Usar os painéis do Policy Controller
Nesta página, explicamos como usar os painéis do Policy Controller para visualizar a cobertura de políticas e as violações de cluster.
Use o console do Google Cloud para ver um painel que contém informações sobre a cobertura da política. O painel mostra informações como as seguintes:
- O número de clusters em uma frota (incluindo clusters não registrados) que têm o Policy Controller instalado.
- o número de clusters com o Controlador de políticas instalado que contêm violações de política;
- o número de restrições aplicadas aos clusters por ação de cumprimento;
Se você estiver usando pacotes do Policy Controller, terá uma visão geral da conformidade com base nos padrões de um ou mais pacotes. Essa visão geral é agregada no nível da frota e também inclui os clusters não registrados (Visualização).
Antes de começar
Verifique se os clusters estão registrados em uma frota e se eles têm o Policy Controller instalado.
Para receber as permissões necessárias para usar o painel do Policy Controller, peça ao administrador para conceder a você os seguintes papéis do IAM:
- Leitor do GKE Hub (
roles/gkehub.viewer) no projeto que contém sua frota - Leitor do Monitoring (
roles/monitoring.viewer) em cada projeto com um cluster na frota
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
- Leitor do GKE Hub (
Acessar o status do Controlador de políticas
Confira informações sobre a cobertura da política no console do Google Cloud.
-
No console do Google Cloud:
Se você usa o Google Kubernetes Engine, acesse a página Política do GKE na seção Configuração e política.
Se você usa o Anthos, acesse a página Política do Anthos na seção Configuração e política.
Na guia Painel, confira uma visão geral da cobertura do Policy Controller com as seguintes informações:
- A cobertura do Controlador de políticas mostra o número de clusters com e sem o Controlador de políticas instalado.
- O painel Clusters em violação mostra o número de clusters sem violações e o número de clusters com violações. As violações são baseadas em quais restrições são aplicadas ao cluster.
- A ação Cumprimento mostra o tipo de ação especificado em cada restrição. Para mais informações sobre as ações de cumprimento, consulte Auditoria com restrições.
- Conformidade por padrões, uma visão geral da conformidade com base nos padrões em um ou mais pacotes do Controlador de políticas. Se você não estiver usando nenhum pacote, o status nesta seção será exibido como "100% não aplicado".
Para informações mais detalhadas sobre violações de políticas no cluster, acesse a guia Violações:
Na seção Visualizar por, selecione uma das seguintes opções:
- Restrição: veja uma lista simples de todas as restrições com violações no cluster.
- Namespace: ver as restrições com violações organizadas pelo namespace que contém o recurso com uma violação.
- Tipo de recurso: veja as restrições com violações, organizadas pelo recurso com uma violação.
Em qualquer visualização, selecione o nome da restrição que você quer visualizar.
A guia Detalhes mostra informações sobre a violação, incluindo a ação recomendada para resolvê-la.
A guia Recursos afetados mostra informações sobre quais recursos estão sendo avaliados pela restrição e têm violações da política.
Veja as descobertas da política no Security Command Center
Depois que o Policy Controller for instalado, você poderá conferir as violações da política no Security Command Center. Isso permite que você veja sua postura de segurança para os recursos do Google Cloud e do Kubernetes no mesmo lugar. O Security Command Center precisa estar ativado na sua organização ou projeto.
No Security Command Center, as violações da política são mostradas como descobertas de Misconfiguration. A
categoria e as próximas etapas de cada descoberta são as mesmas que a descrição da restrição
e as etapas de correção.
Para mais informações sobre o uso do Policy Controller no Security Command Center, consulte Descobertas de vulnerabilidade do Policy Controller.