organisées par l'espace de noms contenant la ressource concernée.
      • Genre de ressource : affichez les contraintes présentant des cas de non-respect, organisées par la ressource présentant un cas de non-respect.

    2. Dans n'importe quelle vue, sélectionnez le nom de la contrainte que vous souhaitez afficher.

      L'onglet Détails affiche des informations sur le cas de non-respect, y compris l'action recommandée pour le résoudre.

      L'onglet Ressources concernées affiche des informations sur les ressources en cours d'évaluation par la contrainte et qui présentent des cas de non-respect des règles.

Afficher les résultats des règles dans Security Command Center

Une fois Policy Controller installé, vous pouvez consulter les cas de non-respect des règles dans Security Command Center. Vous pouvez ainsi consulter la stratégie de sécurité de vos ressources Google Cloud et de vos ressources Kubernetes au même endroit. Vous devez avoir activé Security Command Center dans votre organisation au niveau Standard ou Premium.

Dans Security Command Center, les cas de non-respect des règles s'affichent sous la forme de résultats Misconfiguration. La catégorie et les étapes suivantes de chaque résultat sont les mêmes que la description de la contrainte et les étapes de correction.

Pour en savoir plus sur l'utilisation de Policy Controller dans Security Command Center, consultez la section Résultats des failles de Policy Controller.