Assured Workloads フォルダで違反をモニタリングする

Assured Workloads は、フォルダのコントロール パッケージの要件を次の詳細と比較することで、Assured Workloads フォルダのコンプライアンス違反を積極的にモニタリングします。

  • 組織のポリシー: 各 Assured Workloads フォルダは、コンプライアンスを確保するために、特定の組織のポリシーの制約設定で構成されています。これらの設定が非準拠の方法で変更されると、違反が発生します。詳細については、モニタリング対象の組織のポリシー違反をご覧ください。
  • リソース: Assured Workloads フォルダの組織のポリシー設定によっては、フォルダ内のリソース(タイプやロケーションなど)が制限される場合があります。詳細については、モニタリング対象リソース違反のセクションをご覧ください。いずれかのリソースがポリシーに準拠していない場合、違反が発生します。

違反が発生した場合は、違反を解決するか、必要に応じて例外を作成できます。違反のステータスは次の 3 つのうちのいずれかになります。

  • 未解決: 違反に対処されていないか、フォルダまたはリソースに準拠しない変更が加えられた前に例外が付与されている。
  • 解決済み:問題を解決するための手順により、違反に対処されています。
  • 例外: 違反が例外として認められ、ビジネス上の正当な理由が提供されています。

Assured Workloads フォルダを作成すると、Assured Workloads のモニタリングが自動的に有効になります。

準備

必要な IAM ロールと権限

組織のポリシー違反またはリソース違反を表示するには、次の権限を含む Assured Workloads フォルダに対する IAM ロールが付与されている必要があります。

  • assuredworkloads.violations.get
  • assuredworkloads.violations.list

これらの権限は、次の Assured Workloads IAM ロールに含まれています。

  • Assured Workloads 管理者roles/assuredworkloads.admin
  • Assured Workloads 編集者roles/assuredworkloads.editor
  • Assured Workloads 閲覧者roles/assuredworkloads.reader

リソース違反モニタリングを有効にするには、次の権限を含む Assured Workloads フォルダに対する IAM ロールが付与されている必要があります。

  • assuredworkloads.workload.update: この権限は、次のロールに含まれています。

    • Assured Workloads 管理者roles/assuredworkloads.admin
    • Assured Workloads 編集者roles/assuredworkloads.editor
  • resourcemanager.folders.setIamPolicy: この権限は、次の管理ロールに含まれています。

    • 組織管理者roles/resourcemanager.organizationAdmin
    • セキュリティ管理者roles/iam.securityAdmin

コンプライアンス違反の例外を提供するには、次の権限を含む Assured Workloads フォルダに対する IAM ロールが付与されている必要があります。

  • assuredworkloads.violations.update: この権限は、次のロールに含まれています。

    • Assured Workloads 管理者roles/assuredworkloads.admin
    • Assured Workloads 編集者roles/assuredworkloads.editor

さらに、組織のポリシーの違反を解決して監査ログを表示するには、次の IAM ロールが付与されている必要があります。

  • 組織のポリシー管理者roles/orgpolicy.policyAdmin
  • ログビューアroles/logging.viewer

違反に関するメール通知を設定します

コンプライアンス違反が発生した場合、解決された場合、または例外が発生した場合、デフォルトでは、重要な連絡先の [法務] カテゴリのメンバーにメールが送信されます。法務チームは規制コンプライアンスの問題を常に把握している必要があるため、この動作は必要です。

違反を管理するチーム(セキュリティ チームかそうでないかにかかわらず)は、法務カテゴリに連絡先として追加する必要があります。変更があったときにメール通知が届きます。

通知を有効または無効にする

特定の Assured Workloads フォルダの通知を有効または無効にするには:

  1. Google Cloud コンソールの [Assured Workloads] ページに移動します。

    Assured Workloads に移動

  2. [名前] 列で、通知設定を変更する Assured Workloads フォルダの名前をクリックします。

  3. [Assured Workloads モニタリング] カードで [通知を有効にする] チェックボックスをオフにして通知を無効にするか、それを選択してフォルダの通知を有効にします。

[Assured Workloads フォルダ] のページで、通知が無効になっているフォルダには [メール通知が無効] と表示されます。

組織内の違反を表示します

組織全体での違反は、Google Cloud コンソールと gcloud CLI の両方で確認できます。

コンソール

組織全体で発生する違反の数は、Google Cloud コンソールの [コンプライアンス] セクションの [Assured Workloads] ページ、または [コンプライアンス] セクションの [モニタリング] ページで確認できます。

Assured Workloads ページ

[Assured Workloads] ページに移動して、違反を一目で確認します。

Assured Workloads に移動

ページの上部に、組織のポリシー違反とリソース違反の概要が表示されます。[表示] リンクをクリックして、[モニタリング] ページに移動します。

リスト内の各 Assured Workloads フォルダについて、違反があれば [組織のポリシー違反] 列と [リソースの違反] 列に表示されます。未解決の違反には アイコンがアクティブになり、例外には アイコンがアクティブになります。違反または例外を選択すると、詳細を確認できます。

フォルダでリソース違反のモニタリングが有効になっていない場合は、[更新] 列で [リソース違反モニタリングを有効にする] リンクのある アイコンがアクティブになります。リンクをクリックして機能を有効にします。Assured Workloads フォルダの詳細ページで [有効にする] ボタンをクリックして有効にすることもできます。

モニタリング ページ

[モニタリング] ページに移動して、違反の詳細を確認します。

[モニタリング] に移動

[組織のポリシー違反] と [リソース違反] の 2 つのタブが表示されます。複数の未解決の違反が存在する場合、タブで アイコンがアクティブになります。

どちらのタブでも、デフォルトでは未解決の違反が表示されます。詳しくは、以下の違反の詳細を表示するをご覧ください。

gcloud CLI

組織の現在のコンプライアンス違反を一覧表示するには、次のコマンドを実行します。

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

ここで

レスポンスには、違反ごとに次の情報が含まれます。

  • 違反の監査ログへのリンク。
  • 違反が初めて発生したとき。
  • 違反のタイプ。
  • 違反についての説明。
  • 違反の名前。詳細情報を取得するために使用できます。
  • 影響を受ける組織のポリシーと関連するポリシーの制約。
  • 違反の現在の状態。有効な値は未解決、解決済み、または例外です。

省略可能なフラグについては、Cloud SDK のドキュメントをご覧ください。

違反の詳細を表示する

特定のコンプライアンス違反とそれらの詳細を表示するには、次の手順を行います。

コンソール

  1. Google Cloud Console で、[Monitoring] ページに移動します。

    [モニタリング] に移動

    [モニタリング] ページで、[組織のポリシー違反] タブがデフォルトで選択されています。このタブには、組織内の Assured Workloads フォルダ全体で未解決の組織のポリシー違反がすべて表示されます。

    [リソース違反] タブには、組織内のすべての Assured Workloads フォルダ全体のリソースに関連付けられた未解決のすべての違反が表示されます。

  2. どちらのタブでも、[クイック フィルタ] オプションを使用して、違反ステータス、違反タイプ、コントロール パッケージ タイプ、違反タイプ、特定のフォルダ、特定の組織ポリシー制約、または特定のリソースでフィルタできます。

  3. どちらのタブでも、既存の違反がある場合は違反 ID をクリックすると、詳細情報が表示されます。

[違反の詳細] ページから、次のタスクを実行できます。

  • 違反 ID をコピーします。

  • 違反が発生した Assured Workloads フォルダと、最初に発生した時刻を確認します。

  • 監査ログを確認します。次のものが含まれます。

    • 違反が発生した日時。

    • 違反の原因となった変更ポリシーとその変更を行ったユーザー。

    • 例外が付与された場合、それを付与したユーザー。

    • 該当する場合は、違反が発生した特定のリソースを表示します。

  • 影響を受ける組織のポリシーを表示します。

  • コンプライアンス違反の例外を追加して確認します。フォルダまたはリソースに対する以前の例外のリストが表示されます。これには、例外を付与したユーザーと、ユーザーが指定した理由が含まれます。

  • 修正手順に沿って例外を解決します。

組織のポリシー違反では、次の情報も確認できます。

  • 影響を受ける組織のポリシー: コンプライアンス違反に関連する特定のポリシーを表示するには、[ポリシーを表示] をクリックします。
  • 子リソース違反: リソースベースの組織のポリシー違反は、子リソース違反を引き起こす可能性があります。子リソースの違反を表示または解決するには、違反 ID をクリックします。

リソース違反では、次の情報も確認できます。

  • 親組織のポリシー違反: 親組織のポリシー違反が子リソース違反の原因である場合は、親レベルで対処する必要があります。親の違反の詳細を表示するには、[違反を表示] をクリックします。
  • リソース違反を引き起こしている特定のリソースの他の違反も表示されます。

gcloud CLI

コンプライアンス違反の詳細を表示するには、次のコマンドを実行します。

gcloud assured workloads violations describe VIOLATION_PATH

ここで、VIOLATION_PATH は次の形式です。

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

VIOLATION_PATH は、違反ごとにリスト レスポンスの name フィールドで返されます。

レスポンスには次の情報が含まれます。

  • 違反の監査ログへのリンク。

  • 違反が初めて発生したとき。

  • 違反のタイプ。

  • 違反についての説明。

  • 影響を受ける組織のポリシーと関連するポリシーの制約。

  • 違反を解決するための修正手順。

  • 違反の現在の状態。有効な値は unresolvedresolvedexception です。

省略可能なフラグについては、Cloud SDK のドキュメントをご覧ください。

違反を解決する

違反を修復するには、次の手順を行います。

コンソール

  1. Google Cloud Console で、[Monitoring] ページに移動します。

    [モニタリング] に移動

  2. 違反 ID をクリックすると、詳細情報が表示されます。

  3. [修復] セクションでGoogle Cloud コンソールまたは CLI の指示に従って問題を解決します。

gcloud CLI

  1. gcloud CLI を使用して違反の詳細を表示します

  2. 回答に記載されている修正手順に沿って違反を解決します。

違反の例外を追加する

違反は、特定の状況で有効である場合があります。次の手順で、違反の例外を 1 つ以上追加できます。

コンソール

  1. Google Cloud Console で、[Monitoring] ページに移動します。

    [モニタリング] に移動

  2. [違反 ID] 列で、例外を追加する違反をクリックします。

  3. [例外] セクションで [新しく追加] をクリックします。

  4. 例外に対するビジネス上の正当な理由を入力します。すべての子リソースに例外を適用する場合は、[既存のすべての子リソース違反に適用する] チェックボックスをオンにして、[送信] をクリックします。

  5. 必要に応じて、これらの手順を繰り返して [新規を追加] をクリックして、例外を追加できます。

違反ステータスが [例外] に設定されます。

gcloud CLI

違反の例外を追加するには、次のコマンドを実行します。

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

ここで、BUSINESS_JUSTIFICATION は例外の理由で、VIOLATION_PATH は次の形式です。

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

VIOLATION_PATH は、違反ごとにリスト レスポンスの name フィールドで返されます。

コマンドが正常に送信されると、違反ステータスは [例外] に設定されます。

モニタリング対象の組織ポリシー違反

Assured Workloads は、Assured Workloads フォルダに適用されているコントロール パッケージに応じて、さまざまな組織のポリシーの制約違反をモニタリングします。以下のリストを使用して、影響を受ける管理パッケージによって違反をフィルタします。

組織のポリシーの制約 違反のタイプ 説明 影響を受けるコントロール パッケージ
Cloud SQL データへの非準拠アクセス アクセス

非準拠の Cloud SQL 診断データへの非準拠アクセスが許可されている場合に発生します。

この違反は、コントロール パッケージの sql.restrictNoncompliantDiagnosticDataAccess 制約の準拠値を変更したことが原因で発生します。

EU の主権管理
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)
Compute Engine データへの非準拠アクセス アクセス

Compute Engine インスタンスデータへの非準拠のアクセスが許可されている場合に発生します。

この違反は、コントロール パッケージの compute.disableInstanceDataAccessApis 制約の準拠値を変更したことが原因で発生します。

刑事司法情報サービス(CJIS)
EU の主権管理
国際武器取引規則(ITAR)
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)
準拠していない Cloud Storage 認証タイプ アクセス

準拠していない認証タイプの Cloud Storage での使用が許可されている場合に発生します。

この違反は、コントロール パッケージの storage.restrictAuthTypes 制約の準拠値を変更したことが原因で発生します。

EU の主権管理
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)
Cloud Storage バケットへの非準拠のアクセス アクセス

Cloud Storage への非準拠の不均一なバケットレベルのアクセスが許可されている場合に発生します。

この違反は、コントロール パッケージの storage.uniformBucketLevelAccess 制約の準拠値を変更したことが原因で発生します。

EU の主権管理
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)
GKE データへの非準拠アクセス アクセス

GKE 診断データへの非準拠アクセスが許可されている場合に発生します。

この違反は、コントロール パッケージの container.restrictNoncompliantDiagnosticDataAccess 制約の準拠値を変更したことが原因で発生します。

EU の主権管理
影響レベル 4(IL4)
影響レベル 5(IL5)
国際武器取引規則(ITAR)
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)
非準拠の Compute Engine の診断機能 構成

非準拠の Compute Engine の診断機能が有効になっている場合に発生します。

この違反は、コントロール パッケージの compute.enableComplianceMemoryProtection 制約の準拠値を変更したことが原因で発生します。

EU の主権管理
国際武器取引規則(ITAR)
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)
準拠していない Compute Engine グローバル ロード バランシング設定 構成

Compute Engine のグローバル ロード バランシング設定に非準拠の値が設定されている場合に発生します。

この違反は、コントロール パッケージの compute.disableGlobalLoadBalancing 制約の準拠値を変更したことが原因で発生します。

国際武器取引規則(ITAR)
非準拠の Compute Engine FIPS 設定 構成

Compute Engine の FIPS 設定に非準拠の値が設定されている場合に発生します。

この違反は、コントロール パッケージの compute.disableNonFIPSMachineTypes 制約の準拠値を変更したことが原因で発生します。

国際武器取引規則(ITAR)
非準拠の Compute Engine SSL 設定 構成

グローバル セルフマネージド証明書に非準拠の値が設定されている場合に発生します。

この違反は、コントロール パッケージの compute.disableGlobalSelfManagedSslCertificate 制約の準拠値を変更したことが原因で発生します。

国際武器取引規則(ITAR)
ブラウザ設定での非準拠の Compute Engine SSH 構成

Compute Engine のブラウザ機能内の SSH に非準拠の値が設定されている場合に発生します。

この違反は、コントロール パッケージの compute.disableSshInBrowser 制約の準拠値を変更したことが原因で発生します。

EU の主権管理
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)
準拠していない Cloud SQL リソースの作成 構成

準拠していない Cloud SQL リソースの作成が許可されている場合に発生します。

この違反は、コントロール パッケージの sql.restrictNoncompliantResourceCreation 制約の準拠値を変更したことが原因で発生します。

EU の主権管理
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)
Cloud KMS 鍵の制限がない 暗号化

CMEK に暗号鍵を提供するためのプロジェクトが指定されていない場合に発生します。

この違反は、コントロール パッケージの gcp.restrictCmekCryptoKeyProjects 制約の準拠値を変更したことが原因で発生します。これにより、未承認のフォルダまたはプロジェクトによって暗号鍵が提供されることを回避できます。

EU の主権管理
国際武器取引規則(ITAR)
刑事司法情報サービス(CJIS)
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)
非準拠の CMEK が有効になっていないサービス 暗号化

CMEK をサポートしていないサービスがワークロードで有効になっている場合に発生します。

この違反は、コントロール パッケージの gcp.restrictNonCmekServices 制約の準拠値を変更したことが原因で発生します。

EU の主権管理
国際武器取引規則(ITAR)
刑事司法情報サービス(CJIS)
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)
準拠していない Cloud KMS 保護レベル 暗号化

Cloud Key Management Service(Cloud KMS)での使用に準拠していない保護レベルが指定されている場合に発生します。詳細については、Cloud KMS のリファレンスをご覧ください。

この違反は、コントロール パッケージの cloudkms.allowedProtectionLevels 制約の準拠値を変更したことが原因で発生します。

EU の主権管理
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)
ポリシーに準拠していないリソースの場所 リソース ロケーション

特定の Assured Workloads コントロール パッケージ用にサポートされているサービスのリソースが、ワークロードの許可されたリージョン外で作成されたか、許可されているロケーションから許可されていないロケーションに移動された場合に発生します。

この違反は、コントロール パッケージの gcp.resourceLocations 制約の準拠値を変更したことが原因で発生します。

刑事司法情報サービス(CJIS)
FedRAMP Moderate
FedRAMP High
ヘルスケアとライフサイエンスのコントロール
ヘルスケアとライフサイエンスのコントロール(米国でのサポート)
影響レベル 2(IL2)
影響レベル 4(IL4)
影響レベル 5(IL5)
国際武器取引規則(ITAR)
オーストラリア リージョン
Assured Support を利用できるオーストラリア リージョン
ブラジル リージョン
カナダ リージョン
カナダ リージョンとサポート
カナダ Protected B
チリリージョン
EU リージョン
EU リージョンとサポート
EU の主権管理
香港リージョン
インド リージョン
インドネシア リージョン
イスラエル リージョン
イスラエル リージョンとサポート
日本リージョン
カタール リージョン
シンガポール リージョン
南アフリカ リージョン
韓国リージョン
スイス リージョン
台湾リージョン
英国リージョン
米国リージョン
米国リージョンとサポート
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)
ポリシーに準拠していないサービス サービスの使用状況

ユーザーが、Assured Workloads フォルダ内の特定の Assured Workloads コントロール パッケージでサポートされていないサービスを有効にした場合に発生します。

この違反は、コントロール パッケージの gcp.restrictServiceUsage 制約の準拠値を変更したことが原因で発生します。

刑事司法情報サービス(CJIS)
FedRAMP Moderate
FedRAMP High
ヘルスケアとライフサイエンスのコントロール
ヘルスケアとライフサイエンスのコントロール(米国でのサポート)
影響レベル 2(IL2)
影響レベル 4(IL4)
影響レベル 5(IL5)
国際武器取引規則(ITAR)
オーストラリア リージョン
Assured Support を利用できるオーストラリア リージョン
ブラジル リージョン
カナダ リージョン
カナダ リージョンとサポート
カナダ Protected B
チリリージョン
EU リージョン
EU リージョンとサポート
EU の主権管理
香港リージョン
インド リージョン
インドネシア リージョン
イスラエル リージョン
イスラエル リージョンとサポート
日本リージョン
カタール リージョン
シンガポール リージョン
南アフリカ リージョン
韓国リージョン
スイス リージョン
台湾リージョン
英国リージョン
米国リージョン
米国リージョンとサポート
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)

モニタリング対象リソースの違反

Assured Workloads は、Assured Workloads フォルダに適用されるコントロール パッケージに応じて、さまざまなリソース違反をモニタリングします。モニタリング対象のリソースタイプを確認するには、Cloud Asset Inventory ドキュメントのサポートされているリソースタイプをご覧ください。次のリストを使用して、影響を受ける管理パッケージによって違反をフィルタします。

組織のポリシーの制約 説明 影響を受けるコントロール パッケージ
ポリシーに準拠していないリソースのロケーション

リソースのロケーションがポリシーに準拠していないリージョンにある場合に発生します。

この違反は、gcp.resourceLocations の制約が原因で発生します。

Assured Support を利用できるオーストラリア リージョン
カナダ保護 B
カナダ リージョンとサポート
刑事司法情報サービス(CJIS)
EU リージョンとサポート
EU の主権管理
FedRAMP Moderate
FedRAMP High
ヘルスケアとライフサイエンスのコントロール
ヘルスケアとライフサイエンスのコントロール(米国でのサポート)
影響レベル 4(IL4)
影響レベル 5(IL5)
イスラエル リージョンとサポート
国際武器取引規則(ITAR)
日本リージョン
米国リージョンとサポート
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)
フォルダ内の非準拠リソース

サポートされていないサービスのリソースが Assured Workloads フォルダに作成された場合に発生します。

この違反は、gcp.restrictServiceUsage の制約が原因で発生します。

刑事司法情報サービス(CJIS)
FedRAMP Moderate
FedRAMP High
ヘルスケアとライフサイエンスのコントロール
ヘルスケアとライフサイエンスのコントロール(米国でのサポート)
影響レベル 2(IL2)
影響レベル 4(IL4)
影響レベル 5(IL5)
国際武器取引規則(ITAR)
オーストラリア リージョン
Assured Support を利用できるオーストラリア リージョン
ブラジル リージョン
カナダ リージョン
カナダ リージョンとサポート
カナダ Protected B
チリリージョン
EU リージョン
EU リージョンとサポート
EU の主権管理
香港リージョン
インド リージョン
インドネシア リージョン
イスラエル リージョン
イスラエル リージョンとサポート
日本リージョン
カタール リージョン
シンガポール リージョン
南アフリカ リージョン
スイス リージョン
台湾リージョン
英国リージョン
米国リージョン
米国リージョンとサポート
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)
暗号化されていない(CMEK 以外の)リソース

CMEK 暗号化を必要とするサービスに対して、CMEK 暗号化なしでリソースが作成された場合に発生します。

この違反は、gcp.restrictNonCmekServices の制約が原因で発生します。

刑事司法情報サービス(CJIS)
EU の主権管理
影響レベル 5(IL5)
国際武器取引規則(ITAR)
S3NS によるローカル コントロール(パートナーによる主権管理)
SIA/Minsait による主権管理(パートナーによる主権管理)
T-Systems Sovereign Cloud(パートナーによる主権管理)

次のステップ