Assured Workloads フォルダで違反をモニタリングする
Assured Workloads は、フォルダのコントロール パッケージの要件を次の詳細と比較することで、Assured Workloads フォルダのコンプライアンス違反を積極的にモニタリングします。
- 組織のポリシー: 各 Assured Workloads フォルダは、コンプライアンスを確保するために、特定の組織のポリシーの制約設定で構成されています。これらの設定が非準拠の方法で変更されると、違反が発生します。詳細については、モニタリング対象の組織のポリシー違反をご覧ください。
- リソース: Assured Workloads フォルダの組織のポリシー設定によっては、フォルダ内のリソース(タイプやロケーションなど)が制限される場合があります。詳細については、モニタリング対象リソース違反のセクションをご覧ください。いずれかのリソースがポリシーに準拠していない場合、違反が発生します。
違反が発生した場合は、違反を解決するか、必要に応じて例外を作成できます。違反のステータスは次の 3 つのうちのいずれかになります。
- 未解決: 違反に対処されていないか、フォルダまたはリソースに準拠しない変更が加えられた前に例外が付与されている。
- 解決済み:問題を解決するための手順により、違反に対処されています。
- 例外: 違反が例外として認められ、ビジネス上の正当な理由が提供されています。
Assured Workloads フォルダを作成すると、Assured Workloads のモニタリングが自動的に有効になります。
準備
必要な IAM ロールと権限
組織のポリシー違反またはリソース違反を表示するには、次の権限を含む Assured Workloads フォルダに対する IAM ロールが付与されている必要があります。
assuredworkloads.violations.get
assuredworkloads.violations.list
これらの権限は、次の Assured Workloads IAM ロールに含まれています。
- Assured Workloads 管理者(
roles/assuredworkloads.admin
) - Assured Workloads 編集者(
roles/assuredworkloads.editor
) - Assured Workloads 閲覧者(
roles/assuredworkloads.reader
)
リソース違反モニタリングを有効にするには、次の権限を含む Assured Workloads フォルダに対する IAM ロールが付与されている必要があります。
assuredworkloads.workload.update
: この権限は、次のロールに含まれています。- Assured Workloads 管理者(
roles/assuredworkloads.admin
) - Assured Workloads 編集者(
roles/assuredworkloads.editor
)
- Assured Workloads 管理者(
resourcemanager.folders.setIamPolicy
: この権限は、次の管理ロールに含まれています。- 組織管理者(
roles/resourcemanager.organizationAdmin
) - セキュリティ管理者(
roles/iam.securityAdmin
)
- 組織管理者(
コンプライアンス違反の例外を提供するには、次の権限を含む Assured Workloads フォルダに対する IAM ロールが付与されている必要があります。
assuredworkloads.violations.update
: この権限は、次のロールに含まれています。- Assured Workloads 管理者(
roles/assuredworkloads.admin
) - Assured Workloads 編集者(
roles/assuredworkloads.editor
)
- Assured Workloads 管理者(
さらに、組織のポリシーの違反を解決して監査ログを表示するには、次の IAM ロールが付与されている必要があります。
- 組織のポリシー管理者(
roles/orgpolicy.policyAdmin
) - ログビューア(
roles/logging.viewer
)
違反に関するメール通知を設定します
コンプライアンス違反が発生した場合、解決された場合、または例外が発生した場合、デフォルトでは、重要な連絡先の [法務] カテゴリのメンバーにメールが送信されます。法務チームは規制コンプライアンスの問題を常に把握している必要があるため、この動作は必要です。
違反を管理するチーム(セキュリティ チームかそうでないかにかかわらず)は、法務カテゴリに連絡先として追加する必要があります。変更があったときにメール通知が届きます。
通知を有効または無効にする
特定の Assured Workloads フォルダの通知を有効または無効にするには:
Google Cloud コンソールの [Assured Workloads] ページに移動します。
[名前] 列で、通知設定を変更する Assured Workloads フォルダの名前をクリックします。
[Assured Workloads モニタリング] カードで [通知を有効にする] チェックボックスをオフにして通知を無効にするか、それを選択してフォルダの通知を有効にします。
[Assured Workloads フォルダ] のページで、通知が無効になっているフォルダには
[メール通知が無効] と表示されます。組織内の違反を表示します
組織全体での違反は、Google Cloud コンソールと gcloud CLI の両方で確認できます。
コンソール
組織全体で発生する違反の数は、Google Cloud コンソールの [コンプライアンス] セクションの [Assured Workloads] ページ、または [コンプライアンス] セクションの [モニタリング] ページで確認できます。
Assured Workloads ページ
[Assured Workloads] ページに移動して、違反を一目で確認します。
ページの上部に、組織のポリシー違反とリソース違反の概要が表示されます。[表示] リンクをクリックして、[モニタリング] ページに移動します。
リスト内の各 Assured Workloads フォルダについて、違反があれば [組織のポリシー違反] 列と [リソースの違反] 列に表示されます。未解決の違反には 詳細を確認できます。
アイコンがアクティブになり、例外には アイコンがアクティブになります。違反または例外を選択すると、フォルダでリソース違反のモニタリングが有効になっていない場合は、[更新] 列で [リソース違反モニタリングを有効にする] リンクのある
アイコンがアクティブになります。リンクをクリックして機能を有効にします。Assured Workloads フォルダの詳細ページで [有効にする] ボタンをクリックして有効にすることもできます。モニタリング ページ
[モニタリング] ページに移動して、違反の詳細を確認します。
[組織のポリシー違反] と [リソース違反] の 2 つのタブが表示されます。複数の未解決の違反が存在する場合、タブで
アイコンがアクティブになります。どちらのタブでも、デフォルトでは未解決の違反が表示されます。詳しくは、以下の違反の詳細を表示するをご覧ください。
gcloud CLI
組織の現在のコンプライアンス違反を一覧表示するには、次のコマンドを実行します。
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
ここで
LOCATION は、Assured Workloads フォルダのロケーションです。
ORGANIZATION_ID は、クエリする組織 ID です。
WORKLOAD_ID は親ワークロード ID です。ワークロードを一覧表示すると確認できます。
レスポンスには、違反ごとに次の情報が含まれます。
- 違反の監査ログへのリンク。
- 違反が初めて発生したとき。
- 違反のタイプ。
- 違反についての説明。
- 違反の名前。詳細情報を取得するために使用できます。
- 影響を受ける組織のポリシーと関連するポリシーの制約。
- 違反の現在の状態。有効な値は未解決、解決済み、または例外です。
省略可能なフラグについては、Cloud SDK のドキュメントをご覧ください。
違反の詳細を表示する
特定のコンプライアンス違反とそれらの詳細を表示するには、次の手順を行います。
コンソール
Google Cloud Console で、[Monitoring] ページに移動します。
[モニタリング] ページで、[組織のポリシー違反] タブがデフォルトで選択されています。このタブには、組織内の Assured Workloads フォルダ全体で未解決の組織のポリシー違反がすべて表示されます。
[リソース違反] タブには、組織内のすべての Assured Workloads フォルダ全体のリソースに関連付けられた未解決のすべての違反が表示されます。
どちらのタブでも、[クイック フィルタ] オプションを使用して、違反ステータス、違反タイプ、コントロール パッケージ タイプ、違反タイプ、特定のフォルダ、特定の組織ポリシー制約、または特定のリソースでフィルタできます。
どちらのタブでも、既存の違反がある場合は違反 ID をクリックすると、詳細情報が表示されます。
[違反の詳細] ページから、次のタスクを実行できます。
違反 ID をコピーします。
違反が発生した Assured Workloads フォルダと、最初に発生した時刻を確認します。
監査ログを確認します。次のものが含まれます。
違反が発生した日時。
違反の原因となった変更ポリシーとその変更を行ったユーザー。
例外が付与された場合、それを付与したユーザー。
該当する場合は、違反が発生した特定のリソースを表示します。
影響を受ける組織のポリシーを表示します。
コンプライアンス違反の例外を追加して確認します。フォルダまたはリソースに対する以前の例外のリストが表示されます。これには、例外を付与したユーザーと、ユーザーが指定した理由が含まれます。
- 修正手順に沿って例外を解決します。
組織のポリシー違反では、次の情報も確認できます。
- 影響を受ける組織のポリシー: コンプライアンス違反に関連する特定のポリシーを表示するには、[ポリシーを表示] をクリックします。
- 子リソース違反: リソースベースの組織のポリシー違反は、子リソース違反を引き起こす可能性があります。子リソースの違反を表示または解決するには、違反 ID をクリックします。
リソース違反では、次の情報も確認できます。
- 親組織のポリシー違反: 親組織のポリシー違反が子リソース違反の原因である場合は、親レベルで対処する必要があります。親の違反の詳細を表示するには、[違反を表示] をクリックします。
- リソース違反を引き起こしている特定のリソースの他の違反も表示されます。
gcloud CLI
コンプライアンス違反の詳細を表示するには、次のコマンドを実行します。
gcloud assured workloads violations describe VIOLATION_PATH
ここで、VIOLATION_PATH は次の形式です。
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
VIOLATION_PATH は、違反ごとにリスト レスポンスの name
フィールドで返されます。
レスポンスには次の情報が含まれます。
違反の監査ログへのリンク。
違反が初めて発生したとき。
違反のタイプ。
違反についての説明。
影響を受ける組織のポリシーと関連するポリシーの制約。
違反を解決するための修正手順。
違反の現在の状態。有効な値は
unresolved
、resolved
、exception
です。
省略可能なフラグについては、Cloud SDK のドキュメントをご覧ください。
違反を解決する
違反を修復するには、次の手順を行います。
コンソール
Google Cloud Console で、[Monitoring] ページに移動します。
違反 ID をクリックすると、詳細情報が表示されます。
[修復] セクションでGoogle Cloud コンソールまたは CLI の指示に従って問題を解決します。
gcloud CLI
回答に記載されている修正手順に沿って違反を解決します。
違反の例外を追加する
違反は、特定の状況で有効である場合があります。次の手順で、違反の例外を 1 つ以上追加できます。
コンソール
Google Cloud Console で、[Monitoring] ページに移動します。
[違反 ID] 列で、例外を追加する違反をクリックします。
[例外] セクションで [新しく追加] をクリックします。
例外に対するビジネス上の正当な理由を入力します。すべての子リソースに例外を適用する場合は、[既存のすべての子リソース違反に適用する] チェックボックスをオンにして、[送信] をクリックします。
必要に応じて、これらの手順を繰り返して [新規を追加] をクリックして、例外を追加できます。
違反ステータスが [例外] に設定されます。
gcloud CLI
違反の例外を追加するには、次のコマンドを実行します。
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
ここで、BUSINESS_JUSTIFICATION は例外の理由で、VIOLATION_PATH は次の形式です。
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
VIOLATION_PATH は、違反ごとにリスト レスポンスの name
フィールドで返されます。
コマンドが正常に送信されると、違反ステータスは [例外] に設定されます。
モニタリング対象の組織ポリシー違反
Assured Workloads は、Assured Workloads フォルダに適用されているコントロール パッケージに応じて、さまざまな組織のポリシーの制約違反をモニタリングします。以下のリストを使用して、影響を受ける管理パッケージによって違反をフィルタします。
組織のポリシーの制約 | 違反のタイプ | 説明 | 影響を受けるコントロール パッケージ | ||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Cloud SQL データへの非準拠アクセス | アクセス |
非準拠の Cloud SQL 診断データへの非準拠アクセスが許可されている場合に発生します。 この違反は、コントロール パッケージの |
|
||||||||||||||||||||||||||||||||||||||
Compute Engine データへの非準拠アクセス | アクセス |
Compute Engine インスタンスデータへの非準拠のアクセスが許可されている場合に発生します。 この違反は、コントロール パッケージの |
|
||||||||||||||||||||||||||||||||||||||
準拠していない Cloud Storage 認証タイプ | アクセス |
準拠していない認証タイプの Cloud Storage での使用が許可されている場合に発生します。 この違反は、コントロール パッケージの |
|
||||||||||||||||||||||||||||||||||||||
Cloud Storage バケットへの非準拠のアクセス | アクセス |
Cloud Storage への非準拠の不均一なバケットレベルのアクセスが許可されている場合に発生します。 この違反は、コントロール パッケージの |
|
||||||||||||||||||||||||||||||||||||||
GKE データへの非準拠アクセス | アクセス |
GKE 診断データへの非準拠アクセスが許可されている場合に発生します。 この違反は、コントロール パッケージの |
|
||||||||||||||||||||||||||||||||||||||
非準拠の Compute Engine の診断機能 | 構成 |
非準拠の Compute Engine の診断機能が有効になっている場合に発生します。 この違反は、コントロール パッケージの |
|
||||||||||||||||||||||||||||||||||||||
準拠していない Compute Engine グローバル ロード バランシング設定 | 構成 |
Compute Engine のグローバル ロード バランシング設定に非準拠の値が設定されている場合に発生します。 この違反は、コントロール パッケージの |
|
||||||||||||||||||||||||||||||||||||||
非準拠の Compute Engine FIPS 設定 | 構成 |
Compute Engine の FIPS 設定に非準拠の値が設定されている場合に発生します。 この違反は、コントロール パッケージの |
|
||||||||||||||||||||||||||||||||||||||
非準拠の Compute Engine SSL 設定 | 構成 |
グローバル セルフマネージド証明書に非準拠の値が設定されている場合に発生します。 この違反は、コントロール パッケージの |
|
||||||||||||||||||||||||||||||||||||||
ブラウザ設定での非準拠の Compute Engine SSH | 構成 |
Compute Engine のブラウザ機能内の SSH に非準拠の値が設定されている場合に発生します。 この違反は、コントロール パッケージの |
|
||||||||||||||||||||||||||||||||||||||
準拠していない Cloud SQL リソースの作成 | 構成 |
準拠していない Cloud SQL リソースの作成が許可されている場合に発生します。 この違反は、コントロール パッケージの |
|
||||||||||||||||||||||||||||||||||||||
Cloud KMS 鍵の制限がない | 暗号化 |
CMEK に暗号鍵を提供するためのプロジェクトが指定されていない場合に発生します。 この違反は、コントロール パッケージの |
|
||||||||||||||||||||||||||||||||||||||
非準拠の CMEK が有効になっていないサービス | 暗号化 |
CMEK をサポートしていないサービスがワークロードで有効になっている場合に発生します。 この違反は、コントロール パッケージの |
|
||||||||||||||||||||||||||||||||||||||
準拠していない Cloud KMS 保護レベル | 暗号化 |
Cloud Key Management Service(Cloud KMS)での使用に準拠していない保護レベルが指定されている場合に発生します。詳細については、Cloud KMS のリファレンスをご覧ください。 この違反は、コントロール パッケージの |
|
||||||||||||||||||||||||||||||||||||||
ポリシーに準拠していないリソースの場所 | リソース ロケーション |
特定の Assured Workloads コントロール パッケージ用にサポートされているサービスのリソースが、ワークロードの許可されたリージョン外で作成されたか、許可されているロケーションから許可されていないロケーションに移動された場合に発生します。
この違反は、コントロール パッケージの |
|
||||||||||||||||||||||||||||||||||||||
ポリシーに準拠していないサービス | サービスの使用状況 |
ユーザーが、Assured Workloads フォルダ内の特定の Assured Workloads コントロール パッケージでサポートされていないサービスを有効にした場合に発生します。 この違反は、コントロール パッケージの |
|
モニタリング対象リソースの違反
Assured Workloads は、Assured Workloads フォルダに適用されるコントロール パッケージに応じて、さまざまなリソース違反をモニタリングします。モニタリング対象のリソースタイプを確認するには、Cloud Asset Inventory ドキュメントのサポートされているリソースタイプをご覧ください。次のリストを使用して、影響を受ける管理パッケージによって違反をフィルタします。
組織のポリシーの制約 | 説明 | 影響を受けるコントロール パッケージ | |||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
ポリシーに準拠していないリソースのロケーション |
リソースのロケーションがポリシーに準拠していないリージョンにある場合に発生します。 この違反は、 |
|
|||||||||||||||||||||||||||||||||||||
フォルダ内の非準拠リソース |
サポートされていないサービスのリソースが Assured Workloads フォルダに作成された場合に発生します。 この違反は、 |
|
|||||||||||||||||||||||||||||||||||||
暗号化されていない(CMEK 以外の)リソース |
CMEK 暗号化を必要とするサービスに対して、CMEK 暗号化なしでリソースが作成された場合に発生します。 この違反は、 |
|
次のステップ
- Assured Workloads のコントロール パッケージについて理解する。
- 各コントロール パッケージでサポートされているプロダクトを確認する。