Supervisa una carpeta de Assured Workloads para detectar incumplimientos

Assured Workloads supervisa de forma activa tus carpetas de Asssured Workloads para detectar incumplimientos de cumplimiento comparando los requisitos del paquete de control de una carpeta con los siguientes detalles:

  • Política de la organización: Cada carpeta de Assured Workloads se configura con parámetros de configuración de restricciones de políticas de la organización específicos que ayudan a garantizar el cumplimiento. Cuando se cambia esta configuración de manera que no cumple con los requisitos, se produce un incumplimiento. Consulta la sección Incumplimientos de políticas de la organización supervisados para obtener más información.
  • Recursos: Según la configuración de la política de la organización de la carpeta de Assured Workloads, es posible que se restrinjan los recursos debajo de la carpeta, como su tipo y ubicación. Consulta la sección Incumplimientos de recursos supervisados para obtener más información. Si alguno de los recursos no cumple con los requisitos, se produce un incumplimiento.

Cuando se produce un incumplimiento, puedes resolverlo o crear excepciones para él cuando corresponda. Un incumplimiento puede tener uno de tres estados:

  • No resuelto: No se abordó el incumplimiento o se le otorgó una excepción antes de que se realizaran cambios que no cumplen con la política en la carpeta o el recurso.
  • Resuelto: El incumplimiento se abordó y se siguieron pasos para solucionar el problema.
  • Excepción: Se otorgó una excepción al incumplimiento y se proporcionó una justificación de la empresa.

La supervisión de Assured Workloads se habilita automáticamente cuando creas una carpeta de Assured Workloads.

Antes de comenzar

Roles y permisos de IAM obligatorios

Para ver los incumplimientos de las políticas de la organización o de los recursos, debes tener un rol de IAM en la carpeta Assured Workloads que contenga los siguientes permisos:

  • assuredworkloads.violations.get
  • assuredworkloads.violations.list

Estos permisos se incluyen en los siguientes roles de IAM de Assured Workloads:

  • Administrador de Assured Workloads (roles/assuredworkloads.admin)
  • Editor de Assured Workloads (roles/assuredworkloads.editor)
  • Lector de Assured Workloads (roles/assuredworkloads.reader)

Para habilitar la supervisión de incumplimientos de recursos, debes tener un rol de IAM en la carpeta Assured Workloads que contenga los siguientes permisos:

  • assuredworkloads.workload.update: Este permiso se incluye en los siguientes roles:

    • Administrador de Assured Workloads (roles/assuredworkloads.admin)
    • Editor de Assured Workloads (roles/assuredworkloads.editor)

  • resourcemanager.folders.setIamPolicy: Este permiso se incluye en los roles administrativos, como los siguientes:

    • Administrador de la organización (roles/resourcemanager.organizationAdmin)
    • Administrador de seguridad (roles/iam.securityAdmin)

Para proporcionar excepciones para los incumplimientos de cumplimiento, debes tener un rol de IAM en la carpeta Assured Workloads que contenga el siguiente permiso:

  • assuredworkloads.violations.update: Este permiso se incluye en los siguientes roles:

    • Administrador de Assured Workloads (roles/assuredworkloads.admin)
    • Editor de Assured Workloads (roles/assuredworkloads.editor)

Además, para resolver los incumplimientos de políticas de la organización y ver los registros de auditoría, se deben otorgar los siguientes roles de IAM:

  • Administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
  • Visor de registros (roles/logging.viewer)

Configura las notificaciones de incumplimiento por correo electrónico

Cuando se produce, se resuelve o se hace una excepción con un incumplimiento, se envía un correo electrónico a los miembros de la categoría Legal en Contactos esenciales de forma predeterminada. Este comportamiento es necesario porque tu equipo legal debe mantenerse al día con los problemas de cumplimiento de normas.

El equipo que administra los incumplimientos, ya sea un equipo de seguridad u otro, también debe agregarse a la categoría Legal como contactos. Esto garantiza que se les envíen notificaciones por correo electrónico a medida que se produzcan cambios.

Cómo habilitar o inhabilitar las notificaciones

Para habilitar o inhabilitar las notificaciones de una carpeta específica de Assured Workloads, haz lo siguiente:

  1. Ve a la página Cargas de trabajo garantizadas en la consola de Google Cloud :

    Ir a Assured Workloads

  2. En la columna Nombre, haz clic en el nombre de la carpeta de Assured Workloads cuyo parámetro de configuración de notificaciones deseas cambiar.

  3. En la tarjeta Assured Workloads Monitoring, desmarca la casilla de verificación Enable notifications para inhabilitar las notificaciones o selecciónala para habilitarlas en la carpeta.

En la página Carpetas de Assured Workloads, las carpetas que tienen inhabilitadas las notificaciones muestran Se inhabilitaron las notificaciones por correo electrónico de supervisión.

Visualiza los incumplimientos en tu organización

Puedes ver los incumplimientos en toda tu organización en la consola deGoogle Cloud y en gcloud CLI.

Console

Puedes ver la cantidad de incumplimientos que hay en tu organización en la página Assured Workloads de la sección Cumplimiento de la consola deGoogle Cloud o en la página Supervisión de la sección Cumplimiento.

Página de Assured Workloads

Ve a la página Assured Workloads para ver los incumplimientos de un vistazo:

Ir a Assured Workloads

En la parte superior de la página, se muestra un resumen de los incumplimientos de las políticas de la organización y de los recursos. Haz clic en el vínculo Ver para ir a la página Supervisión.

Para cada carpeta de Assured Workloads en la lista, los incumplimientos se muestran en las columnas Incumplimientos de la política de la organización y Incumplimientos de recursos. Los incumplimientos sin resolver tienen el ícono activo, y las excepciones tienen el ícono activo. Puedes seleccionar una violación o excepción para ver más detalles.

Si la supervisión de incumplimientos de recursos no está habilitada en una carpeta, el ícono está activo en la columna Actualizaciones con un vínculo Habilitar la supervisión de incumplimientos de recursos. Haz clic en el vínculo para habilitar la función. También puedes habilitarlo haciendo clic en el botón Habilitar en la página de detalles de la carpeta de Assured Workloads.

Página de supervisión

Ve a la página Supervisión para ver los incumplimientos con más detalle:

Ir a Monitoring

Se muestran dos pestañas: Incumplimientos de las políticas de la organización y Incumplimientos de los recursos. Si hay más de un incumplimiento sin resolver, el ícono estará activo en la pestaña.

En cualquiera de las pestañas, los incumplimientos no resueltos se muestran de forma predeterminada. Consulta la sección Ver detalles del incumplimiento que aparece a continuación para obtener más información.

gcloud CLI

Para mostrar una lista de las infracciones de cumplimientos actuales en tu organización, ejecuta el siguiente comando:

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

Aquí:

En la respuesta, se incluye la siguiente información para cada incumplimiento:

  • Un vínculo del registro de auditoría del incumplimiento.
  • La primera vez que ocurrió el incumplimiento.
  • El tipo de incumplimiento.
  • Una descripción del incumplimiento.
  • El nombre del incumplimiento, que se puede usar para recuperar más detalles.
  • La política de la organización afectada y la restricción de política relacionada.
  • El estado actual del incumplimiento. Los valores válidos son sin resolver, resuelto o con excepción.

Para obtener marcas opcionales, consulta la documentación del SDK de Cloud.

Ver detalles de los incumplimientos

Para ver incumplimientos específicos y sus detalles, completa los siguientes pasos:

Console

  1. En la consola de Google Cloud , ve a la página Monitoring.

    Ir a Monitoring

    En la página Supervisión, la pestaña Incumplimientos de políticas de la organización está seleccionada de forma predeterminada. En esta pestaña, se muestran todos los incumplimientos de políticas de la organización sin resolver en las carpetas de Assured Workloads de la organización.

    En la pestaña Incumplimientos de recursos, se muestran todos los incumplimientos no resueltos asociados con el recurso en todas las carpetas de Assured Workloads de la organización.

  2. En cualquiera de las pestañas, usa las opciones de Filtros rápidos para filtrar por estado de incumplimiento, tipo de incumplimiento, tipo de paquete de control, carpetas específicas, restricciones específicas de la política de la organización o tipos de recursos específicos.

  3. En cualquiera de las pestañas, si hay incumplimientos existentes, haz clic en el ID del incumplimiento para ver información más detallada.

En la página Detalles del incumplimiento, puedes realizar las siguientes tareas:

  • Copiar el ID del incumplimiento.

  • Ver la carpeta de Assured Workloads en la que se produjo el incumplimiento y a qué hora ocurrió por primera vez

  • Ver el registro de auditoría, que incluye lo siguiente:

    • Cuándo ocurrió el incumplimiento.

    • Qué política se modificó que causó el incumplimiento y qué usuario realizó esa modificación.

    • Si se otorgó una excepción, qué usuario la otorgó.

    • Cuando corresponda, ver el recurso específico en el que se produjo el incumplimiento.

  • Consultar la política de la organización afectada.

  • Consulta y agrega excepciones de incumplimiento. Se muestra una lista de las excepciones anteriores de la carpeta o el recurso, incluido el usuario que otorgó la excepción y la justificación que proporcionó.

  • Sigue los pasos de corrección para resolver la excepción.

En el caso de los incumplimientos de las políticas de la organización, también puedes ver lo siguiente:

  • Política de la organización afectada: Para ver la política específica asociada con el incumplimiento de políticas, haz clic en Ver política.
  • Incumplimientos de recursos secundarios: Los incumplimientos de las políticas de la organización basados en recursos pueden causar incumplimientos de recursos secundarios. Para ver o resolver los incumplimientos de recursos secundarios, haz clic en el ID de incumplimiento.

En el caso de los incumplimientos de recursos, también puedes ver lo siguiente:

  • Incumplimientos de la política de la organización superior: Cuando los incumplimientos de la política de la organización superior son la causa de un incumplimiento de recursos secundarios, se deben abordar a nivel superior. Para ver los detalles del incumplimiento superior, haz clic en Ver incumplimiento.
  • También se pueden ver los demás incumplimientos en el recurso específico que está causando el incumplimiento.

gcloud CLI

Para ver los detalles de un incumplimiento, ejecuta el siguiente comando:

gcloud assured workloads violations describe VIOLATION_PATH

En el ejemplo anterior, VIOLATION_PATH está en el siguiente formato:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

Se muestra el VIOLATION_PATH en el campo name de la respuesta de la lista para cada incumplimiento.

La respuesta incluye la siguiente información:

  • Un vínculo del registro de auditoría del incumplimiento.

  • La primera vez que ocurrió el incumplimiento.

  • El tipo de incumplimiento.

  • Una descripción del incumplimiento.

  • La política de la organización afectada y la restricción de política relacionada.

  • Pasos de corrección para resolver el incumplimiento.

  • El estado actual del incumplimiento. Los valores válidos son unresolved, resolved o exception.

Para obtener marcas opcionales, consulta la documentación del SDK de Cloud.

Resuelve incumplimientos

Para corregir un incumplimiento, sigue estos pasos:

Console

  1. En la consola de Google Cloud , ve a la página Monitoring.

    Ir a Monitoring

  2. Haz clic en el ID del incumplimiento para ver información más detallada.

  3. En la sección Corrección, sigue las instrucciones de la consola o la CLI deGoogle Cloud para abordar el problema.

gcloud CLI

  1. Ve los detalles del incumplimiento con la CLI de gcloud.

  2. Sigue los pasos de corrección en la respuesta para resolver el incumplimiento.

Agrega excepciones de incumplimiento

A veces, un incumplimiento puede ser válido para un caso en particular. Para agregar una o más excepciones a un incumplimiento, completa los siguientes pasos.

Console

  1. En la consola de Google Cloud , ve a la página Monitoring.

    Ir a Monitoring

  2. En la columna ID de incumplimiento, haz clic en el incumplimiento al que deseas agregar la excepción.

  3. En la sección Excepciones, haz clic en Agregar nuevo.

  4. Ingresa una justificación comercial para la excepción. Si quieres que la excepción se aplique a todos los recursos secundarios, selecciona la casilla de verificación Aplicar a todas las infracciones de recursos secundarios existentes y haz clic en Enviar.

  5. Puedes agregar excepciones adicionales según sea necesario. Para ello, repite estos pasos y haz clic en Agregar nuevo.

El estado de incumplimiento ahora está configurado como Excepción.

CLI de gcloud

Para agregar una excepción a un incumplimiento, ejecuta el siguiente comando:

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

En el ejemplo anterior, BUSINESS_JUSTIFICATION es el motivo de la excepción, y VIOLATION_PATH está en el siguiente formato:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

Se muestra el VIOLATION_PATH en el campo name de la respuesta de la lista para cada incumplimiento.

Después de enviar el comando correctamente, el estado del incumplimiento se establece como Excepción.

Incumplimientos supervisados de las políticas de la organización

Assured Workloads supervisa los diferentes incumplimientos de las restricciones de las políticas de la organización, según el paquete de control aplicado a la carpeta de Assured Workloads. Usa la siguiente lista para filtrar los incumplimientos según el paquete de control afectado.

Restricción de las políticas de la organización Tipo de incumplimiento Descripción Paquetes de control afectados
Acceso a los datos de Cloud SQL que no cumple con las normas Acceso

Ocurre cuando se permite el acceso que no cumple con las normas a los datos de diagnóstico de Cloud SQL.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción sql.restrictNoncompliantDiagnosticDataAccess .
Controles soberanos para la UE
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
T-Systems Sovereign Cloud (Sovereign Controls by Partners)
Acceso que no cumple con las normas a datos de Compute Engine Acceso

Ocurre cuando se permite el acceso que no cumple con las normas a los datos de la instancia de Compute Engine.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción compute.disableInstanceDataAccessApis.
Sistemas de información de la justicia criminal (CJIS)
Controles soberanos para la UE
Reglamento Internacional de Tráfico de Armas (ITAR)
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (Controles soberanos operados por socios)
Tipos de autenticación de Cloud Storage que no cumplen con las normas Acceso

Ocurre cuando se permiten los tipos de autenticación que no cumplen con las normas para su uso con Cloud Storage.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción storage.restrictAuthTypes.
Controles soberanos para la UE
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
T-Systems Sovereign Cloud (Sovereign Controls by Partners)
Acceso no compatible a los buckets de Cloud Storage Acceso

Ocurre cuando se permite el acceso no uniforme que no cumple con las normas a nivel de bucket a Cloud Storage.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción storage.uniformBucketLevelAccess.
Controles soberanos para la UE
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
T-Systems Sovereign Cloud (Sovereign Controls by Partners)
Acceso a los datos de GKE que no cumple con las normas Acceso

Ocurre cuando se permite el acceso que no cumple con las normas a los datos de diagnóstico de GKE.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción container.restrictNoncompliantDiagnosticDataAccess.
Controles soberanos para la UE
Nivel de impacto 4 (IL4)
Nivel de impacto 5 (IL5)
Reglamento Internacional de Tráfico de Armas (ITAR)
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
T-Systems Sovereign Cloud (Sovereign Controls by Partners)
Características del diagnóstico de Compute Engine que no cumple con las normas Configuración

Ocurre cuando se habilitan las funciones de diagnóstico de Compute Engine que no cumplen con las normas.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción compute.enableComplianceMemoryProtection.
Controles soberanos para la UE
Reglamento Internacional de Tráfico de Armas (ITAR)
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (Controles soberanos operados por socios)
Configuración de balanceo de cargas global de Compute Engine que no cumple con las normas Configuración

Ocurre cuando se establece un valor que no cumple con las normas para la configuración de balanceo de cargas global en Compute Engine.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción compute.disableGlobalLoadBalancing.
Reglamento Internacional de Tráfico de Armas (ITAR)
Configuración de FIPS de Compute Engine que no cumple con las normas Configuración

Ocurre cuando se establece un valor que no cumple con las normas para la configuración de FIPS en Compute Engine.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción compute.disableNonFIPSMachineTypes.
Reglamento Internacional de Tráfico de Armas (ITAR)
Configuración de SSL de Compute Engine que no cumple con las normas Configuración

Ocurre cuando se establece un valor que no cumple con las normas para los certificados autoadministrados globales.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción compute.disableGlobalSelfManagedSslCertificate.
Reglamento Internacional de Tráfico de Armas (ITAR)
Conexión SSH de Compute Engine que no cumple con las normas en la configuración del navegador Configuración

Ocurre cuando se establece un valor que no cumple con las normas para la conexión SSH en la función de navegador de Compute Engine.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción compute.disableSshInBrowser.
Controles soberanos para la UE
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
T-Systems Sovereign Cloud (Sovereign Controls by Partners)
Creación de recursos de Cloud SQL que no cumplen con las normas Configuración

Ocurre cuando se permite la creación de recursos de Cloud SQL que no cumplen con las normas.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción sql.restrictNoncompliantResourceCreation.
Controles soberanos para la UE
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
T-Systems Sovereign Cloud (Sovereign Controls by Partners)
Falta la restricción de clave de Cloud KMS Encriptación

Ocurre cuando no se especifica ningún proyecto que proporcione claves de encriptación para CMEK .

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción gcp.restrictCmekCryptoKeyProjects, lo que ayuda a evitar que las carpetas o los proyectos no aprobados proporcionen claves de encriptación.
Controles soberanos para la UE
Reglamento Internacional de Tráfico de Armas (ITAR)
Sistemas de información de la justicia criminal (CJIS)
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
T-Systems Sovereign Cloud (Sovereign Controls by Partners)
Servicio sin CMEK habilitada y que no cumple con las normas Encriptación

Ocurre cuando un servicio que no admite CMEK está habilitado para la carga de trabajo.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción gcp.restrictNonCmekServices.
Controles soberanos para la UE
Reglamento Internacional de Tráfico de Armas (ITAR)
Sistemas de información de la justicia criminal (CJIS)
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
T-Systems Sovereign Cloud (Sovereign Controls by Partners)
Niveles de protección de Cloud KMS que no cumplen con las normas Encriptación

Ocurre cuando se especifican niveles de protección que no cumplen con las normas para el uso de Cloud Key Management Service (Cloud KMS). Consulta la referencia de Cloud KMS para obtener más información.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción cloudkms.allowedProtectionLevels.
Controles soberanos para la UE
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
T-Systems Sovereign Cloud (Sovereign Controls by Partners)
Ubicaciones de recursos que no cumplen con las normas Ubicación del recurso

Ocurre cuando los recursos de servicios compatibles para un paquete de control de Assured Workloads determinado se crean fuera de la región permitida para la carga de trabajo o se mueven de una ubicación permitida a una ubicación no permitida.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción gcp.resourceLocations .

Sistemas de información de la justicia criminal (CJIS)
FedRAMP Moderate
FedRAMP High
Controles de salud y ciencias biológicas
Controles de salud y ciencias biológicas con asistencia de EE.UU.
Nivel de impacto 2 (IL2)
Nivel de impacto 4 (IL4)
Nivel de impacto 5 (IL5)
Reglamento Internacional de Tráfico de Armas (ITAR)
Regiones de Australia
Regiones de Australia con Asistencia garantizada
Regiones de Brasil
Regiones de Canadá
Regiones de Canadá y compatibilidad
Canada Protected B
Regiones de Chile
Regiones de la UE
Regiones de la UE y compatibilidad
Controles soberanos para la UE
Regiones de Hong Kong
Regiones de India
Regiones de Indonesia
Regiones de Israel
Regiones y asistencia en Israel
Regiones de Japón
Regiones de Catar
Regiones de Singapur
Regiones de Sudáfrica
Regiones de Corea del Sur
Regiones de Suiza
Regiones de Taiwán
Regiones del Reino Unido
Regiones de EE.UU.
Regiones de EE.UU. y compatibilidad
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (Controles soberanos operados por socios)
Servicios que no cumplen con las normas Uso del servicio

Ocurre cuando un usuario habilita un servicio que no es compatible con un paquete de control de Assured Workloads determinado en una carpeta de Assured Workloads.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción gcp.restrictServiceUsage.
Sistemas de información de la justicia criminal (CJIS)
FedRAMP Moderate
FedRAMP High
Controles de salud y ciencias biológicas
Controles de salud y ciencias biológicas con asistencia de EE.UU.
Nivel de impacto 2 (IL2)
Nivel de impacto 4 (IL4)
Nivel de impacto 5 (IL5)
Reglamento Internacional de Tráfico de Armas (ITAR)
Regiones de Australia
Regiones de Australia con Asistencia garantizada
Regiones de Brasil
Regiones de Canadá
Regiones de Canadá y compatibilidad
Canada Protected B
Regiones de Chile
Regiones de la UE
Regiones de la UE y compatibilidad
Controles soberanos para la UE
Regiones de Hong Kong
Regiones de India
Regiones de Indonesia
Regiones de Israel
Regiones y asistencia en Israel
Regiones de Japón
Regiones de Catar
Regiones de Singapur
Regiones de Sudáfrica
Regiones de Corea del Sur
Regiones de Suiza
Regiones de Taiwán
Regiones del Reino Unido
Regiones de EE.UU.
Regiones de EE.UU. y compatibilidad
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
T-Systems Sovereign Cloud (Sovereign Controls by Partners)

Incumplimientos de recursos supervisados

Assured Workloads supervisa los diferentes incumplimientos de recursos, según el paquete de control aplicado a tu carpeta de Assured Workloads. Para ver qué tipos de recursos se supervisan, consulta Tipos de recursos admitidos en la documentación de Cloud Asset Inventory. Usa la siguiente lista para filtrar los incumplimientos según el paquete de control afectado:

Restricción de las políticas de la organización Descripción Paquetes de control afectados
Ubicación de recursos que no cumplen con las normas

Ocurre cuando la ubicación de un recurso se encuentra en una región que no cumple con las políticas.

Este incumplimiento se produce debido a la restricción gcp.resourceLocations .
Regiones de Australia con Asistencia garantizada
Canada Protected B
Regiones de Canadá y compatibilidad
Sistemas de información de la justicia criminal (CJIS)
Regiones de la UE y compatibilidad
Controles soberanos para la UE
FedRAMP Moderate
FedRAMP High
Controles de salud y ciencias biológicas
Controles de salud y ciencias biológicas con asistencia de EE.UU.
Nivel de impacto 4 (IL4)
Nivel de impacto 5 (IL5)
Regiones y asistencia en Israel
Reglamento Internacional de Tráfico de Armas (ITAR)
Regiones de Japón
Regiones de EE.UU. y compatibilidad
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (Controles soberanos operados por socios)
Recursos que no cumplen con las políticas en la carpeta

Ocurre cuando se crea un recurso para un servicio no compatible en la carpeta de Assured Workloads.

Este incumplimiento se produce debido a la restricción gcp.restrictServiceUsage .
Sistemas de información de la justicia criminal (CJIS)
FedRAMP Moderate
FedRAMP High
Controles de salud y ciencias biológicas
Controles de salud y ciencias biológicas con asistencia de EE.UU.
Nivel de impacto 2 (IL2)
Nivel de impacto 4 (IL4)
Nivel de impacto 5 (IL5)
Reglamento Internacional de Tráfico de Armas (ITAR)
Regiones de Australia
Regiones de Australia con Asistencia garantizada
Regiones de Brasil
Regiones de Canadá
Regiones de Canadá y compatibilidad
Canada Protected B
Regiones de Chile
Regiones de la UE
Regiones de la UE y compatibilidad
Controles soberanos para la UE
Regiones de Hong Kong
Regiones de India
Regiones de Indonesia
Regiones de Israel
Regiones y asistencia en Israel
Regiones de Japón
Regiones de Catar
Regiones de Singapur
Regiones de Sudáfrica
Regiones de Suiza
Regiones de Taiwán
Regiones del Reino Unido
Regiones de EE.UU.
Regiones de EE.UU. y compatibilidad
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
T-Systems Sovereign Cloud (Sovereign Controls by Partners)
Recursos sin encriptar (no CMEK)

Ocurre cuando se crea un recurso sin encriptación de CMEK para un servicio que requiere encriptación de CMEK.

Este incumplimiento se produce debido a la restricción gcp.restrictNonCmekServices .
Sistemas de información de la justicia criminal (CJIS)
Controles soberanos para la UE
Nivel de impacto 5 (IL5)
Reglamento Internacional de Tráfico de Armas (ITAR)
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
T-Systems Sovereign Cloud (Sovereign Controls by Partners)

¿Qué sigue?