监控 Assured Workloads 文件夹是否存在违规
Assured Workloads 会主动监控您的 Assured Workloads 文件夹是否存在合规性违规问题,方法是将文件夹的控制包要求与以下详细信息进行比较:
- 组织政策:每个 Assured Workloads 文件夹都配置了特定的组织政策限制条件设置,有助于确保合规性。如果以不合规的方式更改这些设置,则会违反相关政策。如需了解详情,请参阅被监控的组织政策违规行为部分。
- 资源:根据 Assured Workloads 文件夹的组织政策设置,文件夹下的资源(例如其类型和位置)可能会受到限制。如需了解详情,请参阅受监控资源违规行为部分。如果任何资源不符合相关要求,则会发生违规。
出现违规问题时,您可以解决这些问题,或在适当的情况下为它们创建例外。违规可为以下三种状态之一:
创建 Assured Workloads 文件夹后,系统会自动启用 Assured Workloads 监控。
准备工作
所需的 IAM 角色和权限
如需查看组织政策违规问题或资源违规问题,您必须获得 Assured Workloads 文件夹的 IAM 角色,该角色包含以下权限:
assuredworkloads.violations.getassuredworkloads.violations.list
以下 Assured Workloads IAM 角色包含这些权限:
- Assured Workloads Administrator (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor) - Assured Workloads Reader (
roles/assuredworkloads.reader)
如需启用资源违规监控,您必须获得 Assured Workloads 文件夹的 IAM 角色,该角色包含以下权限:
assuredworkloads.workload.update:以下预定义角色均包含此权限:- Assured Workloads Administrator (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor)
- Assured Workloads Administrator (
resourcemanager.folders.setIamPolicy:此权限包含在管理员角色中,例如:- Organization Administrator (
roles/resourcemanager.organizationAdmin) - Security Admin (
roles/iam.securityAdmin)
- Organization Administrator (
如需为违反合规性的情况提供例外情况,您必须获得 Assured Workloads 文件夹的 IAM 角色,该角色包含以下权限:
assuredworkloads.violations.update:以下预定义角色均包含此权限:- Assured Workloads Administrator (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor)
- Assured Workloads Administrator (
此外,如需解决组织政策违规并查看审核日志,必须授予以下 IAM 角色:
- Organization Policy Administrator (
roles/orgpolicy.policyAdmin) - Logs Viewer (
roles/logging.viewer)
设置违规电子邮件通知
默认情况下,当发生违规情况、得到解决或创建了例外时,系统会向重要联系人中的法律类别的成员发送电子邮件。这是必要的,因为您的法律团队需要及时了解所有监管合规性问题。
还应该将管理违规的团队(无论是安全团队还是其他团队)添加到法律类别联系人。这样一来,在发生更改时,他们就会收到电子邮件通知。
启用或停用通知
如需为特定 Assured Workloads 文件夹启用或停用通知,请执行以下操作:
前往 Google Cloud 控制台中的 Assured Workloads 页面:
在名称列中,点击您要更改通知设置的 Assured Workloads 文件夹的名称。
在 Assured Workloads Monitoring 卡片中,清除启用通知复选框以停用通知,或选中该复选框以为该文件夹启用通知。
在 Assured Workloads 文件夹页面上,已停用通知的文件夹会显示 Monitoring email notifications disabled(监控电子邮件通知已停用)。
查看组织中的违规
您可以在 Google Cloud 控制台和 gcloud CLI 中查看整个组织的违规。
控制台
您可以通过 Google Cloud 控制台中合规性部分的 Assured Workloads 页面或合规性部分的 Monitoring 页面查看组织中有多少违规。
Assured Workloads 页面
前往 Assured Workloads 页面,一目了然地查看违规情况:
页面顶部会显示组织政策违规情况和资源违规情况的摘要。点击查看链接,前往 Monitoring 页面。
对于列表中的每个 Assured Workloads 文件夹,任何违规问题都会显示在组织政策违规和资源违规列中。未解决的违规问题带有活动的 图标,而例外情况带有活动的 图标。您可以选择违规问题或例外情况,查看更多详细信息。
如果某个文件夹未启用资源违规问题监控功能,更新列中的 图标会处于活动状态,并带有启用资源违规问题监控链接。点击相应链接即可启用该功能。您还可以通过点击 Assured Workloads 文件夹详情页面上的启用按钮来启用该功能。
“监控”页面
如需详细了解违规情况,请前往监控页面:
系统会显示两个标签页:组织政策违规问题和资源违规问题。如果存在多项未解决的违规问题,该标签页上的 图标会处于活动状态。
默认情况下,这两个标签页中都会显示未解决的违规问题。如需了解详情,请参阅下面的查看违规详情部分。
gcloud CLI
如需列出组织中当前的合规性违规,请运行以下命令:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
其中:
LOCATION 是 Assured Workloads 文件夹的位置。
ORGANIZATION_ID 是要查询的组织 ID。
WORKLOAD_ID 是父级工作负载 ID,可通过列出工作负载找到。
对于每次违规,响应都包含以下信息:
- 违规的审核日志链接。
- 违规的首次发生时间。
- 违规的类型。
- 对违规情况的详细说明。
- 违规的名称,可用于检索更多详细信息。
- 受影响的组织政策和相关政策限制条件。
- 违规行为的当前状态。有效值为未解决、已解决或例外。
如需了解可选标志,请参阅 Cloud SDK 文档。
查看违规详细信息
如需查看特定的合规性违规及其详细信息,请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往 Monitoring 页面。
在监控页面上,系统会默认选择组织政策违规标签页。此标签页会显示组织中所有 Assured Workloads 文件夹中的所有未解决的组织政策违规问题。
资源违规问题标签页会显示组织中所有 Assured Workloads 文件夹中与资源相关的所有未解决违规问题。
对于任一标签页,您都可以使用快速过滤条件选项按违规状态、违规类型、控制措施套餐类型、违规类型、特定文件夹、特定组织政策限制或特定资源类型进行过滤。
对于这两个标签页,如果存在现有违规行为,请点击违规 ID 以查看更多详细信息。
在违规详细信息页面上,您可以执行以下任务:
复制违规 ID。
查看发生违规的 Assured Workloads 文件夹以及首次发生的时间。
查看审核日志,其中包括:
违规的发生时间。
修改哪个政策导致违规,以及哪个用户进行了该修改。
如果授予了例外,是由哪个用户授予的。
如果适用,请查看违规的具体资源。
查看受影响的组织政策。
查看和添加合规性违规例外情况。系统会显示文件夹或资源的先前例外情况列表,其中包括授予例外情况的用户以及用户提供的正当理由。
- 安装补救步骤解决例外。
对于违反组织政策的情况,您还可能会看到以下内容:
- 受影响的组织政策:如需查看与违规行为相关联的具体政策,请点击查看政策。
- 子资源违规问题:基于资源的组织政策违规问题可能会导致子资源违规问题。如需查看或解决子资源违规问题,请点击违规 ID。
对于资源违规问题,您还可能会看到以下信息:
- 父级组织政策违规:如果子级资源违规是由父级组织政策违规导致的,则需要在父级级别解决这些违规问题。如需查看父级违规问题的详细信息,请点击查看违规问题。
- 系统还会显示导致资源违规的特定资源存在的任何其他违规问题。
gcloud CLI
如需查看合规性违规的详细信息,请运行以下命令:
gcloud assured workloads violations describe VIOLATION_PATH
其中 VIOLATION_PATH 采用以下格式:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
每次违规的 list 响应的 name 字段中都会返回 VIOLATION_PATH。
响应包含以下信息:
违规的审核日志链接。
违规的首次发生时间。
违规的类型。
对违规情况的详细说明。
受影响的组织政策和相关政策限制条件。
解决违规的补救步骤。
违规行为的当前状态。有效值为
unresolved、resolved或exception。
如需了解可选标志,请参阅 Cloud SDK 文档。
解决违规
如需补救违规,请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往 Monitoring 页面。
点击违规 ID 可查看更多详细信息。
在补救部分中,按照适用于 Google Cloud 控制台或 CLI 的说明解决问题。
gcloud CLI
按照响应中的补救步骤来解决违规。
添加违规例外
有时,违规可能在特定情况下有效。您可以通过完成以下步骤为违规行为添加一个或多个例外情况。
控制台
在 Google Cloud 控制台中,前往 Monitoring 页面。
在违规 ID 列中,点击要为其添加例外的违规。
在例外部分中,点击新增。
输入相应例外情况的业务理由。如果您希望将此例外情况应用于所有子资源,请选中应用于所有现有的子级资源违规问题复选框,然后点击提交。
您可以根据需要重复上述步骤,然后点击添加新内容来添加其他例外情况。
违规状态现在设置为例外。
gcloud CLI
如需添加违规的例外,请运行以下命令:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
其中,BUSINESS_JUSTIFICATION 是例外的原因,VIOLATION_PATH 采用以下格式:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
每次违规的 list 响应的 name 字段中都会返回 VIOLATION_PATH。
成功发送命令后,违规状态将设置为例外。
受监控的组织政策违规问题
Assured Workloads 会监控不同的组织政策限制条件违规,具体取决于应用于 Assured Workloads 文件夹的控制包。您可以使用以下列表按受影响的控制包过滤违规问题。
| 组织政策限制条件 | 违规的类型 | 说明 | 受影响的控制措施套餐 | ||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 对 Cloud SQL 数据的不合规访问 | 访问 |
如果允许对不合规的 Cloud SQL 诊断数据进行不合规访问,就会出现此错误。 此违规是由更改控制软件包的
|
|
||||||||||||||||||||||||||||||||||||||
| 对 Compute Engine 数据的不合规访问 | 访问 |
如果允许对 Compute Engine 实例数据进行不合规访问,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的 Cloud Storage 身份验证类型 | 访问 |
如果允许不合规的身份验证类型与 Cloud Storage 搭配使用,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 对 Cloud Storage 存储桶的不合规访问 | 访问 |
如果允许对 Cloud Storage 进行不合规的非统一存储分区级访问,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 对 GKE 数据的不合规访问 | 访问 |
如果允许对 GKE 诊断数据进行不合规访问,就会出现此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的 Compute Engine 诊断功能 | 配置 |
如果启用不合规的 Compute Engine 诊断功能,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的 Compute Engine 全球负载均衡设置 | 配置 |
如果为 Compute Engine 中的全局负载均衡设置设置了不合规的值,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的 Compute Engine FIPS 设置 | 配置 |
如果为 Compute Engine 中的 FIPS 设置设置了不合规的值,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的 Compute Engine SSL 设置 | 配置 |
如果为全局自行管理的证书设置了不合规的值,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 浏览器设置中的不合规的 Compute Engine SSH | 配置 |
如果为 Compute Engine 中的 SSH 浏览器功能设置了不合规的值,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 创建不合规的 Cloud SQL 资源 | 配置 |
如果允许创建不合规的 Cloud SQL 资源,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 缺少 Cloud KMS 密钥限制 | 加密 |
如果未指定项目来为 CMEK 提供加密密钥,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的不支持 CMEK 的服务 | 加密 |
如果未为工作负载启用不支持 CMEK 的服务,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的 Cloud KMS 保护级别 | 加密 |
如果指定不合规的保护级别以用于 Cloud Key Management Service (Cloud KMS),就会发生此错误。如需了解详情,请参阅 Cloud KMS 参考文档 。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的资源位置 | 资源位置 |
如果针对给定 Assured Workloads 控制包的受支持服务的资源是在工作负载的允许区域之外创建的,或者从允许的位置移动到不允许的位置,就会发生此错误。
此违规是由更改控制软件包的
|
|
||||||||||||||||||||||||||||||||||||||
| 不合规的服务 | 服务使用情况 |
如果用户启用 Assured Workloads 文件夹中的给定 Assured Workloads 控制包不支持的服务,就会发生此错误。 此违规是由更改控制软件包的 |
|
受监控的资源违规问题
Assured Workloads 会监控不同的资源违规情况,具体取决于应用于 Assured Workloads 文件夹的控制包。如需查看哪些资源类型受监控,请参阅 Cloud Asset Inventory 文档中的支持的资源类型。您可以使用以下列表按受影响的控制包过滤违规问题:
| 组织政策限制条件 | 说明 | 受影响的控制措施套餐 | |||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 不合规的资源位置 |
当资源的位置位于不合规的区域时,就会发生此错误。 此违规是由于
|
|
|||||||||||||||||||||||||||||||||||||
| 文件夹中不合规的资源 |
如果在 Assured Workloads 文件夹中为不受支持的服务创建资源,就会发生此错误。 此违规是由于
|
|
|||||||||||||||||||||||||||||||||||||
| 未加密(非 CMEK)资源 |
如果为需要 CMEK 加密的服务创建资源时未使用 CMEK 加密,就会发生此错误。 此违规是由于
|
|