监控 Assured Workloads 文件夹是否存在违规

Assured Workloads 会主动监控您的 Assured Workloads 文件夹是否存在合规性违规问题,方法是将文件夹的控制包要求与以下详细信息进行比较:

  • 组织政策:每个 Assured Workloads 文件夹都已配置 特定的组织政策限制条件设置有助于确保 合规性。如果这些设置不符合相关规定, 违规情况请参阅 如需了解详情,请参阅受监控的组织政策违规问题部分 信息。
  • 资源:根据 Assured Workloads 文件夹的组织政策设置,文件夹下的资源(例如其类型和位置)可能会受到限制。请参阅 如需了解详情,请参阅受监控的资源违规问题部分 信息。 如有任何资源不符合规定,就会发生违规行为。

出现违规问题时,您可以解决这些问题或为其创建例外情况 。违规可为以下三种状态之一:

  • 未解决:违规问题尚未得到解决,或之前已获批 在对文件夹或资源进行不合规的更改之前出现的例外情况。
  • 已解决:违规已通过遵循解决问题的步骤得以解决。
  • 例外:违规已获得例外授权,并且提供了正当的业务理由。

创建工作负载时,系统会自动启用 Assured Workloads 监控 Assured Workloads 文件夹

准备工作

必需的 IAM 角色和权限

要查看组织政策违规问题或资源违规问题,您必须 已授予 Assured Workloads 文件夹的 IAM 角色, 包含以下权限:

  • assuredworkloads.violations.get
  • assuredworkloads.violations.list

以下 Assured Workloads 工作负载中包含这些权限 IAM 角色:

  • Assured Workloads Administrator (roles/assuredworkloads.admin)
  • Assured Workloads Editor (roles/assuredworkloads.editor)
  • Assured Workloads 读取方 (roles/assuredworkloads.reader)

如需启用资源违规问题监控功能,您必须获得 Assured Workloads 文件夹中的 IAM 角色,该文件夹包含 以下权限:

  • assuredworkloads.workload.update:以下预定义角色均包含此权限:

    • Assured Workloads Administrator (roles/assuredworkloads.admin)
    • Assured Workloads Editor (roles/assuredworkloads.editor)

  • resourcemanager.folders.setIamPolicy:此权限包含于 管理员角色,例如:

    • Organization Administrator (roles/resourcemanager.organizationAdmin)
    • Security Admin (roles/iam.securityAdmin)

要针对违规情况提供例外处理,您必须获得 Assured Workloads 文件夹中的 IAM 角色,该文件夹包含 以下权限:

  • assuredworkloads.violations.update:此权限包含在 以下角色:

    • Assured Workloads Administrator (roles/assuredworkloads.admin)
    • Assured Workloads Editor (roles/assuredworkloads.editor)

此外,要解决组织政策违规问题并查看审核日志, 必须授予以下 IAM 角色:

  • Organization Policy Administrator (roles/orgpolicy.policyAdmin)
  • 日志查看器 (roles/logging.viewer)

设置违规电子邮件通知

当发生或已解决违规问题时,或者 例外情况,属于法律类别的成员 重要联系人 。这是必要的行为,因为您的法务团队需要 及时了解任何法规遵从问题。

负责管理违规行为的团队,可以是安全团队 否则,也应为 被添加为“法律”类别的联系人。 这样一来,在发生更改时,他们就会收到电子邮件通知。

启用或停用通知

为特定 Assured Workloads 启用或停用通知 文件夹:

  1. 转到 Google Cloud 控制台中的 Assured Workloads 页面:

    转到 Assured Workloads

  2. 名称列中,点击您要更改通知设置的 Assured Workloads 文件夹的名称。

  3. Assured Workloads Monitoring 卡片中,清除 启用通知复选框可停用通知,或者选中该复选框可停用通知。 启用该文件夹的通知。

Assured Workloads 文件夹页面上,已停用通知的文件夹会显示 Monitoring email notifications disabled(监控电子邮件通知已停用)。

查看组织中的违规

您可以在以下两个位置查看贵组织中的违规问题: Google Cloud 控制台和 gcloud CLI。

控制台

您可以通过 Google Cloud 控制台中合规性部分的 Assured Workloads 页面或合规性部分的 Monitoring 页面查看组织中有多少违规。

“Assured Workloads”页面

转到 Assured Workloads 页面,一目了然地查看违规问题:

转到 Assured Workloads

页面顶部会显示组织政策违规问题和 资源违规情况。点击查看链接以转到 监控页面。

对于列表中的每个 Assured Workloads 文件夹,所有违规问题都会 组织政策违规问题资源违规问题列中所显示的值。 未解决的违规问题 图标处于活动状态,且例外情况具有 “”图标已启用。您可以选择 以查看更多详情

如果对某个文件夹未启用资源违规问题监控功能, 图标在 Updates 中处于活跃状态 包含启用资源违规问题监控功能链接的列。点击该链接 即可启用该功能您也可以点击启用 Assured Workloads 文件夹详情页面中的按钮。

“监控”页面

如需详细了解违规情况,请前往监控页面:

转到“监控”

系统会显示两个标签页:组织政策违规问题资源违规情况。如果存在多项未解决的违规问题,该标签页上的 图标会处于活动状态。

默认情况下,上述任一标签页中都会显示未解决的违规问题。请参阅 如需了解详情,请查看违规问题部分。

gcloud CLI

如需列出组织中当前的合规性违规,请运行以下命令:

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

其中:

  • LOCATION 是以下地点的位置: Assured Workloads 文件夹

  • ORGANIZATION_ID 是要查询的组织 ID

  • WORKLOAD_ID 是父级工作负载 ID,可通过列出工作负载找到。

对于每次违规,响应都包含以下信息:

  • 违规的审核日志链接。
  • 违规的首次发生时间。
  • 违规的类型。
  • 对违规情况的详细说明。
  • 违规的名称,可用于检索更多详细信息
  • 受影响的组织政策和相关政策限制条件。
  • 违规行为的当前状态。有效值包括未解析、已解析或 异常。

有关可选标志,请参阅 Cloud SDK 文档

查看违规详细信息

如需查看特定的合规性违规及其详细信息,请完成以下步骤:

控制台

  1. 在 Google Cloud 控制台中,前往 Monitoring 页面。

    转到“监控”

    监控页面上,系统会默认选择组织政策违规标签页。此标签页显示所有未解析的组织政策 组织内 Assured Workloads 文件夹中的违规问题。

    资源违规问题标签页显示所有未解决的违规问题 与所有 Assured Workloads 中的资源相关联 文件夹。

  2. 对于上述任一标签页,您都可以使用快速过滤器选项按违规问题进行过滤 状态, 违规类型, 控制包类型, 违规类型, 具体, status, violation type, control package type, violation type, specific 文件夹、特定组织政策限制条件或特定资源 。

  3. 对于任一标签页,如果当前存在违规问题,请点击违规问题 ID 以 查看更详细的信息。

违规详细信息页面上,您可以执行以下任务:

  • 复制违规 ID。

  • 查看发生违规问题的 Assured Workloads 文件夹。 以及它首次发生的时间

  • 查看审核日志,其中包括:

    • 违规的发生时间。

    • 修改哪个政策导致违规,以及哪个用户进行了该修改。

    • 如果授予了例外,是由哪个用户授予的。

    • 如果适用,请查看违规的具体资源。

  • 查看受影响的组织政策。

  • 查看和添加违规例外情况。一系列 显示之前的例外文件夹或资源,包括 以及用户提供的理由。

  • 安装补救步骤解决例外。

对于组织政策违规问题,您还可以看到以下内容:

  • 受影响的组织政策:查看关联的 点击查看政策
  • 子资源违规问题:基于资源的组织政策违规问题可能会导致子资源违规问题。如要查看或解决孩子问题,请执行以下操作: 如果资源违规,请点击违规 ID

对于资源违规问题,您还可以看到以下内容:

  • 上级组织政策违规问题:如果上级组织政策存在违规行为 是导致子级资源违规的原因, 在父级处理。要查看父级违规详情,请点击 查看违规问题
  • 特定资源上导致资源的任何其他违规问题 违规问题

gcloud CLI

如需查看合规性违规的详细信息,请运行以下命令:

gcloud assured workloads violations describe VIOLATION_PATH

其中 VIOLATION_PATH 采用以下格式:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

每次违规的 list 响应的 name 字段中都会返回 VIOLATION_PATH

响应包含以下信息:

  • 违规的审核日志链接。

  • 违规的首次发生时间。

  • 违规的类型。

  • 对违规情况的详细说明。

  • 受影响的组织政策和相关政策限制条件。

  • 解决违规的补救步骤。

  • 违规行为的当前状态。有效值为 unresolvedresolvedexception

如需了解可选标志,请参阅 Cloud SDK 文档

解决违规

如需补救违规,请完成以下步骤:

控制台

  1. 在 Google Cloud 控制台中,前往 Monitoring 页面。

    进入 Monitoring

  2. 点击违规 ID 可查看更多详细信息。

  3. 补救部分中,按照适用于 Google Cloud 控制台或 CLI 的说明解决问题。

gcloud CLI

  1. 使用 gcloud CLI 查看违规详细信息

  2. 按照响应中的补救步骤来解决违规。

添加违规例外

有时,违规可能在特定情况下有效。您可以添加一个 或获得更多违规例外情况。

控制台

  1. 在 Google Cloud 控制台中,前往 Monitoring 页面。

    转到“监控”

  2. 违规 ID 列中,点击要为其添加例外的违规。

  3. 例外部分中,点击新增

  4. 输入例外情况的业务理由。如果您希望 例外以应用于所有子资源,请选择 应用于所有现有的子级资源违规问题复选框,然后点击 提交

  5. 您可以根据需要重复上述步骤,然后点击添加新内容来添加其他例外情况。

违规状态现在设置为例外

gcloud CLI

如需添加违规的例外,请运行以下命令:

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

其中,BUSINESS_JUSTIFICATION 是例外的原因,VIOLATION_PATH 采用以下格式:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

每次违规的 list 响应的 name 字段中都会返回 VIOLATION_PATH

成功发送命令后,违规状态将设置为例外

受监控的组织政策违规问题

Assured Workloads 监控不同的组织政策限制条件 具体取决于您应用至 Assured Workloads 文件夹。使用以下列表过滤违规问题 受其影响的控制包的影响

组织政策限制条件 违规的类型 说明 受影响的控制软件包
对 Cloud SQL 数据的不合规访问 访问

如果允许对不合规的 Cloud SQL 诊断数据进行不合规访问,就会出现此错误。

此违规行为是由于更改了控制软件包的 符合 SSL 规定的 sql.restrictNoncompliantDiagnosticDataAccess 限制条件。
欧盟区域以及对主权管制的支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
对 Compute Engine 数据的不合规访问 访问

对 Compute Engine 实例进行不合规的访问时发生 数据。

此违规行为是由于更改了控制软件包的 符合 SSL 规定的 compute.disableInstanceDataAccessApis 限制条件。
刑事司法信息系统 (CJIS)
欧盟区域以及对主权管制的支持
国际武器贸易条例 (ITAR)
S3NS 提供的本地控件(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
不合规的 Cloud Storage 身份验证类型 访问

如果允许不合规的身份验证类型与 Cloud Storage 搭配使用,就会发生此错误。

此违规行为是由于更改了控制软件包的 storage.restrictAuthTypes的合规值 限制条件。
欧盟区域以及对主权管制的支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
对 Cloud Storage 存储桶的不合规访问 访问

发生不符合规定的非统一存储桶级访问权限的情况, 允许使用 Cloud Storage。

此违规行为是由于更改了控制软件包的 符合 SSL 规定的 storage.uniformBucketLevelAccess 限制条件。
欧盟区域以及对主权管制的支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
对 GKE 数据的不合规访问 访问

对 GKE 诊断信息不合规的访问时发生 数据。

此违规行为是由于更改了控制软件包的 符合 SSL 规定的 container.restrictNoncompliantDiagnosticDataAccess 限制条件。
欧盟区域以及对主权管制的支持
影响级别 4 (IL4)
影响级别 5 (IL5)
国际军品交易条例 (ITAR)
S3NS 提供的本地控件(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
不合规的 Compute Engine 诊断功能 配置

不合规的 Compute Engine 诊断功能时出现 已启用。

此违规行为是由于更改了控制软件包的 符合 SSL 规定的 compute.enableComplianceMemoryProtection 限制条件。
欧盟区域以及对主权管制的支持
国际武器贸易条例 (ITAR)
S3NS 提供的本地控件(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
不合规的 Compute Engine 全球负载均衡设置 配置

为全局加载设置了不合规的值时发生 Compute Engine 中的负载均衡设置

此违规行为是由于更改了控制软件包的 符合 SSL 规定的 compute.disableGlobalLoadBalancing 限制条件。
国际军品交易条例 (ITAR)
Compute Engine FIPS 设置不合规 配置

FIPS 设置值不符合规定时发生 Compute Engine 中的应用

此违规行为是由于更改了控制软件包的 compute.disableNonFIPSMachineTypes的合规值 限制条件。
国际军品交易条例 (ITAR)
不合规的 Compute Engine SSL 设置 配置

为全局设置了不符合规定的值时发生 自行管理的证书

此违规行为是由于更改了控制软件包的 符合 SSL 规定的 compute.disableGlobalSelfManagedSslCertificate 限制条件。
国际军品交易条例 (ITAR)
浏览器设置中的不合规的 Compute Engine SSH 配置

如果为 Compute Engine 中的 SSH 浏览器功能设置了不合规的值,就会发生此错误。

此违规行为是由于更改了控制软件包的 compute.disableSshInBrowser的合规值 限制条件。
欧盟区域以及对主权管制的支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems Sovereign Cloud(Sovereign Controls by Partners)
创建不合规的 Cloud SQL 资源 配置

发生不合规的 Cloud SQL 资源创建 允许。

此违规行为是由于更改了控制软件包的 符合 SSL 规定的 sql.restrictNoncompliantResourceCreation 限制条件。
欧盟区域以及对主权管制的支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
缺少 Cloud KMS 密钥限制 加密

未指定任何项目来提供加密密钥时发生的情况 CMEK

此违规行为是由于更改了控制软件包的 gcp.restrictCmekCryptoKeyProjects的合规值 限制条件,这有助于防止未获批准的文件夹或项目 提供加密密钥
欧盟区域以及对主权管制的支持
国际军品交易条例 (ITAR)
刑事司法信息系统 (CJIS)
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems Sovereign Cloud(Sovereign Controls by Partners)
不合规的不支持 CMEK 的服务 加密

不支持相关服务时发生 CMEK 已为工作负载启用

此违规是由更改控制软件包的 gcp.restrictNonCmekServices 限制条件的合规值引起的。
欧盟区域以及对主权管制的支持
国际军品交易条例 (ITAR)
刑事司法信息系统 (CJIS)
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
不合规的 Cloud KMS 保护级别 加密

如果指定不合规的保护级别以用于 Cloud Key Management Service (Cloud KMS),就会发生此错误。请参阅 Cloud KMS 参考文档

此违规行为是由于更改了控制软件包的 cloudkms.allowedProtectionLevels的合规值 限制条件。
欧盟区域以及对主权管制的支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
不合规的资源位置 资源位置

当给定的受支持服务的资源 Assured Workloads 控制包是在 允许运行工作负载的区域,或者从允许的位置移出 到不允许的位置。

此违规是由更改控制软件包的 gcp.resourceLocations 限制条件的合规值引起的。

刑事司法信息系统 (CJIS)
FedRAMP 中等风险级别
FedRAMP 高风险级别
医疗保健与生命科学控件
医疗保健与生命科学控件以及美国支持
影响级别 2 (IL2)
影响级别 4 (IL4)
影响级别 5 (IL5)
国际武器贸易条例 (ITAR)
澳大利亚的区域
提供安心支持服务的澳大利亚区域
巴西的区域
加拿大的区域
加拿大区域和支持
Canada Protected B
智利的区域
欧盟区域
欧盟区域和支持
欧盟区域以及对主权管制的支持
印度的区域
印度尼西亚的区域
以色列的区域
以色列区域和支持
日本区域
新加坡的区域
韩国的区域
瑞士的区域
台湾的区域
英国的区域
美国的区域
美国区域和支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
不合规的服务 服务使用情况

当用户启用指定不支持的服务时发生 Assured Workloads Assured Workloads 文件夹。

此违规行为是由于更改了控制软件包的 gcp.restrictServiceUsage的合规值 限制条件。
刑事司法信息系统 (CJIS)
FedRAMP 中等风险级别
FedRAMP 高风险级别
医疗保健与生命科学控件
医疗保健与生命科学控件以及美国支持
影响级别 2 (IL2)
影响级别 4 (IL4)
影响级别 5 (IL5)
国际武器贸易条例 (ITAR)
澳大利亚的区域
提供安心支持服务的澳大利亚区域
巴西的区域
加拿大的区域
加拿大区域和支持
Canada Protected B
智利的区域
欧盟区域
欧盟区域和支持
欧盟区域以及对主权管制的支持
印度的区域
印度尼西亚的区域
以色列的区域
以色列区域和支持
日本区域
新加坡的区域
韩国的区域
瑞士的区域
台湾的区域
英国的区域
美国的区域
美国区域和支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)

受监控的资源违规问题

Assured Workloads 会监控不同的资源违规问题, 应用于您的 Assured Workloads 文件夹的控制软件包。查看 哪些资源类型受监控,请参阅 支持的资源类型 。使用以下列表进行过滤 违规情况:

组织政策限制条件 说明 受影响的控制软件包
不合规的资源位置

资源的位置位于不合规的区域时发生。

此违规是由于 gcp.resourceLocations 限制条件引起的。
提供安心支持服务的澳大利亚区域
Canada Protected B
加拿大区域和支持
刑事司法信息系统 (CJIS)
欧盟区域和支持
欧盟区域以及对主权管制的支持
FedRAMP 中等风险级别
FedRAMP 高风险级别
医疗保健与生命科学控件
医疗保健与生命科学控件以及美国支持
影响级别 4 (IL4)
影响级别 5 (IL5)
以色列区域和支持
国际军品交易条例 (ITAR)
日本区域
美国区域和支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
文件夹中不合规的资源

在 Assured Workloads 文件夹

此违规行为是由 gcp.restrictServiceUsage 限制条件。
刑事司法信息系统 (CJIS)
FedRAMP 中等风险级别
FedRAMP 高风险级别
医疗保健与生命科学控件
医疗保健与生命科学控件以及美国支持
影响级别 2 (IL2)
影响级别 4 (IL4)
影响级别 5 (IL5)
国际武器贸易条例 (ITAR)
澳大利亚的区域
提供安心支持服务的澳大利亚区域
巴西的区域
加拿大的区域
加拿大区域和支持
Canada Protected B
智利的区域
欧盟区域
欧盟区域和支持
欧盟区域以及对主权管制的支持
印度的区域
印度尼西亚的区域
以色列的区域
以色列区域和支持
日本区域
新加坡的区域
韩国的区域
瑞士的区域
台湾的区域
英国的区域
美国的区域
美国区域和支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
未加密(非 CMEK)的资源

如果在没有使用 CMEK 加密的情况下为 需要 CMEK 加密的服务。

此违规行为是由 gcp.restrictNonCmekServices 限制条件。
刑事司法信息系统 (CJIS)
欧盟区域以及对主权管制的支持
影响级别 5 (IL5)
国际军品交易条例 (ITAR)
S3NS 提供的本地控件(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)

后续步骤