监控 Assured Workloads 文件夹是否存在违规
Assured Workloads 会主动监控您的 Assured Workloads 文件夹是否存在合规性违规问题,方法是将文件夹的控制包要求与以下详细信息进行比较:
- 组织政策:每个 Assured Workloads 文件夹都已配置 特定的组织政策限制条件设置有助于确保 合规性。如果这些设置不符合相关规定, 违规情况请参阅 如需了解详情,请参阅受监控的组织政策违规问题部分 信息。
- 资源:根据 Assured Workloads 文件夹的组织政策设置,文件夹下的资源(例如其类型和位置)可能会受到限制。请参阅 如需了解详情,请参阅受监控的资源违规问题部分 信息。 如有任何资源不符合规定,就会发生违规行为。
出现违规问题时,您可以解决这些问题或为其创建例外情况 。违规可为以下三种状态之一:
创建工作负载时,系统会自动启用 Assured Workloads 监控 Assured Workloads 文件夹
准备工作
必需的 IAM 角色和权限
要查看组织政策违规问题或资源违规问题,您必须 已授予 Assured Workloads 文件夹的 IAM 角色, 包含以下权限:
assuredworkloads.violations.get
assuredworkloads.violations.list
以下 Assured Workloads 工作负载中包含这些权限 IAM 角色:
- Assured Workloads Administrator (
roles/assuredworkloads.admin
) - Assured Workloads Editor (
roles/assuredworkloads.editor
) - Assured Workloads 读取方 (
roles/assuredworkloads.reader
)
如需启用资源违规问题监控功能,您必须获得 Assured Workloads 文件夹中的 IAM 角色,该文件夹包含 以下权限:
assuredworkloads.workload.update
:以下预定义角色均包含此权限:- Assured Workloads Administrator (
roles/assuredworkloads.admin
) - Assured Workloads Editor (
roles/assuredworkloads.editor
)
- Assured Workloads Administrator (
resourcemanager.folders.setIamPolicy
:此权限包含于 管理员角色,例如:- Organization Administrator (
roles/resourcemanager.organizationAdmin
) - Security Admin (
roles/iam.securityAdmin
)
- Organization Administrator (
要针对违规情况提供例外处理,您必须获得 Assured Workloads 文件夹中的 IAM 角色,该文件夹包含 以下权限:
assuredworkloads.violations.update
:此权限包含在 以下角色:- Assured Workloads Administrator (
roles/assuredworkloads.admin
) - Assured Workloads Editor (
roles/assuredworkloads.editor
)
- Assured Workloads Administrator (
此外,要解决组织政策违规问题并查看审核日志, 必须授予以下 IAM 角色:
- Organization Policy Administrator (
roles/orgpolicy.policyAdmin
) - 日志查看器 (
roles/logging.viewer
)
设置违规电子邮件通知
当发生或已解决违规问题时,或者 例外情况,属于法律类别的成员 重要联系人 。这是必要的行为,因为您的法务团队需要 及时了解任何法规遵从问题。
负责管理违规行为的团队,可以是安全团队 否则,也应为 被添加为“法律”类别的联系人。 这样一来,在发生更改时,他们就会收到电子邮件通知。
启用或停用通知
为特定 Assured Workloads 启用或停用通知 文件夹:
转到 Google Cloud 控制台中的 Assured Workloads 页面:
在名称列中,点击您要更改通知设置的 Assured Workloads 文件夹的名称。
在 Assured Workloads Monitoring 卡片中,清除 启用通知复选框可停用通知,或者选中该复选框可停用通知。 启用该文件夹的通知。
在 Assured Workloads 文件夹页面上,已停用通知的文件夹会显示
Monitoring email notifications disabled(监控电子邮件通知已停用)。查看组织中的违规
您可以在以下两个位置查看贵组织中的违规问题: Google Cloud 控制台和 gcloud CLI。
控制台
您可以通过 Google Cloud 控制台中合规性部分的 Assured Workloads 页面或合规性部分的 Monitoring 页面查看组织中有多少违规。
“Assured Workloads”页面
转到 Assured Workloads 页面,一目了然地查看违规问题:
页面顶部会显示组织政策违规问题和 资源违规情况。点击查看链接以转到 监控页面。
对于列表中的每个 Assured Workloads 文件夹,所有违规问题都会 组织政策违规问题和资源违规问题列中所显示的值。 未解决的违规问题 更多详情。
图标处于活动状态,且例外情况具有 “ ”图标已启用。您可以选择 以查看如果对某个文件夹未启用资源违规问题监控功能,
图标在 Updates 中处于活跃状态 包含启用资源违规问题监控功能链接的列。点击该链接 即可启用该功能您也可以点击启用 Assured Workloads 文件夹详情页面中的按钮。“监控”页面
如需详细了解违规情况,请前往监控页面:
系统会显示两个标签页:组织政策违规问题和 资源违规情况。如果存在多项未解决的违规问题,该标签页上的
图标会处于活动状态。默认情况下,上述任一标签页中都会显示未解决的违规问题。请参阅 如需了解详情,请查看违规问题部分。
gcloud CLI
如需列出组织中当前的合规性违规,请运行以下命令:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
其中:
LOCATION 是以下地点的位置: Assured Workloads 文件夹
ORGANIZATION_ID 是要查询的组织 ID。
WORKLOAD_ID 是父级工作负载 ID,可通过列出工作负载找到。
对于每次违规,响应都包含以下信息:
- 违规的审核日志链接。
- 违规的首次发生时间。
- 违规的类型。
- 对违规情况的详细说明。
- 违规的名称,可用于检索更多详细信息。
- 受影响的组织政策和相关政策限制条件。
- 违规行为的当前状态。有效值包括未解析、已解析或 异常。
有关可选标志,请参阅 Cloud SDK 文档。
查看违规详细信息
如需查看特定的合规性违规及其详细信息,请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往 Monitoring 页面。
在监控页面上,系统会默认选择组织政策违规标签页。此标签页显示所有未解析的组织政策 组织内 Assured Workloads 文件夹中的违规问题。
资源违规问题标签页显示所有未解决的违规问题 与所有 Assured Workloads 中的资源相关联 文件夹。
对于上述任一标签页,您都可以使用快速过滤器选项按违规问题进行过滤 状态, 违规类型, 控制包类型, 违规类型, 具体, status, violation type, control package type, violation type, specific 文件夹、特定组织政策限制条件或特定资源 。
对于任一标签页,如果当前存在违规问题,请点击违规问题 ID 以 查看更详细的信息。
在违规详细信息页面上,您可以执行以下任务:
复制违规 ID。
查看发生违规问题的 Assured Workloads 文件夹。 以及它首次发生的时间
查看审核日志,其中包括:
违规的发生时间。
修改哪个政策导致违规,以及哪个用户进行了该修改。
如果授予了例外,是由哪个用户授予的。
如果适用,请查看违规的具体资源。
查看受影响的组织政策。
查看和添加违规例外情况。一系列 显示之前的例外文件夹或资源,包括 以及用户提供的理由。
- 安装补救步骤解决例外。
对于组织政策违规问题,您还可以看到以下内容:
- 受影响的组织政策:查看关联的 点击查看政策。
- 子资源违规问题:基于资源的组织政策违规问题可能会导致子资源违规问题。如要查看或解决孩子问题,请执行以下操作: 如果资源违规,请点击违规 ID。
对于资源违规问题,您还可以看到以下内容:
- 上级组织政策违规问题:如果上级组织政策存在违规行为 是导致子级资源违规的原因, 在父级处理。要查看父级违规详情,请点击 查看违规问题。
- 特定资源上导致资源的任何其他违规问题 违规问题
gcloud CLI
如需查看合规性违规的详细信息,请运行以下命令:
gcloud assured workloads violations describe VIOLATION_PATH
其中 VIOLATION_PATH 采用以下格式:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
每次违规的 list 响应的 name
字段中都会返回 VIOLATION_PATH。
响应包含以下信息:
违规的审核日志链接。
违规的首次发生时间。
违规的类型。
对违规情况的详细说明。
受影响的组织政策和相关政策限制条件。
解决违规的补救步骤。
违规行为的当前状态。有效值为
unresolved
、resolved
或exception
。
如需了解可选标志,请参阅 Cloud SDK 文档。
解决违规
如需补救违规,请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往 Monitoring 页面。
点击违规 ID 可查看更多详细信息。
在补救部分中,按照适用于 Google Cloud 控制台或 CLI 的说明解决问题。
gcloud CLI
按照响应中的补救步骤来解决违规。
添加违规例外
有时,违规可能在特定情况下有效。您可以添加一个 或获得更多违规例外情况。
控制台
在 Google Cloud 控制台中,前往 Monitoring 页面。
在违规 ID 列中,点击要为其添加例外的违规。
在例外部分中,点击新增。
输入例外情况的业务理由。如果您希望 例外以应用于所有子资源,请选择 应用于所有现有的子级资源违规问题复选框,然后点击 提交。
您可以根据需要重复上述步骤,然后点击添加新内容来添加其他例外情况。
违规状态现在设置为例外。
gcloud CLI
如需添加违规的例外,请运行以下命令:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
其中,BUSINESS_JUSTIFICATION 是例外的原因,VIOLATION_PATH 采用以下格式:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
每次违规的 list 响应的 name
字段中都会返回 VIOLATION_PATH。
成功发送命令后,违规状态将设置为例外。
受监控的组织政策违规问题
Assured Workloads 监控不同的组织政策限制条件 具体取决于您应用至 Assured Workloads 文件夹。使用以下列表过滤违规问题 受其影响的控制包的影响
组织政策限制条件 | 违规的类型 | 说明 | 受影响的控制软件包 | |||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
对 Cloud SQL 数据的不合规访问 | 访问 |
如果允许对不合规的 Cloud SQL 诊断数据进行不合规访问,就会出现此错误。 此违规行为是由于更改了控制软件包的
符合 SSL 规定的
|
|
|||||||||||||||||||||||||||||||||||
对 Compute Engine 数据的不合规访问 | 访问 |
对 Compute Engine 实例进行不合规的访问时发生 数据。 此违规行为是由于更改了控制软件包的
符合 SSL 规定的
|
|
|||||||||||||||||||||||||||||||||||
不合规的 Cloud Storage 身份验证类型 | 访问 |
如果允许不合规的身份验证类型与 Cloud Storage 搭配使用,就会发生此错误。 此违规行为是由于更改了控制软件包的
|
|
|||||||||||||||||||||||||||||||||||
对 Cloud Storage 存储桶的不合规访问 | 访问 |
发生不符合规定的非统一存储桶级访问权限的情况, 允许使用 Cloud Storage。 此违规行为是由于更改了控制软件包的
符合 SSL 规定的
|
|
|||||||||||||||||||||||||||||||||||
对 GKE 数据的不合规访问 | 访问 |
对 GKE 诊断信息不合规的访问时发生 数据。 此违规行为是由于更改了控制软件包的
符合 SSL 规定的
|
|
|||||||||||||||||||||||||||||||||||
不合规的 Compute Engine 诊断功能 | 配置 |
不合规的 Compute Engine 诊断功能时出现 已启用。 此违规行为是由于更改了控制软件包的
符合 SSL 规定的
|
|
|||||||||||||||||||||||||||||||||||
不合规的 Compute Engine 全球负载均衡设置 | 配置 |
为全局加载设置了不合规的值时发生 Compute Engine 中的负载均衡设置 此违规行为是由于更改了控制软件包的
符合 SSL 规定的
|
|
|||||||||||||||||||||||||||||||||||
Compute Engine FIPS 设置不合规 | 配置 |
FIPS 设置值不符合规定时发生 Compute Engine 中的应用 此违规行为是由于更改了控制软件包的
|
|
|||||||||||||||||||||||||||||||||||
不合规的 Compute Engine SSL 设置 | 配置 |
为全局设置了不符合规定的值时发生 自行管理的证书 此违规行为是由于更改了控制软件包的
符合 SSL 规定的
|
|
|||||||||||||||||||||||||||||||||||
浏览器设置中的不合规的 Compute Engine SSH | 配置 |
如果为 Compute Engine 中的 SSH 浏览器功能设置了不合规的值,就会发生此错误。 此违规行为是由于更改了控制软件包的
|
|
|||||||||||||||||||||||||||||||||||
创建不合规的 Cloud SQL 资源 | 配置 |
发生不合规的 Cloud SQL 资源创建 允许。 此违规行为是由于更改了控制软件包的
符合 SSL 规定的
|
|
|||||||||||||||||||||||||||||||||||
缺少 Cloud KMS 密钥限制 | 加密 |
未指定任何项目来提供加密密钥时发生的情况 CMEK 。 此违规行为是由于更改了控制软件包的
|
|
|||||||||||||||||||||||||||||||||||
不合规的不支持 CMEK 的服务 | 加密 |
不支持相关服务时发生 CMEK 已为工作负载启用 此违规是由更改控制软件包的 |
|
|||||||||||||||||||||||||||||||||||
不合规的 Cloud KMS 保护级别 | 加密 |
如果指定不合规的保护级别以用于 Cloud Key Management Service (Cloud KMS),就会发生此错误。请参阅 Cloud KMS 参考文档 。 此违规行为是由于更改了控制软件包的
|
|
|||||||||||||||||||||||||||||||||||
不合规的资源位置 | 资源位置 |
当给定的受支持服务的资源 Assured Workloads 控制包是在 允许运行工作负载的区域,或者从允许的位置移出 到不允许的位置。
此违规是由更改控制软件包的 |
|
|||||||||||||||||||||||||||||||||||
不合规的服务 | 服务使用情况 |
当用户启用指定不支持的服务时发生 Assured Workloads Assured Workloads 文件夹。 此违规行为是由于更改了控制软件包的
|
|
受监控的资源违规问题
Assured Workloads 会监控不同的资源违规问题, 应用于您的 Assured Workloads 文件夹的控制软件包。查看 哪些资源类型受监控,请参阅 支持的资源类型 。使用以下列表进行过滤 违规情况:
组织政策限制条件 | 说明 | 受影响的控制软件包 | |||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
不合规的资源位置 |
资源的位置位于不合规的区域时发生。 此违规是由于 |
|
|||||||||||||||||||||||||||||||||||
文件夹中不合规的资源 |
在 Assured Workloads 文件夹 此违规行为是由
|
|
|||||||||||||||||||||||||||||||||||
未加密(非 CMEK)的资源 |
如果在没有使用 CMEK 加密的情况下为 需要 CMEK 加密的服务。 此违规行为是由
|
|