Surveiller un dossier Assured Workloads pour détecter les violations
Assured Workloads surveille activement vos dossiers Assured Workloads pour détecter les cas de non-respect en comparant les exigences du package de contrôle d'un dossier avec les informations suivantes:
- Règle d'administration: chaque dossier Assured Workloads est configuré avec des paramètres de contrainte de règle d'administration spécifiques qui aident à garantir la conformité. Lorsque ces paramètres sont modifiés de manière non conforme, une infraction est détectée. Pour en savoir plus, consultez la section Non-respect des règles d'administration surveillé.
- Ressources: selon les paramètres de règle d'administration de votre dossier Assured Workloads, les ressources sous le dossier peuvent être limitées, par exemple en termes de type et d'emplacement. Pour en savoir plus, consultez la section Non-respect des ressources surveillées. Si des ressources ne sont pas conformes, un cas de non-respect se produit.
En cas de non-respect des règles, vous pouvez les résoudre ou créer des exceptions pour eux, le cas échéant. Une violation des règles peut avoir l'un des trois états suivants :
- Non résolu:l'infraction n'a pas été résolue ou une exception a été accordée précédemment avant que des modifications non conformes ne soient apportées au dossier ou à la ressource.
- Résolu : le problème a été résolu en suivant les étapes pour résoudre le problème.
- Exception : la violation a fait l'objet d'une exception et une justification de l'entreprise a été fournie.
La surveillance Assured Workloads est automatiquement activée lorsque vous créez un dossier Assured Workloads.
Avant de commencer
Rôles et autorisations IAM requis
Pour afficher les cas de non-respect des règles d'administration ou de non-conformité de ressources, vous devez disposer d'un rôle IAM sur le dossier Assured Workloads contenant les autorisations suivantes:
assuredworkloads.violations.getassuredworkloads.violations.list
Ces autorisations sont incluses dans les rôles IAM Assured Workloads suivants:
- Administrateur Assured Workloads (
roles/assuredworkloads.admin) - Éditeur Assured Workloads (
roles/assuredworkloads.editor) - Lecteur Assured Workloads (
roles/assuredworkloads.reader)
Pour activer la surveillance des cas de non-respect des ressources, vous devez disposer d'un rôle IAM sur le dossier "Assured Workloads" contenant les autorisations suivantes:
assuredworkloads.workload.update: cette autorisation est incluse dans les rôles prédéfinis suivants:- Administrateur Assured Workloads (
roles/assuredworkloads.admin) - Éditeur Assured Workloads (
roles/assuredworkloads.editor)
- Administrateur Assured Workloads (
resourcemanager.folders.setIamPolicy: cette autorisation est incluse dans les rôles administratifs, par exemple:- Administrateur de l'organisation (
roles/resourcemanager.organizationAdmin) - Administrateur de sécurité (
roles/iam.securityAdmin)
- Administrateur de l'organisation (
Pour fournir des exceptions pour les cas de non-conformité, vous devez disposer d'un rôle IAM sur le dossier Assured Workloads contenant l'autorisation suivante:
assuredworkloads.violations.update: cette autorisation est incluse dans les rôles prédéfinis suivants:- Administrateur Assured Workloads (
roles/assuredworkloads.admin) - Éditeur Assured Workloads (
roles/assuredworkloads.editor)
- Administrateur Assured Workloads (
De plus, pour résoudre les cas de non-respect des règles d'administration et pour afficher les journaux d'audit, les rôles IAM suivants doivent être accordés:
- Administrateur des règles d'administration (
roles/orgpolicy.policyAdmin) - Visionneuse de journaux (
roles/logging.viewer)
Configurer les notifications par e-mail pour violation des règles
Lorsqu'une violation de conformité se produit ou est résolue ou qu'une exception est générée, les membres de la catégorie Mentions légales dans les Contacts essentiels reçoivent un e-mail par défaut. Ce comportement est nécessaire, car votre équipe juridique doit être tenue au courant de tout problème de conformité réglementaire.
L'équipe qui gère les cas de non-respect, qu'il s'agisse d'une équipe de sécurité ou autre, doit également être ajoutée à la catégorie "Législation" en tant que contact. Cela garantit qu'elles reçoivent des notifications par e-mail à mesure que des modifications sont apportées.
Activer ou désactiver les notifications
Pour activer ou désactiver les notifications pour un dossier Assured Workloads spécifique:
Accédez à la page Charges de travail assurées dans la console Google Cloud :
Dans la colonne Nom, cliquez sur le nom du dossier "Assured Workloads" dont vous souhaitez modifier les paramètres de notification.
Dans la fiche Surveillance Assured Workloads, décochez la case Activer les notifications pour désactiver les notifications ou cochez-la pour activer les notifications pour le dossier.
Sur la page Dossiers Assured Workloads, les dossiers dont les notifications sont désactivées affichent Notifications par e-mail de surveillance désactivées.
Afficher les cas de violation des règles dans votre organisation
Vous pouvez afficher les violations dans votre organisation à la fois dans la consoleGoogle Cloud et dans gcloud CLI.
Console
Vous pouvez consulter le nombre de cas de non-respect dans votre organisation sur la page Assured Workloads (Charges de travail assurées) dans la section Compliance (Conformité) de la consoleGoogle Cloud ou sur la page Monitoring (Surveillance) dans la section Compliance (Conformité).
Page "Assured Workloads" (Charges de travail Assured)
Accédez à la page Assured Workloads pour afficher les cas de non-respect en un coup d'œil:
En haut de la page, un récapitulatif des cas de non-respect des règles d'administration et des ressources est affiché. Cliquez sur le lien Afficher pour accéder à la page Surveillance.
Pour chaque dossier Assured Workloads de la liste, les cas de non-respect sont affichés dans les colonnes Non-respect des règles d'administration et Non-respect des ressources. L'icône est active pour les cas de non-respect non résolus, et l'icône pour les exceptions. Vous pouvez sélectionner un cas de non-conformité ou une exception pour afficher plus de détails.
Si la surveillance des cas de non-conformité des ressources n'est pas activée pour un dossier, l'icône est active dans la colonne Mises à jour, avec un lien Activer la surveillance des cas de non-conformité des ressources. Cliquez sur le lien pour activer la fonctionnalité. Vous pouvez également l'activer en cliquant sur le bouton Activer sur la page d'informations du dossier "Assured Workloads".
Page de surveillance
Accédez à la page Surveillance pour afficher les cas de non-respect plus en détail:
Deux onglets s'affichent: Non-respect des règles d'administration et Non-respect des règles concernant les ressources. Si plusieurs cas de non-respect non résolus existent, l'icône est active dans l'onglet.
Dans les deux onglets, les cas de non-respect non résolus s'affichent par défaut. Pour en savoir plus, consultez la section Afficher les détails du non-respect ci-dessous.
CLI gcloud
Pour répertorier les violations de conformité actuels dans votre organisation, exécutez la commande suivante :
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
Où :
LOCATION correspond à l'emplacement du dossier Assured Workloads.
ORGANIZATION_ID est l'ID d'organisation à interroger.
WORKLOAD_ID est l'ID de la charge de travail parente, que vous pouvez trouver en listant vos charges de travail.
La réponse inclut les informations suivantes pour chaque cas de violation :
- Lien vers le journal d'audit de la non-conformité.
- Première fois que le non-respect s'est produit.
- Le type de violation.
- Une description de l'infraction présumée
- Nom de la non-conformité, qui permet d'obtenir plus d'informations.
- La règle d'administration concernée et la contrainte de règle d'administration associée.
- État actuel de l'infraction. Les valeurs valides sont non résolu, résolu ou exception.
Pour en savoir plus sur les options facultatives, consultez la documentation du SDK Cloud.
Voir les détails des infractions
Pour afficher les violations de conformité spécifiques et leurs détails, procédez comme suit :
Console
Dans la console Google Cloud , accédez à la page Surveillance.
Sur la page Surveillance, l'onglet Non-respect des règles d'administration est sélectionné par défaut. Cet onglet affiche toutes les infractions non résolues aux règles d'administration de l'organisation dans les dossiers Assured Workloads de l'organisation.
L'onglet Non-conformités de ressources affiche toutes les non-conformités non résolues associées à la ressource dans tous les dossiers Assured Workloads de l'organisation.
Pour l'un ou l'autre des onglets, utilisez les options de filtres rapides pour filtrer par état de non-respect, type de non-respect, type de package de contrôle, dossiers spécifiques, contraintes spécifiques des règles de l'organisation ou types de ressources spécifiques.
Dans les deux onglets, si des cas de non-respect existent, cliquez sur un ID de non-respect pour afficher des informations plus détaillées.
Sur la page Détails des violations, vous pouvez effectuer les tâches suivantes :
Copiez l'ID de violation des règles.
Affichez le dossier Assured Workloads dans lequel l'infraction s'est produite et l'heure à laquelle elle s'est produite pour la première fois.
Consultez le journal d'audit, qui inclut :
Le moment auquel la violation s'est produite.
La règle qui a été modifiée pour entraîner le non-respect et l'utilisateur qui a effectué cette modification.
Si une exception a été accordée, l'utilisateur qui l'a accordée.
Le cas échéant, affichez la ressource spécifique sur laquelle la violation s'est produite.
Afficher la règle d'administration concernée.
Afficher et ajouter des exceptions de non-respect des règles Une liste des exceptions précédentes pour le dossier ou la ressource s'affiche, y compris l'utilisateur qui a accordé l'exception et la justification fournie par l'utilisateur.
- Suivez la procédure de résolution pour résoudre l'exception.
En cas de non-respect des règles d'administration de l'organisation, les informations suivantes peuvent également s'afficher:
- Règle d'administration concernée: pour afficher la règle spécifique associée au non-respect des règles, cliquez sur Afficher la règle.
- Cas de non-conformité des ressources enfants: les cas de non-respect des règles d'administration basés sur les ressources peuvent entraîner des cas de non-conformité des ressources enfants. Pour afficher ou résoudre les cas de non-respect des ressources enfants, cliquez sur l'ID de non-respect.
En cas de non-respect des règles concernant les ressources, les informations suivantes peuvent également s'afficher:
- Non-respect des règles d'administration de l'organisation parente: lorsque le non-respect des règles d'administration de l'organisation parente est à l'origine d'un cas de non-respect des ressources enfants, il doit être résolu au niveau de l'organisation parente. Pour afficher les détails de la violation parente, cliquez sur Afficher la violation.
- Toutes les autres non-conformités liées à la ressource spécifique à l'origine de la non-conformité sont également visibles.
CLI gcloud
Pour afficher les détails d'une violation de conformité, exécutez la commande suivante :
gcloud assured workloads violations describe VIOLATION_PATH
Où VIOLATION_PATH est au format suivant :
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Le VIOLATION_PATH est renvoyé dans le champ name de la réponse list pour chaque violation.
La réponse inclut les informations suivantes :
Lien vers le journal d'audit de la non-conformité.
Première fois que le non-respect s'est produit.
Le type de violation.
Une description de l'infraction présumée.
La règle d'administration concernée et la contrainte de règle d'administration associée.
Procédure de résolution pour résoudre la violation.
État actuel de l'infraction. Les valeurs valides sont
unresolved,resolvedouexception.
Pour en savoir plus sur les options facultatives, consultez la documentation du SDK Cloud.
Résoudre les cas de violation
Pour résoudre un problème de violation, procédez comme suit :
Console
Dans la console Google Cloud , accédez à la page Surveillance.
Cliquez sur l'ID de violation pour afficher des informations plus détaillées.
Dans la section Solution, suivez les instructions de la console ou de la CLIGoogle Cloud pour résoudre le problème.
CLI gcloud
Affichez les détails de l'infraction à l'aide de la gcloud CLI.
Suivez les étapes de résolution dans la réponse pour résoudre la violation.
Ajouter des exceptions de violation
Il peut arriver qu'un cas de non-respect soit justifié dans une situation particulière. Pour ajouter une ou plusieurs exceptions pour une infraction, procédez comme suit :
Console
Dans la console Google Cloud , accédez à la page Surveillance.
Dans la colonne ID de non-respect, cliquez sur la non-conformité à laquelle vous souhaitez ajouter l'exception.
Dans la section Exceptions, cliquez sur Ajouter.
Saisissez une justification professionnelle pour l'exception. Si vous souhaitez que l'exception s'applique à toutes les ressources enfants, cochez la case Appliquer à tous les cas de non-conformité des ressources enfants, puis cliquez sur Envoyer.
Vous pouvez ajouter d'autres exceptions si nécessaire en répétant ces étapes et en cliquant sur Ajouter.
L'état de violation est désormais Exception.
CLI gcloud
Pour ajouter une exception pour une violation, exécutez la commande suivante :
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
Où BUSINESS_JUSTIFICATION correspond à la raison de l'exception et VIOLATION_PATH est au format suivant :
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
Le VIOLATION_PATH est renvoyé dans le champ name de la réponse list pour chaque violation.
Une fois la commande envoyée, l'état de violation est défini sur Exception.
Non-respect des règles d'administration de l'organisation surveillé
Assured Workloads surveille différentes violations des contraintes des règles d'administration, en fonction du package de contrôle appliqué à votre dossier Assured Workloads. Utilisez la liste suivante pour filtrer les cas de non-respect en fonction du package de contrôle concerné.
| Contrainte liée aux règles d'administration | Type de violation | Description | Packages de contrôle concernés | ||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Accès non conforme aux données Cloud SQL | Accès |
Se produit lorsqu'un accès non conforme à des données de diagnostic Cloud SQL non conformes est autorisé. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte
|
|
||||||||||||||||||||||||||||||||||||||
| Accès non conforme aux données Compute Engine | Accès |
Se produit lorsqu'un accès non conforme aux données de l'instance Compute Engine est autorisé. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Types d'authentification Cloud Storage non conformes | Accès |
Se produit lorsque des types d'authentification non conformes sont autorisés à être utilisés avec Cloud Storage. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Accès non conforme aux buckets Cloud Storage | Accès |
Se produit lorsque un accès non uniforme non conforme au niveau du bucket à Cloud Storage est autorisé. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Accès non conforme aux données GKE | Accès |
Se produit lorsqu'un accès non conforme aux données de diagnostic GKE est autorisé. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Fonctionnalités de diagnostic Compute Engine non conformes | Configuration |
Se produit lorsque des fonctionnalités de diagnostic Compute Engine non conformes ont été activées. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Paramètre d'équilibrage de charge global Compute Engine non conforme | Configuration |
Se produit lorsqu'une valeur non conforme a été définie pour le paramètre d'équilibrage de charge global dans Compute Engine. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Paramètre FIPS Compute Engine non conforme | Configuration |
Se produit lorsqu'une valeur non conforme a été définie pour le paramètre FIPS dans Compute Engine. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Paramètre SSL Compute Engine non conforme | Configuration |
Se produit lorsqu'une valeur non conforme a été définie pour les certificats autogérés globaux. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Paramètre SSH de Compute Engine non conforme dans les paramètres du navigateur | Configuration |
Se produit lorsqu'une valeur non conforme a été définie pour la fonctionnalité SSH dans le navigateur dans Compute Engine. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Création de ressources Cloud SQL non conformes | Configuration |
Se produit lorsque la création de ressources Cloud SQL non conformes est autorisée. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Restriction de clé Cloud KMS manquante | Chiffrement |
Se produit lorsqu'aucun projet n'est spécifié pour fournir des clés de chiffrement pour les clés CMEK . Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Service non CMEK non conforme | Chiffrement |
Se produit lorsqu'un service non compatible avec le CMEK est activé pour la charge de travail. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Niveaux de protection Cloud KMS non conformes | Chiffrement |
Se produit lorsque des niveaux de protection non conformes sont spécifiés pour être utilisés avec Cloud Key Management Service (Cloud KMS). Pour en savoir plus, consultez la documentation de référence de Cloud KMS . Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
||||||||||||||||||||||||||||||||||||||
| Emplacements de ressources non conformes | Emplacement de la ressource |
Se produit lorsque les ressources des services compatibles d'un package de contrôle Assured Workloads donné sont créées en dehors de la région autorisée pour la charge de travail ou déplacées d'un emplacement autorisé vers un emplacement non autorisé.
Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte
|
|
||||||||||||||||||||||||||||||||||||||
| Services non conformes | Utilisation du service |
Se produit lorsqu'un utilisateur active un service non compatible avec un package de contrôle Assured Workloads donné dans un dossier Assured Workloads. Cette violation est due à la modification de la valeur compliant du package de contrôle pour la contrainte |
|
Cas de non-conformité des ressources surveillées
Assured Workloads surveille différents cas de non-respect des ressources, en fonction du package de contrôle appliqué à votre dossier Assured Workloads. Pour connaître les types de ressources surveillés, consultez la section Types de ressources compatibles dans la documentation inventaire des éléments cloud. Utilisez la liste suivante pour filtrer les cas de non-respect en fonction du package de contrôle concerné:
| Contrainte liée aux règles d'administration | Description | Packages de contrôle concernés | |||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Emplacement de la ressource non conforme |
Se produit lorsque l'emplacement d'une ressource se trouve dans une région non conforme. Cette violation est due à la contrainte
|
|
|||||||||||||||||||||||||||||||||||||
| Ressources non conformes dans un dossier |
Se produit lorsqu'une ressource pour un service non compatible est créée dans le dossier Assured Workloads. Cette violation est due à la contrainte
|
|
|||||||||||||||||||||||||||||||||||||
| Ressources non chiffrées (non CMEK) |
Se produit lorsqu'une ressource est créée sans chiffrement CMEK pour un service qui nécessite le chiffrement CMEK. Cette violation est due à la contrainte
|
|
Étape suivante
- Comprendre les packages de contrôle pour Assured Workloads.
- Découvrez les produits compatibles pour chaque package de contrôle.