Assured Workloads フォルダで違反をモニタリングする

Assured Workloads は、フォルダのコントロール パッケージの要件を次の詳細と比較することで、Assured Workloads フォルダのコンプライアンス違反を積極的にモニタリングします。

  • 組織のポリシー: 各 Assured Workloads フォルダは、コンプライアンスを確保するために、特定の組織のポリシーの制約設定で構成されています。これらの設定が非準拠の方法で変更されると、違反が発生します。詳細については、モニタリング対象の組織のポリシー違反をご覧ください。
  • リソース: Assured Workloads フォルダの組織のポリシー設定によっては、フォルダ内のリソース(タイプやロケーションなど)が制限される場合があります。詳細については、モニタリング対象リソースの違反をご覧ください。いずれかのリソースが遵守していない場合は、違反が発生します。

違反が発生した場合は、必要に応じて解決するか、例外を作成できます。違反のステータスは次の 3 つのうちのいずれかになります。

Assured Workloads フォルダを作成すると、Assured Workloads のモニタリングが自動的に有効になります。

準備

必要な IAM ロールと権限

組織のポリシー違反またはリソース違反を表示するには、次の権限を含む Assured Workloads フォルダに対する IAM ロールが付与されている必要があります。

  • assuredworkloads.violations.get
  • assuredworkloads.violations.list

これらの権限は、次の Assured Workloads IAM ロールに含まれています。

  • Assured Workloads 管理者roles/assuredworkloads.admin
  • Assured Workloads 編集者roles/assuredworkloads.editor
  • Assured Workloads 閲覧者roles/assuredworkloads.reader

リソース違反モニタリングを有効にするには、次の権限を含む Assured Workloads フォルダに対する IAM ロールが付与されている必要があります。

  • assuredworkloads.workload.update: この権限は、次のロールに含まれています。

    • Assured Workloads 管理者roles/assuredworkloads.admin
    • Assured Workloads 編集者roles/assuredworkloads.editor
  • resourcemanager.folders.setIamPolicy: この権限は、次のような管理者ロールに含まれています。

    • 組織管理者roles/resourcemanager.organizationAdmin
    • セキュリティ管理者roles/iam.securityAdmin

コンプライアンス違反の例外を提供するには、次の権限を含む Assured Workloads フォルダに対する IAM ロールが付与されている必要があります。

  • assuredworkloads.violations.update: この権限は、次のロールに含まれています。

    • Assured Workloads 管理者roles/assuredworkloads.admin
    • Assured Workloads 編集者roles/assuredworkloads.editor

さらに、組織のポリシーの違反を解決して監査ログを表示するには、次の IAM ロールが付与されている必要があります。

  • 組織のポリシー管理者roles/orgpolicy.policyAdmin
  • ログビューアroles/logging.viewer

違反に関するメール通知を設定します

コンプライアンス違反が発生した場合、解決された場合、または例外が発生した場合、デフォルトでは、重要な連絡先の [法務] カテゴリのメンバーにメールが送信されます。法務チームは規制コンプライアンスの問題を常に把握している必要があるため、この動作は必要です。

違反を管理するチーム(セキュリティ チームかそうでないかにかかわらず)は、法務カテゴリに連絡先として追加する必要があります。これにより、変更があったときに彼らにメール通知が送信されます。

通知を有効または無効にする

特定の Assured Workloads フォルダの通知を有効または無効にするには:

  1. Google Cloud コンソールの [Assured Workloads] ページに移動します。

    Assured Workloads に移動

  2. [名前] 列で、通知設定を変更する Assured Workloads フォルダの名前をクリックします。

  3. [Assured Workloads モニタリング] カードで [通知を有効にする] チェックボックスをオフにして通知を無効にするか、それを選択してフォルダの通知を有効にします。

[Assured Workloads フォルダ] のページで、通知が無効になっているフォルダには [メール通知が無効] と表示されます。

組織内の違反を表示します

組織全体での違反は、Google Cloud コンソールと gcloud CLI の両方で確認できます。

コンソール

組織全体で発生する違反の数は、Google Cloud コンソールの [コンプライアンス] セクションの [Assured Workloads] ページ、または [コンプライアンス] セクションの [モニタリング] ページで確認できます。

Assured Workloads ページ

[Assured Workloads] ページに移動して、違反を一目で確認できます。

Assured Workloads に移動

ページの上部に、組織のポリシー違反とリソース違反の概要が表示されます。[表示] リンクをクリックして、[モニタリング] ページに移動します。

リスト内の各 Assured Workloads フォルダについて、違反があれば [組織のポリシー違反] 列と [リソースの違反] 列に表示されます。未解決の違反には アイコンがアクティブになり、例外には アイコンがアクティブになります。違反または例外を選択すると、詳細が表示されます。

フォルダでリソース違反のモニタリングが有効になっていない場合は、[更新] 列で [リソース違反モニタリングを有効にする] リンクのある アイコンがアクティブになります。リンクをクリックして機能を有効にします。Assured Workloads フォルダの詳細ページで [有効にする] ボタンをクリックして有効にすることもできます。

モニタリング ページ

[モニタリング] ページに移動して、違反の詳細を確認します。

[モニタリング] に移動

[組織のポリシー違反] と [リソース違反] の 2 つのタブが表示されます。複数の未解決の違反が存在する場合、タブで アイコンがアクティブになります。

どちらのタブでも、デフォルトでは未解決の違反が表示されます。詳しくは、以下の違反の詳細を表示するをご覧ください。

gcloud CLI

組織内の現在のコンプライアンス違反を一覧表示するには、次のコマンドを実行します。

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

ここで

レスポンスには、違反ごとに次の情報が含まれます。

  • 違反の監査ログへのリンク。
  • 違反が初めて発生したとき。
  • 違反のタイプ。
  • 違反についての説明。
  • 違反の名前。詳細情報を取得するために使用できます。
  • 影響を受ける組織のポリシーと関連するポリシーの制約。
  • 違反の現在の状態。有効な値は未解決、解決済み、または例外です。

省略可能なフラグについては、Cloud SDK のドキュメントをご覧ください。

違反の詳細を表示する

特定のコンプライアンス違反とそれらの詳細を表示するには、次の手順を行います。

コンソール

  1. Google Cloud Console で、[Monitoring] ページに移動します。

    [モニタリング] に移動

    [モニタリング] ページで、[組織のポリシー違反] タブがデフォルトで選択されています。このタブには、組織内の Assured Workloads フォルダ全体の未解決の組織のポリシー違反がすべて表示されます。

    [リソース違反] タブには、組織内のすべての Assured Workloads フォルダ全体のリソースに関連付けられた未解決のすべての違反が表示されます。

  2. どちらのタブでも、[クイック フィルタ] オプションを使用して、違反ステータス、違反タイプ、コントロール パッケージ タイプ、違反タイプ、特定のフォルダ、特定の組織ポリシー制約、または特定のリソースでフィルタできます。

  3. どちらのタブでも、既存の違反がある場合は違反 ID をクリックすると、詳細情報が表示されます。

[違反の詳細] ページから、次のタスクを実行できます。

  • 違反 ID をコピーします。

  • 違反が発生した Assured Workloads フォルダと、違反が最初に発生した時刻を表示します。

  • 監査ログを確認します。次のものが含まれます。

    • 違反が発生した日時。

    • 違反の原因となった変更ポリシーとその変更を行ったユーザー。

    • 例外が付与された場合、それを付与したユーザー。

    • 該当する場合は、違反が発生した特定のリソースを表示します。

  • 影響を受ける組織のポリシーを表示します。

  • コンプライアンス違反の例外を追加して確認します。

  • 修正手順に沿って例外を解決します。

組織のポリシー違反では、次の情報も確認できます。

  • 影響を受ける組織のポリシー: コンプライアンス違反に関連付けられている特定のポリシーを表示するには、[ポリシーを表示] をクリックします。
  • 子リソース違反: リソースベースの組織のポリシー違反は、子リソース違反を引き起こす可能性があります。子リソースの違反を表示または解決するには、違反 ID をクリックします。

リソース違反では、次の情報も確認できます。

  • 親組織のポリシー違反: 親組織のポリシー違反が子リソース違反の原因である場合は、親レベルで対処する必要があります。親の違反の詳細を表示するには、[違反を表示] をクリックします。
  • 現在リソース違反を引き起こしている特定のリソースの他の違反も表示されます。

gcloud CLI

コンプライアンス違反の詳細を表示するには、次のコマンドを実行します。

gcloud assured workloads violations describe VIOLATION_PATH

ここで、VIOLATION_PATH は次の形式です。

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

VIOLATION_PATH は、違反ごとにリスト レスポンスの name フィールドに返されます。

レスポンスには次の情報が含まれます。

  • 違反の監査ログへのリンク。

  • 違反が初めて発生したとき。

  • 違反のタイプ。

  • 違反についての説明。

  • 影響を受ける組織のポリシーと関連するポリシーの制約。

  • 違反を解決するための修正手順。

  • 違反の現在の状態。有効な値は unresolvedresolvedexception です。

オプションのフラグについては、Cloud SDK のドキュメントをご覧ください。

違反を解決する

違反を修復するには、次の手順を行います。

コンソール

  1. Google Cloud Console で、[Monitoring] ページに移動します。

    [モニタリング] に移動

  2. 違反 ID をクリックすると、詳細情報が表示されます。

  3. [修復] セクションでGoogle Cloud コンソールまたは CLI の指示に従って問題を解決します。

gcloud CLI

  1. gcloud CLI を使用して違反の詳細を表示します

  2. 回答に記載されている修正手順に沿って違反を解決します。

違反の例外を追加する

違反は、特定の状況で有効である場合があります。次の手順で、違反の例外を 1 つ以上追加できます。

コンソール

  1. Google Cloud Console で、[Monitoring] ページに移動します。

    [モニタリング] に移動

  2. [違反 ID] 列で、例外を追加する違反をクリックします。

  3. [例外] セクションで [新しく追加] をクリックします。

  4. 例外に対するビジネス上の正当な理由を入力します。すべての子リソースに例外を適用する場合は、[既存のすべての子リソース違反に適用する] チェックボックスをオンにして、[送信] をクリックします。

  5. 必要に応じて、これらの手順を繰り返して [新規を追加] をクリックして、例外を追加できます。

違反ステータスが [例外] に設定されます。

gcloud CLI

違反の例外を追加するには、次のコマンドを実行します。

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

ここで、BUSINESS_JUSTIFICATION は例外の理由で、VIOLATION_PATH は次の形式です。

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

VIOLATION_PATH は、違反ごとにリスト レスポンスの name フィールドに返されます。

コマンドが正常に送信されると、違反ステータスは [例外] に設定されます。

モニタリング対象の組織ポリシー違反

Assured Workloads は、Assured Workloads フォルダに適用されたコントロール パッケージに応じて、さまざまな組織のポリシー制約違反をモニタリングします。次のリストを使用して、影響を受ける管理パッケージによって違反をフィルタします。

組織のポリシーの制約 違反のタイプ 説明 影響を受けるコントロール パッケージ
Cloud SQL データへの非準拠アクセス アクセス

非準拠の Cloud SQL 診断データへの非準拠のアクセスが許可されている場合に発生します。

この違反は、コントロール パッケージの sql.restrictNoncompliantDiagnosticDataAccess 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
Compute Engine データへの非準拠アクセス アクセス

Compute Engine インスタンス データへの非準拠のアクセスが許可されている場合に発生します。

この違反は、コントロール パッケージの compute.disableInstanceDataAccessApis 制約の準拠値を変更したことが原因で発生します。

CJIS
EU リージョンとサポート(主権管理あり)
ITAR
準拠していない Cloud Storage 認証タイプ アクセス

準拠していない認証タイプの Cloud Storage での使用が許可されている場合に発生します。

この違反は、コントロール パッケージの storage.restrictAuthTypes 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
Cloud Storage バケットへの非準拠のアクセス アクセス

Cloud Storage への非準拠の不均一なバケットレベルのアクセスが許可されている場合に発生します。

この違反は、コントロール パッケージの storage.uniformBucketLevelAccess 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
GKE データへの非準拠アクセス アクセス

GKE 診断データへの非準拠アクセスが許可されている場合に発生します。

この違反は、コントロール パッケージの container.restrictNoncompliantDiagnosticDataAccess 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
IL4
IL5
ITAR
非準拠の Compute Engine の診断機能 構成

非準拠の Compute Engine の診断機能が有効になっている場合に発生します。

この違反は、コントロール パッケージの compute.enableComplianceMemoryProtection 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
ITAR
準拠していない Compute Engine グローバル ロード バランシング設定 構成

Compute Engine のグローバル負荷分散設定に非準拠の値が設定されている場合に発生します。

この違反は、コントロール パッケージの compute.disableGlobalLoadBalancing 制約の準拠値を変更したことが原因で発生します。

ITAR
非準拠の Compute Engine FIPS 設定 構成

Compute Engine の FIPS 設定に非準拠の値が設定されている場合に発生します。

この違反は、コントロール パッケージの compute.disableNonFIPSMachineTypes 制約の準拠値を変更したことが原因で発生します。

ITAR
非準拠の Compute Engine SSL 設定 構成

グローバル セルフマネージド証明書に非準拠の値が設定されている場合に発生します。

この違反は、コントロール パッケージの compute.disableGlobalSelfManagedSslCertificate 制約の準拠値を変更したことが原因で発生します。

ITAR
ブラウザ設定での非準拠の Compute Engine SSH 構成

Compute Engine のブラウザ機能内の SSH に非準拠の値が設定されている場合に発生します。

この違反は、コントロール パッケージの compute.disableSshInBrowser 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
準拠していない Cloud SQL リソースの作成 構成

非準拠の Cloud SQL リソースの作成が許可されている場合に発生します。

この違反は、コントロール パッケージの sql.restrictNoncompliantResourceCreation 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
Cloud KMS 鍵の制限がない 暗号化

CMEK に暗号鍵を提供するためのプロジェクトが指定されていない場合に発生します。

この違反は、コントロール パッケージの gcp.restrictCmekCryptoKeyProjects 制約の準拠値を変更したことが原因で発生します。これにより、未承認のフォルダまたはプロジェクトによって暗号鍵が提供されることを回避できます。

EU リージョンとサポート(主権管理あり)
ITAR
CJIS
非準拠の CMEK が有効になっていないサービス 暗号化

CMEK をサポートしていないサービスがワークロードで有効になっている場合に発生します。

この違反は、コントロール パッケージの gcp.restrictNonCmekServices 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
ITAR
CJIS
非準拠の Cloud KMS 保護レベル 暗号化

Cloud Key Management Service(Cloud KMS)で使用するために、遵守していない保護レベルが指定されている場合に発生します。詳細については、Cloud KMS のリファレンスをご覧ください。

この違反は、コントロール パッケージの cloudkms.allowedProtectionLevels 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
ポリシーに準拠していないリソースのロケーション リソース ロケーション

特定の Assured Workloads コントロール パッケージ用にサポートされているサービスのリソースが、ワークロードの許可されたリージョン外で作成されたか、許可されているロケーションから許可されていないロケーションに移動された場合に発生します。

この違反は、コントロール パッケージの gcp.resourceLocations 制約の準拠値を変更したことが原因で発生します。

Assured Support を利用できるオーストラリア リージョン
カナダ保護 B
カナダ リージョンとサポート
CJIS
EU リージョンとサポート
EU リージョンとサポート(主権管理あり)
FedRAMP Moderate
FedRAMP High
HIPAA(プレビュー版)
HITRUST(プレビュー版)
IL4
IL5
イスラエル リージョンとサポート
ITAR
日本リージョン
米国リージョンとサポート
ポリシーに準拠していないサービス サービスの使用状況

ユーザーが、Assured Workloads フォルダ内の特定の Assured Workloads コントロール パッケージでサポートされていないサービスを有効にした場合に発生します。

この違反は、コントロール パッケージの gcp.restrictServiceUsage 制約の準拠値を変更したことが原因で発生します。

Assured Support を利用できるオーストラリア リージョン
カナダ保護 B
カナダ リージョンとサポート
CJIS
EU リージョンとサポート
EU リージョンとサポート(主権管理あり)
FedRAMP Moderate
FedRAMP High
HIPAA(プレビュー版)
HITRUST(プレビュー版)
IL4
IL5
イスラエル リージョンとサポート
ITAR
日本リージョン
米国リージョンとサポート

モニタリング対象リソースの違反

Assured Workloads は、Assured Workloads フォルダに適用されるコントロール パッケージに応じて、さまざまなリソース違反をモニタリングします。次のリストを使用して、影響を受けるコントロール パッケージによって違反をフィルタリングします。

組織のポリシーの制約 説明 影響を受けるコントロール パッケージ
非準拠のリソース ロケーション

リソースのロケーションがポリシーに準拠していないリージョンにある場合に発生します。

この違反は、gcp.resourceLocations の制約が原因で発生します。

Assured Support を利用できるオーストラリア リージョン
カナダ保護 B
カナダ リージョンとサポート
CJIS
EU リージョンとサポート
EU リージョンとサポート(主権管理あり)
FedRAMP Moderate
FedRAMP High
HIPAA(プレビュー版)
HITRUST(プレビュー版)
IL4
IL5
イスラエル リージョンとサポート
ITAR
日本リージョン
米国リージョンとサポート
フォルダ内の非準拠のリソース

サポートされていないサービスのリソースが Assured Workloads フォルダに作成された場合に発生します。

この違反は、gcp.restrictServiceUsage の制約が原因で発生します。

Assured Support を利用できるオーストラリア リージョン
カナダ保護 B
カナダ リージョンとサポート
CJIS
EU リージョンとサポート
EU リージョンとサポート(主権管理あり)
FedRAMP Moderate
FedRAMP High
HIPAA(プレビュー版)
HITRUST(プレビュー版)
IL4
IL5
イスラエル リージョンとサポート
ITAR
日本リージョン
米国リージョンとサポート

次のステップ