Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Suivi des identifiants d’utilisateur dans les journaux d’audit

Les journaux d’audit suivants sont utilisés dans Rancher pour suivre les événements se produisant sur les clusters locaux et en aval :

Les journaux d’audit dans Rancher v2.6 ont été améliorés pour inclure le nom du fournisseur d’identité externe (nom commun de l’utilisateur dans le fournisseur d’authentification externe) à la fois dans les journaux d’audit de Rancher et dans les journaux d’audit Kubernetes en aval.

Avant la version v2.6, un administrateur Rancher ne pouvait pas tracer un événement des journaux d’audit de Rancher vers les journaux d’audit Kubernetes sans connaître la correspondance entre le nom d’utilisateur du fournisseur d’identité externe et l’identifiant utilisateur (u-xXXX) utilisé dans Rancher. Pour connaître cette correspondance, les administrateurs de cluster devaient avoir accès à l’API Rancher, à l’interface utilisateur et au cluster de gestion local.

Maintenant, avec cette fonctionnalité, un administrateur de cluster en aval devrait être en mesure de consulter les journaux d’audit Kubernetes et de savoir quel utilisateur spécifique du fournisseur d’identité externe (IDP) a effectué une action sans avoir besoin de consulter quoi que ce soit dans Rancher. Si les journaux d’audit sont expédiés hors du cluster, un utilisateur du système de journalisation devrait être en mesure d’identifier l’utilisateur dans le système du fournisseur d’identité externe. Un administrateur Rancher devrait maintenant être en mesure de consulter les journaux d’audit de Rancher et de suivre jusqu’au journal d’audit Kubernetes en utilisant le nom d’utilisateur du fournisseur d’identité externe.

Description de la fonction

  • Lorsque les journaux d’audit Kubernetes sont activés sur le cluster en aval, dans chaque événement enregistré, le nom d’utilisateur du fournisseur d’identité externe est désormais enregistré pour chaque requête, au niveau "métadonnées".

  • Lorsque vous activez les journaux d’audit de l’API Rancher pour une installation Rancher, le nom d’utilisateur du fournisseur d’identité externe est également enregistré maintenant au auditLog.level=0 pour chaque requête qui atteint le serveur API Rancher, y compris les requêtes de connexion.