Assured Workloads フォルダで違反をモニタリングする
Assured Workloads は、フォルダのコントロール パッケージの要件を次の詳細と比較することで、Assured Workloads フォルダのコンプライアンス違反を積極的にモニタリングします。
- 組織のポリシー: 各 Assured Workloads フォルダには、コンプライアンスの確保に役立つ特定の組織のポリシー制約設定が構成されています。これらの設定が非準拠の方法で変更されると、違反が発生します。詳細については、モニタリング対象の組織ポリシー違反セクションをご覧ください。
- リソース: Assured Workloads フォルダの組織のポリシー設定によっては、フォルダの下のリソース(タイプやロケーションなど)が制限されることがあります。詳細については、モニタリング対象のリソース違反セクションをご覧ください。非準拠のリソースがある場合は、違反が発生します。
違反が発生した場合は、必要に応じて解決するか、例外を作成できます。違反には次の 3 つのステータスがあります。
- 未解決: 違反は対処されていません。
- 解決済み:問題を解決するための手順により、違反に対処されています。
- 例外: 違反が例外として認められ、ビジネス上の正当な理由が提供されています。
Assured Workloads モニタリングは、Assured Workloads フォルダを作成すると自動的に有効になります。
準備
必要な IAM のロールと権限
組織のポリシー違反またはリソース違反を表示するには、次の権限を含む Assured Workloads フォルダに対する IAM ロールが付与されている必要があります。
assuredworkloads.violations.getassuredworkloads.violations.list
これらの権限は、次の Assured Workloads IAM ロールに含まれます。
- Assured Workloads 管理者(
roles/assuredworkloads.admin) - Assured Workloads 編集者(
roles/assuredworkloads.editor) - Assured Workloads 閲覧者(
roles/assuredworkloads.reader)
リソース違反モニタリングを有効にするには、次の権限を含む Assured Workloads フォルダに対する IAM ロールが付与されている必要があります。
assuredworkloads.workload.update: この権限は、次のロールに含まれています。- Assured Workloads 管理者(
roles/assuredworkloads.admin) - Assured Workloads 編集者(
roles/assuredworkloads.editor)
- Assured Workloads 管理者(
resourcemanager.folders.setIamPolicy: この権限は、次のような管理者ロールに含まれています。- 組織管理者(
roles/resourcemanager.organizationAdmin) - セキュリティ管理者(
roles/iam.securityAdmin)
- 組織管理者(
コンプライアンス違反の例外を提供するには、次の権限を含む Assured Workloads フォルダに対する IAM ロールが付与されている必要があります。
assuredworkloads.violations.update: この権限は、次のロールに含まれています。- Assured Workloads 管理者(
roles/assuredworkloads.admin) - Assured Workloads 編集者(
roles/assuredworkloads.editor)
- Assured Workloads 管理者(
さらに、組織のポリシーの違反を解決して監査ログを表示するには、次の IAM ロールが付与されている必要があります。
- 組織のポリシー管理者(
roles/orgpolicy.policyAdmin) - ログビューア(
roles/logging.viewer)
違反に関するメール通知を設定します
コンプライアンス違反が発生した場合、解決された場合、または例外が発生した場合、デフォルトでは、重要な連絡先の [法務] カテゴリのメンバーにメールが送信されます。この動作は、法務チームが規制遵守の問題に対して常に最新の状態を保つ必要があるために必要です。
違反を管理するチーム(セキュリティ チームかそうでないかにかかわらず)は、法務カテゴリに連絡先として追加する必要があります。これにより、変更があったときにメール通知が送信されるようになります。
通知を有効または無効にする
特定の Assured Workloads フォルダの通知を有効または無効にするには:
Google Cloud コンソールの [Assured Workloads] ページに移動します。
[名前] 列で、通知設定を変更する Assured Workloads フォルダの名前をクリックします。
[Assured Workloads モニタリング] カードで [通知を有効にする] チェックボックスをオフにして通知を無効にするか、それを選択してフォルダの通知を有効にします。
[Assured Workloads フォルダ] のページで、通知が無効になっているフォルダには [メール通知が無効] と表示されます。
組織内の違反を表示します
組織全体での違反は、Google Cloud コンソールと gcloud CLI の両方で確認できます。
コンソール
組織全体で発生する違反の数は、Google Cloud コンソールの [コンプライアンス] セクションの [Assured Workloads] ページ、または [コンプライアンス] セクションの [モニタリング] ページで確認できます。
Assured Workloads ページ
[Assured Workloads] ページに移動して、違反を一目で確認します。
ページの上部に、組織のポリシー違反とリソース違反の概要が表示されます。[表示] リンクをクリックして、[モニタリング] ページに移動します。
リスト内の各 Assured Workloads フォルダについて、違反があれば [組織のポリシー違反] 列と [リソースの違反] 列に表示されます。未解決の違反には アイコンがアクティブになり、例外には アイコンがアクティブになります。違反や例外を選択すると、詳細が表示されます。
フォルダでリソース違反のモニタリングが有効になっていない場合は、[更新] 列で [リソース違反モニタリングを有効にする] リンクのある アイコンがアクティブになります。リンクをクリックしてこの機能を有効にします。また、Assured Workloads フォルダの詳細ページで [有効にする] ボタンをクリックして有効にすることもできます。
モニタリング ページ
[モニタリング] ページに移動して、違反の詳細を表示します。
[組織のポリシー違反] と [リソース違反] の 2 つのタブが表示されます。複数の未解決の違反が存在する場合、タブで アイコンがアクティブになります。
どちらのタブでも、未解決の違反がデフォルトで表示されます。詳しくは、後述の違反の詳細を表示するセクションをご覧ください。
gcloud CLI
組織内の現在のコンプライアンス違反を一覧表示するには、次のコマンドを実行します。
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
ここで
LOCATION は、Assured Workloads フォルダのロケーションです。
ORGANIZATION_ID は、クエリする組織 ID です。
WORKLOAD_ID は、親ワークロード ID です。ワークロードを一覧表示して確認できます。
レスポンスには、違反ごとに次の情報が含まれます。
- 違反の監査ログリンク。
- 違反が初めて発生したとき。
- 違反のタイプ。
- 違反についての説明。
- 違反の名前。詳細情報を取得するために使用できます。
- 影響を受ける組織のポリシーと、関連するポリシーの制約。
- 違反の現在の状態。有効な値は未解決、解決済み、または例外です。
オプション フラグについては、Cloud SDK のドキュメントをご覧ください。
違反の詳細を表示する
特定のコンプライアンス違反とそれらの詳細を表示するには、次の手順を行います。
コンソール
Google Cloud コンソールで [Monitoring] ページに移動します。
[モニタリング] ページで、[組織のポリシー違反] タブがデフォルトで選択されています。このタブには、組織内の Assured Workloads フォルダ全体の未解決のすべての組織のポリシー違反が表示されます。
[リソース違反] タブには、組織内のすべての Assured Workloads フォルダ全体のリソースに関連付けられた未解決のすべての違反が表示されます。
どちらのタブでも、[クイック フィルタ] オプションを使用して、違反ステータス、違反タイプ、コントロール パッケージ タイプ、違反タイプ、特定のフォルダ、特定の組織ポリシー制約、または特定のリソースでフィルタできます。
どちらのタブでも、既存の違反がある場合は違反 ID をクリックすると、詳細情報が表示されます。
[違反の詳細] ページから、次のタスクを実行できます。
違反 ID をコピーします。
違反が発生した Assured Workloads フォルダと、その最初の発生日時を表示します。
監査ログを確認します。次のものが含まれます。
違反が発生した日時。
違反の原因となった変更ポリシーとその変更を行ったユーザー。
例外が付与された場合、それを付与したユーザー。
該当する場合は、違反が発生した特定のリソースを表示します。
影響を受ける組織のポリシーを表示します。
コンプライアンス違反の例外を追加して確認します。
修復手順に従って例外を解決します。
組織のポリシー違反では、次の情報も確認できます。
- 影響を受ける組織のポリシー: コンプライアンス違反に関連付けられた特定のポリシーを表示するには、[ポリシーを表示] をクリックします。
- 子リソース違反: リソースベースの組織のポリシー違反は、子リソース違反を引き起こす可能性があります。子リソース違反を表示または解決するには、[違反 ID] をクリックします。
リソース違反では、次の情報も確認できます。
- 親組織のポリシー違反: 親組織のポリシー違反が子リソース違反の原因である場合は、親レベルで対処する必要があります。親違反の詳細を表示するには、[違反を表示] をクリックします。
- 現在リソース違反を引き起こしている特定のリソースの他の違反も表示されます。
gcloud CLI
コンプライアンス違反の詳細を表示するには、次のコマンドを実行します。
gcloud assured workloads violations describe VIOLATION_PATH
ここで、VIOLATION_PATH は次の形式です。
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
VIOLATION_PATH は、違反ごとにリスト レスポンスの name フィールドに返されます。
レスポンスには次の情報が含まれます。
違反の監査ログリンク。
違反が初めて発生したとき。
違反のタイプ。
違反についての説明。
影響を受ける組織のポリシーと、関連するポリシーの制約。
違反を解決するための修正手順。
違反の現在の状態。有効な値は
unresolved、resolved、exceptionです。
オプション フラグについては、Cloud SDK のドキュメントをご覧ください。
違反を解決する
違反を修復するには、次の手順を行います。
コンソール
Google Cloud コンソールで [Monitoring] ページに移動します。
違反 ID をクリックすると、詳細情報が表示されます。
[修復] セクションでGoogle Cloud コンソールまたは CLI の指示に従って問題を解決します。
gcloud CLI
レスポンスに記載されている修復手順に沿って違反を解決します。
違反の例外を追加する
違反は、特定の状況で有効である場合があります。次の手順で、違反の例外を 1 つ以上追加できます。
コンソール
Google Cloud コンソールで [Monitoring] ページに移動します。
[違反 ID] 列で、例外を追加する違反をクリックします。
[例外] セクションで [新しく追加] をクリックします。
例外に対するビジネス上の正当な理由を入力します。すべての子リソースに例外を適用する場合は、[既存のすべての子リソース違反に適用する] チェックボックスをオンにして、[送信] をクリックします。
必要に応じて、これらの手順を繰り返して [新しく追加] をクリックすることで、例外を追加できます。
違反ステータスが [例外] に設定されます。
gcloud CLI
違反の例外を追加するには、次のコマンドを実行します。
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
ここで、BUSINESS_JUSTIFICATION は例外の理由、VIOLATION_PATH の形式は次のとおりです。
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
VIOLATION_PATH は、違反ごとにリスト レスポンスの name フィールドに返されます。
コマンドが正常に送信されると、違反ステータスは [例外] に設定されます。
モニタリング対象の組織ポリシー違反
Assured Workloads は、Assured Workloads フォルダに適用されるコントロール パッケージに応じて、さまざまな組織のポリシー違反をモニタリングします。次のリストを使用して、影響を受けるコントロール パッケージによって違反をフィルタリングします。
| 組織のポリシーの制約 | 違反のタイプ | Description | 影響を受けるコントロール パッケージ | |||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Cloud SQL データへの非準拠アクセス | Access |
非準拠の Cloud SQL 診断データへの非準拠のアクセスを許可する場合に発生します。 この違反は、コントロール パッケージの |
|
|||||||||||||||||
| Compute Engine データへの非準拠のアクセス | Access |
Compute Engine インスタンス データへの非準拠のアクセスが許可されている場合に発生します。 この違反は、コントロール パッケージの |
|
|||||||||||||||||
| 非準拠の Cloud Storage 認証タイプ | Access |
準拠していない認証タイプの Cloud Storage での使用が許可されている場合に発生します。 この違反は、コントロール パッケージの |
|
|||||||||||||||||
| Cloud Storage バケットへの非準拠アクセス | Access |
Cloud Storage への非準拠の不均一なバケットレベルのアクセスが許可されている場合に発生します。 この違反は、コントロール パッケージの |
|
|||||||||||||||||
| GKE データへの非準拠アクセス | Access |
GKE 診断データへの非準拠のアクセスを許可する場合に発生します。 この違反は、コントロール パッケージの |
|
|||||||||||||||||
| 非準拠の Compute Engine の診断機能 | 構成 |
非準拠の Compute Engine の診断機能が有効になっている場合に発生します。 この違反は、コントロール パッケージの |
|
|||||||||||||||||
| 非準拠の Compute Engine グローバル ロード バランシングの設定 | 構成 |
Compute Engine のグローバル ロード バランシングの設定に非準拠の値が設定されている場合に発生します。 この違反は、コントロール パッケージの |
|
|||||||||||||||||
| 非準拠の Compute Engine FIPS 設定 | 構成 |
Compute Engine の FIPS 設定に非準拠の値が設定されている場合に発生します。 この違反は、コントロール パッケージの |
|
|||||||||||||||||
| 非準拠の Compute Engine SSL 設定 | 構成 |
グローバル セルフマネージド証明書に非準拠の値が設定されている場合に発生します。 この違反は、コントロール パッケージの |
|
|||||||||||||||||
| ブラウザ設定での非準拠の Compute Engine SSH | 構成 |
Compute Engine のブラウザ機能内の SSH に非準拠の値が設定されている場合に発生します。 この違反は、コントロール パッケージの |
|
|||||||||||||||||
| 非準拠の Cloud SQL リソースの作成 | 構成 |
非準拠の Cloud SQL リソースの作成が許可されている場合に発生します。 この違反は、コントロール パッケージの |
|
|||||||||||||||||
| Cloud KMS 鍵の制限がない | 暗号化 |
CMEK に暗号鍵を提供するためのプロジェクトが指定されていない場合に発生します。 この違反は、コントロール パッケージの |
|
|||||||||||||||||
| 非準拠の CMEK が有効になっていないサービス | 暗号化 |
CMEK をサポートしていないサービスがワークロードで有効になっている場合に発生します。 この違反は、コントロール パッケージの |
|
|||||||||||||||||
| 非準拠の Cloud KMS 保護レベル | 暗号化 |
Cloud Key Management Service(Cloud KMS)で使用するために非準拠の保護レベルが指定されている場合に発生します。詳細については、Cloud KMS のリファレンスをご覧ください。 この違反は、コントロール パッケージの |
|
|||||||||||||||||
| 非準拠のリソース ロケーション | リソース ロケーション |
特定の Assured Workloads コントロール パッケージ用にサポートされているサービスのリソースが、ワークロードの許可されたリージョン外で作成されたか、許可されているロケーションから許可されていないロケーションに移動された場合に発生します。
この違反は、コントロール パッケージの |
|
|||||||||||||||||
| 非準拠のサービス | サービスの使用状況 |
ユーザーが、Assured Workloads フォルダ内の特定の Assured Workloads コントロール パッケージでサポートされていないサービスを有効にした場合に発生します。 この違反は、コントロール パッケージの |
|
モニタリング対象リソース違反
Assured Workloads は、Assured Workloads フォルダに適用されるコントロール パッケージに応じて、さまざまなリソース違反をモニタリングします。次のリストを使用して、影響を受けるコントロール パッケージによって違反をフィルタリングします。
| 組織のポリシーの制約 | Description | 影響を受けるコントロール パッケージ | |||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 非準拠のリソースのロケーション |
リソースのロケーションが非準拠のリージョンにある場合に発生します。 この違反は、 |
|
|||||||||||||||||
| フォルダ内の非準拠のリソース |
サポートされていないサービスのリソースが Assured Workloads フォルダに作成された場合に発生します。 この違反は、 |
|
次のステップ
- Assured Workloads のコントロール パッケージについて理解する。
- 各コントロール パッケージでサポートされているプロダクトを確認する。