Assured Workloads-Ordner auf Verstöße prüfen
Assured Workloads überwacht Ihre Assured Workloads-Ordner aktiv auf Complianceverstöße, indem die Anforderungen des Kontrollpakets eines Ordners mit den folgenden Details verglichen werden:
- Organisationsrichtlinie: Jeder Assured Workloads-Ordner ist mit bestimmten Einstellungen für Organisationsrichtlinieneinschränkungen konfiguriert, die die Compliance sicherstellen. Werden diese Einstellungen nicht konform geändert, tritt ein Verstoß auf. Weitere Informationen finden Sie im Abschnitt Überwachte Verstöße gegen Organisationsrichtlinien.
- Ressourcen: Abhängig von den Organisationsrichtlinieneinstellungen Ihres Assured Workloads-Ordners können die Ressourcen unter dem Ordner eingeschränkt sein, z. B. Typ und Standort. Weitere Informationen finden Sie im Abschnitt Überwachte Ressourcenverstöße. Wenn Ressourcen nicht konform sind, tritt ein Verstoß auf.
Wenn ein Verstoß auftritt, können Sie ihn beheben oder gegebenenfalls Ausnahmen dafür erstellen. Ein Verstoß kann einen von drei Status haben:
- Nicht behoben: Der Verstoß wurde nicht behoben.
- Behoben: Der Verstoß wurde durch die folgenden Schritte zur Behebung des Problems behoben.
- Ausnahme: Dem Verstoß wurde eine Ausnahme gewährt und eine geschäftliche Begründung wurde angegeben.
Assured Workloads-Monitoring wird automatisch aktiviert, wenn Sie einen Assured Workloads-Ordner erstellen.
Hinweise
Erforderliche IAM-Rollen und -Berechtigungen
Wenn Sie Verstöße gegen Organisationsrichtlinien oder Ressourcenverstöße ansehen möchten, muss Ihnen für den Assured Workloads-Ordner eine IAM-Rolle gewährt werden, die die folgenden Berechtigungen enthält:
assuredworkloads.violations.getassuredworkloads.violations.list
Diese Berechtigungen sind in den folgenden Assured Workloads-IAM-Rollen enthalten:
- Assured Workloads-Administrator (
roles/assuredworkloads.admin) - Assured Workloads-Bearbeiter (
roles/assuredworkloads.editor) - Leser von Assured Workloads (
roles/assuredworkloads.reader)
Zum Aktivieren des Monitorings von Ressourcenverstößen muss Ihnen für den Assured Workloads-Ordner eine IAM-Rolle gewährt werden, die die folgenden Berechtigungen enthält:
assuredworkloads.workload.update: Diese Berechtigung ist in den folgenden Rollen enthalten:- Assured Workloads-Administrator (
roles/assuredworkloads.admin) - Assured Workloads-Bearbeiter (
roles/assuredworkloads.editor)
- Assured Workloads-Administrator (
resourcemanager.folders.setIamPolicy: Diese Berechtigung ist in Verwaltungsrollen wie den folgenden enthalten:- Administrator der Organisation (
roles/resourcemanager.organizationAdmin) - Sicherheitsadministrator (
roles/iam.securityAdmin)
- Administrator der Organisation (
Wenn Sie Ausnahmen für Complianceverstöße angeben möchten, muss Ihnen für den Assured Workloads-Ordner eine IAM-Rolle mit der folgenden Berechtigung gewährt werden:
assuredworkloads.violations.update: Diese Berechtigung ist in den folgenden Rollen enthalten:- Assured Workloads-Administrator (
roles/assuredworkloads.admin) - Assured Workloads-Bearbeiter (
roles/assuredworkloads.editor)
- Assured Workloads-Administrator (
Außerdem müssen die folgenden IAM-Rollen gewährt werden, um Verstöße gegen Organisationsrichtlinien zu beheben und Audit-Logs anzusehen:
- Administrator für Organisationsrichtlinien (
roles/orgpolicy.policyAdmin) - Loganzeige (
roles/logging.viewer)
E-Mail-Benachrichtigungen zu Verstößen einrichten
Wenn ein Complianceverstoß der Organisation auftritt oder behoben wird oder eine Ausnahme gemacht wird, erhalten Mitglieder der Kategorie Legal unter Wichtige Kontakte standardmäßig eine E-Mail. Dieses Verhalten ist erforderlich, da Ihre Rechtsabteilung über alle Probleme bezüglich der Einhaltung gesetzlicher Vorschriften auf dem Laufenden gehalten werden muss.
Das Team, das die Verstöße verwaltet, z. B. ein Sicherheitsteam, sollte ebenfalls der Kategorie „Rechtsabteilung“ als Kontakte hinzugefügt werden. Dadurch werden sie per E-Mail über Änderungen informiert.
Benachrichtigungen aktivieren oder deaktivieren
So aktivieren oder deaktivieren Sie Benachrichtigungen für einen bestimmten Assured Workloads-Ordner:
Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf:
Klicken Sie in der Spalte Name auf den Namen des Assured Workloads-Ordners, dessen Benachrichtigungseinstellungen Sie ändern möchten.
Entfernen Sie auf der Karte Assured Workloads-Monitoring das Häkchen aus dem Kästchen Benachrichtigungen aktivieren, um Benachrichtigungen zu deaktivieren, oder wählen Sie es aus, um Benachrichtigungen für den Ordner zu aktivieren.
Auf der Seite Assured Workloads-Ordner wird für Ordner, für die Benachrichtigungen deaktiviert sind, Monitoring-E-Mail-Benachrichtigungen deaktiviert angezeigt.
Verstöße gegen die Organisation aufrufen
Sie können Verstöße in Ihrer gesamten Organisation sowohl in der Google Cloud Console als auch in der gcloud CLI ansehen.
Console
Die Anzahl der Verstöße in Ihrer Organisation können Sie entweder in der Google Cloud Console im Abschnitt Compliance auf der Seite Assured Workloads oder im Abschnitt Compliance auf der Seite Monitoring sehen.
Seite „Assured Workloads“
Rufen Sie die Seite Assured Workloads auf, um Verstöße auf einen Blick zu sehen:
Oben auf der Seite wird eine Zusammenfassung der Verstöße gegen Organisationsrichtlinien und Ressourcenverstöße angezeigt. Klicken Sie auf den Link Ansehen, um die Seite Monitoring aufzurufen.
Für jeden Assured Workloads-Ordner in der Liste werden alle Verstöße in den Spalten Verstöße gegen Organisationsrichtlinien und Ressourcenverstöße angezeigt. Für nicht behobene Verstöße ist das Symbol und für Ausnahmen das Symbol aktiv. Du kannst einen Verstoß oder eine Ausnahme auswählen, um weitere Informationen zu erhalten.
Wenn das Monitoring von Ressourcenverstößen für einen Ordner nicht aktiviert ist, ist das Symbol in der Spalte Updates mit dem Link Monitoring von Ressourcenverstößen aktivieren aktiv. Klicken Sie auf den Link, um die Funktion zu aktivieren. Sie können es auch aktivieren, indem Sie auf der Detailseite des Assured Workloads-Ordners auf die Schaltfläche Aktivieren klicken.
Monitoringseite
Auf der Seite Monitoring finden Sie weitere Informationen zu Verstößen:
Es werden zwei Tabs angezeigt: Verstöße gegen Organisationsrichtlinien und Ressourcenverstöße. Wenn mehrere nicht behobene Verstöße vorliegen, ist das Symbol auf dem Tab aktiv.
Auf beiden Tabs werden standardmäßig nicht behobene Verstöße angezeigt. Weitere Informationen finden Sie unten im Abschnitt Details zum Verstoß ansehen.
gcloud-CLI
Führen Sie den folgenden Befehl aus, um die aktuellen Compliance-Verstöße in Ihrer Organisation aufzulisten:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Wobei:
LOCATION ist der Speicherort des Assured Workloads-Ordners.
ORGANIZATION_ID ist die Organisations-ID, die abgefragt werden soll.
WORKLOAD_ID ist die ID der übergeordneten Arbeitslast, die Sie durch Auflisten Ihrer Arbeitslasten ermitteln können.
In der Antwort sind für jeden Verstoß die folgenden Informationen enthalten:
- Ein Audit-Log-Link für den Verstoß.
- Das Datum, an dem der Verstoß zum ersten Mal aufgetreten ist.
- Die Art des Verstoßes.
- Eine Beschreibung der Urheberrechtsverletzung
- Der Name des Verstoßes, mit dem weitere Details abgerufen werden können.
- Die betroffene Organisationsrichtlinie und die zugehörige Richtlinieneinschränkung.
- Der aktuelle Status des Verstoßes. Gültige Werte sind „Ungelöst“, „Aufgelöst“ oder „Ausnahme“.
Informationen zu optionalen Flags finden Sie in der Cloud SDK-Dokumentation.
Details zum Verstoß / zu den Verstößen anzeigen
Führen Sie die folgenden Schritte aus, um bestimmte Compliance-Verstöße und ihre Details aufzurufen:
Console
Rufen Sie in der Google Cloud Console die Seite Monitoring auf.
Auf der Seite Monitoring ist standardmäßig der Tab Verstöße gegen Organisationsrichtlinien ausgewählt. Auf diesem Tab werden alle nicht behobenen Verstöße gegen Organisationsrichtlinien in Assured Workloads-Ordnern in der Organisation angezeigt.
Auf dem Tab Ressourcenverstöße werden alle nicht behobenen Verstöße angezeigt, die mit der Ressource in allen Assured Workloads-Ordnern der Organisation verknüpft sind.
Verwenden Sie auf beiden Tabs die Optionen für Schnellfilter, um nach Verstoßstatus, Verstoßtyp, Steuerpakettyp, Verstoßtyp, bestimmten Ordnern, bestimmten Einschränkungen für Organisationsrichtlinien oder bestimmten Ressourcentypen zu filtern.
Falls es auf beiden Tabs Verstöße gibt, klicken Sie auf eine Verstoß-ID, um ausführlichere Informationen aufzurufen.
Auf der Seite Details zu Verstößen können Sie die folgenden Aufgaben ausführen:
Kopieren Sie die ID des Verstoßes.
Rufen Sie den Assured Workloads-Ordner auf, in dem der Verstoß aufgetreten ist und wann er zum ersten Mal aufgetreten ist.
Prüfen Sie das Audit-Log, das Folgendes enthält:
Zeitpunkt des Verstoßes
Welche Richtlinie geändert wurde, um den Verstoß zu verursachen, und welcher Nutzer die Änderung vorgenommen hat.
Wenn eine Ausnahme gewährt wurde, welcher Nutzer sie erteilt hat.
Sehen Sie sich gegebenenfalls die Ressource an, auf der der Verstoß aufgetreten ist.
Rufen Sie die betroffene Organisationsrichtlinie auf.
Folgen Sie den Schritten, um die Ausnahme zu beheben.
Bei Verstößen gegen Organisationsrichtlinien wird außerdem Folgendes angezeigt:
- Betroffene Organisationsrichtlinie: Klicken Sie auf Richtlinie ansehen, um die mit dem Complianceverstoß verbundene Richtlinie aufzurufen.
- Verstöße gegen untergeordnete Ressourcen: Verstöße gegen ressourcenbasierte Organisationsrichtlinien können zu Verstößen gegen untergeordnete Ressourcen führen. Klicken Sie auf die Verstoß-ID, um Verstöße gegen untergeordnete Ressourcen anzusehen oder zu beheben.
Für Ressourcenverstöße wird außerdem Folgendes angezeigt:
- Verstöße gegen die Richtlinien von übergeordneten Organisationen: Wenn Verstöße gegen Richtlinien einer übergeordneten Organisation die Ursache eines Verstoßes gegen die untergeordnete Ressourcen sind, müssen diese auf der übergeordneten Ebene behoben werden. Um Details zum übergeordneten Verstoß aufzurufen, klicken Sie auf Verstoß ansehen.
- Alle anderen Verstöße für die jeweilige Ressource, die derzeit den Ressourcenverstoß verursachen, sind ebenfalls sichtbar.
gcloud-CLI
Führen Sie den folgenden Befehl aus, um die Details eines Complianceverstoßes aufzurufen:
gcloud assured workloads violations describe VIOLATION_PATH
Dabei hat VIOLATION_PATH das folgende Format:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
VIOLATION_PATH wird bei jedem Verstoß im Feld name der list-Antwort zurückgegeben.
Die Antwort enthält die folgenden Informationen:
Ein Audit-Log-Link für den Verstoß.
Das Datum, an dem der Verstoß zum ersten Mal aufgetreten ist.
Die Art des Verstoßes.
Eine Beschreibung der Urheberrechtsverletzung
Die betroffene Organisationsrichtlinie und die zugehörige Richtlinieneinschränkung.
Schritte zur Behebung des Verstoßes
Der aktuelle Status des Verstoßes. Gültige Werte sind
unresolved,resolvedoderexception.
Optionale Flags finden Sie in der Cloud SDK-Dokumentation.
Verstöße beheben
Führen Sie folgende Schritte aus, um einen Verstoß zu beheben:
Console
Rufen Sie in der Google Cloud Console die Seite Monitoring auf.
Klicken Sie auf die ID des Verstoßes, um weitere Informationen zu erhalten.
Folgen Sie im Abschnitt Korrektur der Anleitung für die Google Cloud Console oder Befehlszeile, um das Problem zu beheben.
gcloud-CLI
Sehen Sie sich die Details zum Verstoß mithilfe der gcloud-CLI an.
Folgen Sie den Schritten in der Antwort, um den Verstoß zu beheben.
Ausnahmen für Verstöße hinzufügen
Manchmal ist ein Verstoß für eine bestimmte Situation gültig. So fügen Sie eine oder mehrere Ausnahmen für einen Verstoß hinzu:
Console
Rufen Sie in der Google Cloud Console die Seite Monitoring auf.
Klicken Sie in der Spalte Verstoß-ID auf den Verstoß, dem die Ausnahme hinzugefügt werden soll.
Klicken Sie im Abschnitt Ausnahmen auf Neu hinzufügen.
Geben Sie eine geschäftliche Begründung für die Ausnahme ein. Wenn die Ausnahme für alle untergeordneten Ressourcen gelten soll, klicken Sie das Kästchen Auf alle vorhandenen untergeordneten Ressourcenverstöße anwenden an und dann auf Senden.
Sie können bei Bedarf weitere Ausnahmen hinzufügen. Wiederholen Sie dazu diese Schritte und klicken Sie auf Neu hinzufügen.
Der Status des Verstoßes ist jetzt Ausnahme.
gcloud-CLI
Führen Sie folgenden Befehl aus, um eine Ausnahme für einen Verstoß hinzuzufügen:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
Dabei ist BUSINESS_JUSTIFICATION der Grund für die Ausnahme und VIOLATION_PATH hat das folgende Format:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
VIOLATION_PATH wird bei jedem Verstoß im Feld name der list-Antwort zurückgegeben.
Nachdem der Befehl erfolgreich gesendet wurde, wird der Verstoßstatus auf Ausnahme gesetzt.
Überwachte Verstöße gegen Organisationsrichtlinien
Assured Workloads überwacht verschiedene Verstöße gegen Organisationsrichtlinien, je nachdem, welches Steuerpaket auf Ihren Assured Workloads-Ordner angewendet wird. Verwenden Sie die folgende Liste, um Verstöße nach dem betroffenen Kontrollpaket zu filtern.
| Organisationsrichtlinie-Beschränkung | Art des Verstoßes | Beschreibung | Betroffene Kontrollpakete | |||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Nicht konformer Zugriff auf Cloud SQL-Daten | Zugriff |
Tritt auf, wenn nicht konformer Zugriff auf nicht konforme Cloud SQL-Diagnosedaten zulässig ist. Dieser Verstoß wird verursacht, wenn Sie den konformen Wert des Kontrollpakets für die Einschränkung
|
|
|||||||||||||||||
| Nicht konformer Zugriff auf Compute Engine-Daten | Zugriff |
Tritt auf, wenn nicht konformer Zugriff auf Compute Engine-Instanzdaten zulässig ist. Dieser Verstoß wird dadurch verursacht, dass Sie den konformen Wert des Kontrollpakets für die Einschränkung |
|
|||||||||||||||||
| Nicht konforme Cloud Storage-Authentifizierungstypen | Zugriff |
Tritt auf, wenn nicht konforme Authentifizierungstypen für die Verwendung mit Cloud Storage zulässig sind. Dieser Verstoß wird verursacht, wenn Sie den konformen Wert des Kontrollpakets für die Einschränkung |
|
|||||||||||||||||
| Nicht konformer Zugriff auf Cloud Storage-Buckets | Zugriff |
Tritt auf, wenn nicht konformer, nicht einheitlicher Zugriff auf Cloud Storage auf Bucket-Ebene zulässig ist. Dieser Verstoß wird dadurch verursacht, dass Sie den konformen Wert des Kontrollpakets für die Einschränkung |
|
|||||||||||||||||
| Nicht konformer Zugriff auf GKE-Daten | Zugriff |
Tritt auf, wenn nicht konformer Zugriff auf GKE-Diagnosedaten zulässig ist. Dieser Verstoß wird verursacht, wenn Sie den konformen Wert des Kontrollpakets für die Einschränkung |
|
|||||||||||||||||
| Nicht konforme Compute Engine-Diagnosefunktionen | Konfiguration |
Tritt auf, wenn nicht konforme Compute Engine-Diagnosefeatures aktiviert wurden. Dieser Verstoß wird dadurch verursacht, dass Sie den konformen Wert des Kontrollpakets für die Einschränkung |
|
|||||||||||||||||
| Nicht konforme globale Load-Balancing-Einstellung von Compute Engine | Konfiguration |
Tritt auf, wenn ein nicht konformer Wert für die globale Load-Balancing-Einstellung in Compute Engine festgelegt wurde. Dieser Verstoß wird dadurch verursacht, dass Sie den konformen Wert des Kontrollpakets für die Einschränkung |
|
|||||||||||||||||
| Nicht konforme Compute Engine-FIPS-Einstellung | Konfiguration |
Tritt auf, wenn ein nicht konformer Wert für die FIPS-Einstellung in Compute Engine festgelegt wurde. Dieser Verstoß wird verursacht, wenn Sie den konformen Wert des Kontrollpakets für die Einschränkung |
|
|||||||||||||||||
| Nicht konforme Compute Engine-SSL-Einstellung | Konfiguration |
Tritt auf, wenn ein nicht konformer Wert für globale selbstverwaltete Zertifikate festgelegt wurde. Dieser Verstoß wird verursacht, wenn Sie den konformen Wert des Kontrollpakets für die Einschränkung |
|
|||||||||||||||||
| Nicht konforme Compute Engine-SSH in Browser-Einstellungen | Konfiguration |
Tritt auf, wenn ein nicht konformer Wert für das Feature „SSH im Browser“ in Compute Engine festgelegt wurde. Dieser Verstoß wird verursacht, wenn Sie den konformen Wert des Kontrollpakets für die Einschränkung |
|
|||||||||||||||||
| Nicht konforme Cloud SQL-Ressourcenerstellung | Konfiguration |
Tritt auf, wenn das Erstellen nicht konformer Cloud SQL-Ressourcen zulässig ist. Dieser Verstoß wird dadurch verursacht, dass Sie den konformen Wert des Kontrollpakets für die Einschränkung |
|
|||||||||||||||||
| Fehlende Einschränkung für Cloud KMS-Schlüssel | Verschlüsselung |
Tritt auf, wenn keine Projekte zum Bereitstellen von Verschlüsselungsschlüsseln für CMEK angegeben wurden. Dieser Verstoß wird dadurch verursacht, dass der konforme Wert des Kontrollpakets für die Einschränkung |
|
|||||||||||||||||
| Nicht konformer, nicht CMEK-fähiger Dienst | Verschlüsselung |
Tritt auf, wenn ein Dienst, der CMEK nicht unterstützt, für die Arbeitslast aktiviert ist. Dieser Verstoß wird verursacht, wenn Sie den konformen Wert des Kontrollpakets für die Einschränkung |
|
|||||||||||||||||
| Nicht konforme Cloud KMS-Schutzniveaus | Verschlüsselung |
Tritt auf, wenn nicht konforme Schutzstufen für die Verwendung mit Cloud Key Management Service (Cloud KMS) angegeben wurden. Weitere Informationen finden Sie in der Cloud KMS-Referenz . Dieser Verstoß wird verursacht, wenn Sie den konformen Wert des Kontrollpakets für die Einschränkung |
|
|||||||||||||||||
| Nicht konforme Ressourcenstandorte | Ressourcenstandort |
Tritt auf, wenn Ressourcen unterstützter Dienste für ein bestimmtes Assured Workloads-Steuerungspaket entweder außerhalb der zulässigen Region für die Arbeitslast erstellt oder von einem zulässigen Standort an einen unzulässigen Standort verschoben werden.
Dieser Verstoß wird verursacht, wenn Sie den konformen Wert des Kontrollpakets für die Einschränkung
|
|
|||||||||||||||||
| Nicht konforme Dienste | Service Usage |
Tritt auf, wenn ein Nutzer einen Dienst aktiviert, der von einem bestimmten Assured Workloads-Kontrollpaket in einem Assured Workloads-Ordner nicht unterstützt wird. Dieser Verstoß wird verursacht, wenn Sie den konformen Wert des Kontrollpakets für die Einschränkung |
|
Überwachte Ressourcenverstöße
Assured Workloads überwacht verschiedene Ressourcenverstöße je nach dem auf Ihren Assured Workloads-Ordner angewendeten Steuerpaket. Verwenden Sie die folgende Liste, um Verstöße nach dem betroffenen Kontrollpaket zu filtern:
| Organisationsrichtlinie-Beschränkung | Beschreibung | Betroffene Kontrollpakete | |||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Nicht konformer Ressourcenstandort |
Tritt auf, wenn sich der Standort einer Ressource in einer nicht konformen Region befindet. Dieser Verstoß wird durch die Einschränkung
|
|
|||||||||||||||||
| Nicht konforme Ressourcen im Ordner |
Tritt auf, wenn im Assured Workloads-Ordner eine Ressource für einen nicht unterstützten Dienst erstellt wird. Dieser Verstoß wird durch die Einschränkung
|
|
Nächste Schritte
- Informationen zu den Kontrollpaketen für Assured Workloads.
- Informationen zu den unterstützten Produkten