Assured Workloads 폴더 위반 모니터링

Assured Workloads는 폴더의 제어 패키지 요구사항을 다음 세부정보와 비교하여 Assured Workloads 폴더의 규정 준수 위반을 적극적으로 모니터링합니다.

  • 조직 정책: 각 Assured Workloads 폴더는 규정 준수를 보장하는 데 도움이 되는 특정 조직 정책 제약조건 설정으로 구성됩니다. 이러한 설정이 정책을 준수하지 않는 방식으로 변경되면 위반이 발생합니다. 자세한 내용은 모니터링 조직 정책 위반 섹션을 참조하세요.
  • 리소스: Assured Workloads 폴더의 조직 정책 설정에 따라 폴더 아래의 리소스(예: 유형 및 위치)가 제한될 수 있습니다. 자세한 내용은 모니터링 리소스 위반 섹션을 참고하세요. 리소스가 규정을 준수하지 않으면 위반이 발생합니다.

위반이 발생하면 이를 해결하거나 적절한 경우 예외를 만들 수 있습니다. 위반 상태는 다음 세 가지 중 하나일 수 있습니다.

Assured Workloads 폴더를 만들면 Assured Workloads 모니터링이 자동으로 사용 설정됩니다.

시작하기 전에

필수 IAM 역할 및 권한

조직 정책 위반 또는 리소스 위반을 보려면 Assured Workloads 폴더에서 다음 권한이 포함된 IAM 역할을 부여받아야 합니다.

  • assuredworkloads.violations.get
  • assuredworkloads.violations.list

이러한 권한은 다음 Assured Workloads IAM 역할에 포함되어 있습니다.

  • Assured Workloads 관리자(roles/assuredworkloads.admin)
  • Assured Workloads 편집자(roles/assuredworkloads.editor)
  • Assured Workloads 리더(roles/assuredworkloads.reader)

리소스 위반 모니터링을 사용 설정하려면 Assured Workloads 폴더에서 다음 권한이 포함된 IAM 역할을 부여받아야 합니다.

  • assuredworkloads.workload.update: 이 권한은 다음과 같은 역할에 포함되어 있습니다.

    • Assured Workloads 관리자(roles/assuredworkloads.admin)
    • Assured Workloads 편집자(roles/assuredworkloads.editor)
  • resourcemanager.folders.setIamPolicy: 이 권한은 다음과 같은 관리 역할에 포함되어 있습니다.

    • 조직 관리자(roles/resourcemanager.organizationAdmin)
    • 보안 관리자(roles/iam.securityAdmin)

규정 준수 위반에 대한 예외를 제공하려면 Assured Workloads 폴더에서 다음 권한이 포함된 IAM 역할을 부여받아야 합니다.

  • assuredworkloads.violations.update: 이 권한은 다음과 같은 역할에 포함되어 있습니다.

    • Assured Workloads 관리자(roles/assuredworkloads.admin)
    • Assured Workloads 편집자(roles/assuredworkloads.editor)

또한 조직 정책 위반을 해결하고 감사 로그를 보려면 다음 IAM 역할을 부여해야 합니다.

  • 조직 정책 관리자(roles/orgpolicy.policyAdmin)
  • 로그 뷰어(roles/logging.viewer)

위반 이메일 알림 설정

조직 규정 준수 위반이 발생하거나 해결되거나 예외가 발생한 경우 필수 연락처법무 카테고리 구성원에게 기본적으로 이메일이 전송됩니다. 이는 법무팀이 규정 준수 문제를 최신 상태로 유지해야 하기 때문입니다.

보안팀이 아니더라도 위반을 관리하는 팀이 법무 카테고리에 연락처로 추가되어야 합니다. 이렇게 하면 변경사항이 발생할 경우 이메일 알림이 전송됩니다.

알림 사용 설정 또는 사용 중지

특정 Assured Workloads 폴더의 알림을 사용 설정 또는 사용 중지하려면 다음 안내를 따르세요.

  1. Google Cloud 콘솔에서 Assured Workloads 페이지로 이동합니다.

    Assured Workloads로 이동

  2. 이름 열에서 알림 설정을 변경할 Assured Workloads 폴더의 이름을 클릭합니다.

  3. Assured Workloads 모니터링 카드에서 알림 사용 설정 체크박스를 선택 해제하여 알림을 사용 중지하거나 폴더에서 알림을 사용 설정하도록 선택합니다.

Assured Workloads 폴더 페이지에서 알림이 사용 중지된 폴더에는 이메일 알림 모니터링 사용 중지됨이 표시됩니다.

조직의 위반 보기

Google Cloud 콘솔과 gcloud CLI 모두에서 조직 전체의 위반을 확인할 수 있습니다.

콘솔

Google Cloud 콘솔의 규정 준수 섹션에 있는 Assured Workloads 페이지 또는 규정 준수 섹션의 모니터링 페이지에서 조직 전체의 위반 개수를 한눈에 확인할 수 있습니다.

Assured Workloads 페이지

Assured Workloads 페이지로 이동하면 위반을 한눈에 확인할 수 있습니다.

Assured Workloads로 이동

페이지 상단에 조직 정책 위반 및 리소스 위반 요약이 표시됩니다. 링크를 클릭하여 Monitoring 페이지로 이동합니다.

목록의 각 Assured Workloads 폴더에서 위반이 있는 경우 조직 정책 위반리소스 위반 열에 표시됩니다. 해결되지 않은 위반에는 아이콘이 활성화되고 예외에는 아이콘이 활성화됩니다. 위반사항 또는 예외를 선택하여 세부정보를 확인할 수 있습니다.

폴더에 리소스 위반 모니터링이 사용 설정되지 않은 경우 리소스 위반 모니터링 사용 설정 링크가 있는 업데이트 열에 아이콘이 활성화됩니다. 링크를 클릭하여 기능을 사용 설정합니다. Assured Workloads 폴더 세부정보 페이지에서 사용 설정 버튼을 클릭하여 사용 설정할 수도 있습니다.

모니터링 페이지

모니터링 페이지로 이동하여 위반 사항을 자세히 확인하세요.

Monitoring으로 이동

조직 정책 위반리소스 위반이라는 두 개의 탭이 표시됩니다. 해결되지 않은 위반이 두 개 이상 있으면 탭에 아이콘이 활성화됩니다.

두 탭 중 하나에서 해결되지 않은 위반이 기본적으로 표시됩니다. 자세한 내용은 아래의 위반 세부정보 보기 섹션을 참조하세요.

gcloud CLI

조직의 현재 규정 준수 위반을 나열하려면 다음 명령어를 실행하세요.

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

각 항목의 의미는 다음과 같습니다.

  • LOCATION은 Assured Workloads 폴더의 위치입니다.

  • ORGANIZATION_ID는 쿼리할 조직 ID입니다.

  • WORKLOAD_ID워크로드를 나열하여 찾을 수 있는 상위 워크로드 ID입니다.

응답에는 각 위반에 대한 다음 정보가 포함됩니다.

  • 위반에 대한 감사 로그 링크
  • 위반이 처음 발생한 시점
  • 위반 유형
  • 위반사항에 대한 설명
  • 세부정보를 가져오는 데 사용할 수 있는 위반 이름
  • 영향을 받는 조직 정책 및 관련 정책 제약조건
  • 위반의 현재 상태 (유효한 값은 해결되지 않음, 해결됨 또는 예외)

선택적 플래그는 Cloud SDK 문서를 참조하세요.

위반 세부정보 보기

특정 규정 준수 위반 및 세부정보를 보려면 다음 단계를 수행합니다.

콘솔

  1. Google Cloud 콘솔에서 Monitoring 페이지로 이동합니다.

    Monitoring으로 이동

    모니터링 페이지에서 조직 정책 위반 탭이 기본적으로 선택됩니다. 이 탭에 조직의 Assured Workloads 폴더에서 해결되지 않은 모든 조직 정책 위반이 표시됩니다.

    리소스 위반 탭에는 조직의 모든 Assured Workloads 폴더에 있는 리소스와 관련된 모든 해결되지 않은 위반 사항이 표시됩니다.

  2. 두 탭 중 하나에서빠른 필터 옵션을 사용하여 위반 상태, 위반 유형, 제어 패키지 유형, 위반 유형, 특정 폴더, 특정 조직 정책 제약조건 또는 특정 리소스 유형을 기준으로 필터링합니다.

  3. 두 탭 모두 기존 위반 사항이 있으면 위반 ID를 클릭하여 자세한 정보를 확인할 수 있습니다.

위반 세부정보 페이지에서 다음 태스크를 수행할 수 있습니다.

  • 위반 ID를 복사합니다.

  • 위반이 발생한 Assured Workloads 폴더와 위반이 처음 발생한 시간을 확인합니다.

  • 다음을 포함하는 감사 로그를 확인합니다.

    • 위반이 발생한 시간

    • 위반의 원인인 수정된 정책과 수정한 사용자

    • 예외가 부여된 경우 이를 부여한 사용자

    • 해당되는 경우 위반이 발생한 특정 리소스를 확인합니다.

  • 영향을 받는 조직 정책을 확인합니다.

  • 규정 준수 위반 예외를 조회하고 추가합니다.

  • 해결 단계에 따라 예외를 해결합니다.

조직 정책 위반의 경우 다음을 확인할 수도 있습니다.

  • 영향을 받는 조직 정책: 규정 준수 위반과 관련된 특정 정책을 보려면 정책 보기를 클릭합니다.
  • 하위 리소스 위반: 리소스 기반 조직 정책 위반으로 인해 하위 리소스 위반이 발생할 수 있습니다. 하위 리소스 위반을 보거나 해결하려면 위반 ID를 클릭합니다.

리소스 위반의 경우 다음을 확인할 수도 있습니다.

  • 상위 조직 정책 위반: 상위 조직 정책 위반이 하위 리소스 위반의 원인인 경우 상위 수준에서 해결해야 합니다. 상위 위반 세부정보를 보려면 위반 보기를 클릭합니다.
  • 현재 리소스 위반을 일으키는 특정 리소스에 대한 다른 위반도 표시됩니다.

gcloud CLI

규정 준수 위반 세부정보를 보려면 다음 명령어를 실행합니다.

gcloud assured workloads violations describe VIOLATION_PATH

여기서 VIOLATION_PATH의 형식은 다음과 같습니다.

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

위반마다 list 응답의 name 필드에 VIOLATION_PATH가 반환됩니다.

응답에는 다음 정보가 포함됩니다.

  • 위반에 대한 감사 로그 링크

  • 위반이 처음 발생한 시점

  • 위반 유형

  • 위반사항에 대한 설명

  • 영향을 받는 조직 정책 및 관련 정책 제약조건

  • 위반을 해결하기 위한 해결 단계

  • 위반의 현재 상태 (유효한 값은 unresolved, resolved 또는 exception)

선택적 플래그는 Cloud SDK 문서를 참조하세요.

위반 해결

위반을 해결하려면 다음 단계를 수행합니다.

콘솔

  1. Google Cloud 콘솔에서 Monitoring 페이지로 이동합니다.

    Monitoring으로 이동

  2. 자세한 내용을 보려면 위반 ID를 클릭합니다.

  3. 해결 섹션에서 Google Cloud 콘솔 또는 CLI의 안내에 따라 문제를 해결합니다.

gcloud CLI

  1. gcloud CLI를 사용하여 위반 세부정보를 확인합니다.

  2. 응답의 해결 단계에 따라 위반을 해결합니다.

위반 예외 추가

경우에 따라 위반 사항이 특정 상황에서 유효할 수 있습니다. 다음 단계를 완료하여 위반에 대한 하나 이상의 예외를 추가할 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 Monitoring 페이지로 이동합니다.

    Monitoring으로 이동

  2. 위반 ID 열에서 예외를 추가할 위반을 클릭합니다.

  3. 예외 섹션에서 새로 추가를 클릭합니다.

  4. 예외에 대한 비즈니스 근거를 입력합니다. 모든 하위 리소스에 예외를 적용하려면 모든 기존 하위 리소스 위반에 적용 체크박스를 선택하고 제출을 클릭합니다.

  5. 필요에 따라 이 단계를 반복하고 새로 추가를 클릭하여 예외를 더 추가할 수 있습니다.

위반 상태가 예외로 설정됩니다.

gcloud CLI

위반 예외를 추가하려면 다음 명령어를 실행합니다.

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

여기서 BUSINESS_JUSTIFICATION는 예외의 이유이고 VIOLATION_PATH의 형식은 다음과 같습니다.

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

위반마다 list 응답의 name 필드에 VIOLATION_PATH가 반환됩니다.

명령어를 성공적으로 전송한 후 위반 상태가 예외로 설정됩니다.

조직 정책 위반 모니터링

Assured Workloads는 Assured Workloads 폴더에 적용된 제어 패키지에 따라 다양한 조직 정책 제약조건 위반을 모니터링합니다. 다음 목록을 사용하여 영향을 받는 제어 패키지를 기준으로 위반사항을 필터링하세요.

조직 정책 제약조건 위반 유형 설명 영향을 받는 제어 패키지
Cloud SQL 데이터에 대한 규정 미준수 액세스 액세스

규정을 준수하지 않는 Cloud SQL 진단 데이터에 대한 규정 미준수 액세스가 허용된 경우 발생합니다.

이 위반은 sql.restrictNoncompliantDiagnosticDataAccess 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다.

주권 제어가 포함된 EU 리전 및 지원
Compute Engine 데이터에 대한 규정 미준수 액세스 액세스

Compute Engine 인스턴스 데이터에 대한 규정 미준수 액세스가 허용된 경우 발생합니다.

이 위반은 compute.disableInstanceDataAccessApis 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다.

CJIS
주권 제어가 포함된 EU 리전 및 지원
ITAR
규정 미준수 Cloud Storage 인증 유형 액세스

Cloud Storage에서 규정 미준수 인증 유형을 사용하도록 허용된 경우 발생합니다.

이 위반은 storage.restrictAuthTypes 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다.

주권 제어가 포함된 EU 리전 및 지원
Cloud Storage 버킷에 대한 규정 미준수 액세스 액세스

Cloud Storage에 대한 규정 미준수 불균일 버킷 수준 액세스가 허용된 경우 발생합니다.

이 위반은 storage.uniformBucketLevelAccess 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다.

주권 제어가 포함된 EU 리전 및 지원
GKE 데이터에 대한 규정 미준수 액세스 액세스

GKE 진단 데이터에 대한 규정 미준수 액세스가 허용된 경우 발생합니다.

이 위반은 container.restrictNoncompliantDiagnosticDataAccess 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다.

주권 제어가 포함된 EU 리전 및 지원
IL4
IL5
ITAR
규정 미준수 Compute Engine 진단 기능 구성

규정 미준수 Compute Engine 진단 기능이 사용 설정된 경우 발생합니다.

이 위반은 compute.enableComplianceMemoryProtection 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다.

주권 제어가 포함된 EU 리전 및 지원
ITAR
규정 미준수 Compute Engine 전역 부하 분산 설정 구성

Compute Engine의 전역 부하 분산 설정에 규정 미준수 값이 설정된 경우 발생합니다.

이 위반은 compute.disableGlobalLoadBalancing 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다.

ITAR
규정 미준수 Compute Engine FIPS 설정 구성

Compute Engine에서 FIPS 설정에 규정 미준수 값이 설정된 경우 발생합니다.

이 위반은 compute.disableNonFIPSMachineTypes 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다.

ITAR
규정 미준수 Compute Engine SSL 설정 구성

전역 자체 관리형 인증서에 규정 미준수 값이 설정된 경우 발생합니다.

이 위반은 compute.disableGlobalSelfManagedSslCertificate 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다.

ITAR
브라우저 설정의 규정 미준수 Compute Engine SSH 구성

Compute Engine의 브라우저 기능에서 SSH에 규정 미준수 값이 설정된 경우 발생합니다.

이 위반은 compute.disableSshInBrowser 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다.

주권 제어가 포함된 EU 리전 및 지원
규정 미준수 Cloud SQL 리소스 생성 구성

규정 미준수 Cloud SQL 리소스의 생성이 허용된 경우 발생합니다.

이 위반은 sql.restrictNoncompliantResourceCreation 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다.

주권 제어가 포함된 EU 리전 및 지원
Cloud KMS 키 제한 누락 암호화

CMEK에 암호화 키를 제공하도록 프로젝트를 지정하지 않은 경우 발생합니다.

이 위반은 gcp.restrictCmekCryptoKeyProjects 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다. 이는 승인되지 않은 폴더 또는 프로젝트가 암호화 키를 제공하지 못하게 막는 데 도움이 됩니다.

주권 제어가 포함된 EU 리전 및 지원
ITAR
CJIS
규정 미준수 CMEK 외 사용 설정 서비스 암호화

CMEK를 지원하지 않는 서비스가 워크로드에 사용 설정되어 있으면 발생합니다.

이 위반은 gcp.restrictNonCmekServices 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다.

주권 제어가 포함된 EU 리전 및 지원
ITAR
CJIS
규정 미준수 Cloud KMS 보호 수준 암호화

규정 미준수 보호 수준이 Cloud Key Management Service(Cloud KMS)에서 사용되도록 지정된 경우 발생합니다. 자세한 내용은 Cloud KMS 참조를 확인하세요.

이 위반은 cloudkms.allowedProtectionLevels 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다.

주권 제어가 포함된 EU 리전 및 지원
규정 미준수 리소스 위치 리소스 위치

지정된 Assured Workloads 제어 패키지에 지원되는 서비스 리소스가 워크로드의 허용 리전 외부에서 생성되었거나 허용된 위치에서 허용되지 않는 위치로 이동되었을 때 발생합니다.

이 위반은 gcp.resourceLocations 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다.

Assured Support가 포함된 오스트레일리아 리전
캐나다 Protected B
캐나다 리전 및 지원
CJIS
EU 리전 및 지원
주권 제어가 포함된 EU 리전 및 지원
FedRAMP 중간 수준
FedRAMP High
의료 및 생명과학 제어
미국 지원이 포함된 의료 및 생명과학 제어
IL4
IL5
이스라엘 리전 및 지원
ITAR
일본 리전
미국 리전 및 지원
규정 미준수 서비스 서비스 사용량

사용자가 Assured Workloads 폴더에서 특정 Assured Workloads 제어 패키지가 지원하지 않는 서비스를 사용 설정하면 발생합니다.

이 위반은 gcp.restrictServiceUsage 제약조건에 대한 제어 패키지의 규정 준수 값을 변경하면 발생합니다.

Assured Support가 포함된 오스트레일리아 리전
캐나다 Protected B
캐나다 리전 및 지원
CJIS
EU 리전 및 지원
주권 제어가 포함된 EU 리전 및 지원
FedRAMP 중간 수준
FedRAMP High
의료 및 생명과학 제어
미국 지원이 포함된 의료 및 생명과학 제어
IL4
IL5
이스라엘 리전 및 지원
ITAR
일본 리전
미국 리전 및 지원

모니터링 리소스 위반

Assured Workloads는 Assured Workloads 폴더에 적용된 제어 패키지에 따라 다양한 리소스 위반을 모니터링합니다. 다음 목록을 사용하여 영향을 받는 제어 패키지를 기준으로 위반사항을 필터링하세요.

조직 정책 제약조건 설명 영향을 받는 제어 패키지
규정 미준수 리소스 위치

리소스 위치가 정책을 준수하지 않는 리전에 있으면 발생합니다.

이 위반은 gcp.resourceLocations 제약조건으로 인해 발생합니다.

Assured Support가 포함된 오스트레일리아 리전
캐나다 Protected B
캐나다 리전 및 지원
CJIS
EU 리전 및 지원
주권 제어가 포함된 EU 리전 및 지원
FedRAMP 중간 수준
FedRAMP High
의료 및 생명과학 제어
미국 지원이 포함된 의료 및 생명과학 제어
IL4
IL5
이스라엘 리전 및 지원
ITAR
일본 리전
미국 리전 및 지원
폴더의 규정 미준수 리소스

Assured Workloads 폴더에 지원되지 않는 서비스의 리소스가 생성되면 발생합니다.

이 위반은 gcp.restrictServiceUsage 제약조건으로 인해 발생합니다.

Assured Support가 포함된 오스트레일리아 리전
캐나다 Protected B
캐나다 리전 및 지원
CJIS
EU 리전 및 지원
주권 제어가 포함된 EU 리전 및 지원
FedRAMP 중간 수준
FedRAMP High
의료 및 생명과학 제어
미국 지원이 포함된 의료 및 생명과학 제어
IL4
IL5
이스라엘 리전 및 지원
ITAR
일본 리전
미국 리전 및 지원

다음 단계