监控 Assured Workloads 文件夹是否存在违规
Assured Workloads 会主动监控您的 Assured Workloads 文件夹是否存在合规性违规问题,方法是将文件夹的控制包要求与以下详细信息进行比较:
- 组织政策:每个 Assured Workloads 文件夹都配置了特定的组织政策限制条件设置,有助于确保合规性。如果以不符合规定的方式更改这些设置, 违规情况请参阅 如需了解详情,请参阅受监控的组织政策违规问题部分 信息。
- 资源:根据 Assured Workloads 文件夹的组织政策设置,文件夹下的资源(例如其类型和位置)可能会受到限制。如需了解详情,请参阅受监控资源违规部分。如果有任何资源不合规,就会出现违规问题。
出现违规问题时,您可以解决这些问题或创建例外情况 。违规可为以下三种状态之一:
创建工作负载时,系统会自动启用 Assured Workloads 监控 Assured Workloads 文件夹
准备工作
必需的 IAM 角色和权限
如需查看组织政策违规问题或资源违规问题,您必须获得 Assured Workloads 文件夹的 IAM 角色,该角色包含以下权限:
assuredworkloads.violations.get
assuredworkloads.violations.list
以下 Assured Workloads 工作负载中包含这些权限 IAM 角色:
- Assured Workloads Administrator (
roles/assuredworkloads.admin
) - Assured Workloads Editor (
roles/assuredworkloads.editor
) - Assured Workloads 读取方 (
roles/assuredworkloads.reader
)
如需启用资源违规问题监控功能,您必须获得 Assured Workloads 文件夹中的 IAM 角色,该文件夹包含 以下权限:
assuredworkloads.workload.update
:此权限包含在 以下角色:- Assured Workloads Administrator (
roles/assuredworkloads.admin
) - Assured Workloads Editor (
roles/assuredworkloads.editor
)
- Assured Workloads Administrator (
resourcemanager.folders.setIamPolicy
:此权限包含于 管理员角色,例如:- Organization Administrator (
roles/resourcemanager.organizationAdmin
) - Security Admin (
roles/iam.securityAdmin
)
- Organization Administrator (
如需为违反合规性的情况提供例外情况,您必须获得 Assured Workloads 文件夹的 IAM 角色,该角色包含以下权限:
assuredworkloads.violations.update
:此权限包含在 以下角色:- Assured Workloads Administrator (
roles/assuredworkloads.admin
) - Assured Workloads Editor (
roles/assuredworkloads.editor
)
- Assured Workloads Administrator (
此外,要解决组织政策违规问题并查看审核日志, 必须授予以下 IAM 角色:
- Organization Policy Administrator (
roles/orgpolicy.policyAdmin
) - Logs Viewer (
roles/logging.viewer
)
设置违规电子邮件通知
默认情况下,当发生违规情况、得到解决或创建了例外时,系统会向重要联系人中的法律类别的成员发送电子邮件。这是必要的行为,因为您的法务团队需要 及时了解任何法规遵从问题。
还应该将管理违规的团队(无论是安全团队还是其他团队)添加到法律类别联系人。这样可确保在更改发生时系统发送电子邮件通知。
启用或停用通知
如需为特定 Assured Workloads 文件夹启用或停用通知,请执行以下操作:
前往 Google Cloud 控制台中的 Assured Workloads 页面:
在名称列中,点击 Assured Workloads 的名称 文件夹中找到要更改通知设置的文件夹中。
在 Assured Workloads Monitoring 卡片中,清除启用通知复选框以停用通知,或选中该复选框以为该文件夹启用通知。
在 Assured Workloads 文件夹页面上,已停用通知的文件夹会显示
Monitoring email notifications disabled(监控电子邮件通知已停用)。查看组织中的违规
您可以在以下两个位置查看贵组织中的违规问题: Google Cloud 控制台和 gcloud CLI。
控制台
您可以在 位于合规部分的 Assured Workloads 页面 Google Cloud 控制台或合规性中的 Monitoring 页面 部分。
“Assured Workloads”页面
前往 Assured Workloads 页面,一目了然地查看违规情况:
页面顶部会显示组织政策违规情况和资源违规情况的摘要。点击查看链接,前往 Monitoring 页面。
对于列表中的每个 Assured Workloads 文件夹,组织政策违规和资源违规列中都会显示任何违规问题。未解决的违规问题 更多详情。
图标处于活动状态,且例外情况具有 “ ”图标已启用。您可以选择 以查看如果对某个文件夹未启用资源违规问题监控功能,
图标在 Updates 中处于活跃状态 包含启用资源违规问题监控功能链接的列。点击相应链接即可启用该功能。您还可以通过点击 Assured Workloads 文件夹详情页面上的启用按钮来启用该功能。“监控”页面
前往监控页面,详细了解违规问题:
系统会显示两个标签页:组织政策违规问题和资源违规问题。如果存在多项未解决的违规问题,该标签页上的
图标会处于活动状态。默认情况下,这两个标签页中都会显示未解决的违规问题。请参阅 如需了解详情,请查看违规问题部分。
gcloud CLI
如需列出组织中当前的合规性违规,请运行以下命令:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
其中:
LOCATION 是以下地点的位置: Assured Workloads 文件夹
ORGANIZATION_ID 是要查询的组织 ID。
WORKLOAD_ID 是父级工作负载 ID,可通过列出工作负载找到。
对于每次违规,响应都包含以下信息:
- 违规的审核日志链接。
- 违规的首次发生时间。
- 违规的类型。
- 对违规情况的详细说明。
- 违规的名称,可用于检索更多详细信息。
- 受影响的组织政策和相关政策限制条件。
- 违规行为的当前状态。有效值为未解决、已解决或例外。
如需了解可选标志,请参阅 Cloud SDK 文档。
查看违规详细信息
如需查看特定的合规性违规及其详细信息,请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往 Monitoring 页面。
在监控页面上,系统会默认选择组织政策违规标签页。此标签页会显示组织中所有 Assured Workloads 文件夹中的所有未解决的组织政策违规问题。
资源违规问题标签页会显示组织中所有 Assured Workloads 文件夹中与资源相关的所有未解决违规问题。
对于任一标签页,您都可以使用快速过滤条件选项按违规状态、违规类型、控制包类型、违规类型、特定文件夹、特定组织政策限制或特定资源类型进行过滤。
对于这两个标签页,如果存在现有违规行为,请点击违规 ID 以查看更多详细信息。
在违规详细信息页面上,您可以执行以下任务:
复制违规 ID。
查看发生违规的 Assured Workloads 文件夹以及首次发生的时间。
查看审核日志,其中包括:
违规的发生时间。
修改哪个政策导致违规,以及哪个用户进行了该修改。
如果授予了例外,是由哪个用户授予的。
如果适用,请查看违规的具体资源。
查看受影响的组织政策。
查看和添加合规性违规例外情况。一系列 显示之前的例外文件夹或资源,包括 以及用户提供的理由。
- 安装补救步骤解决例外。
对于组织政策违规行为,您还可以看到以下信息:
- 受影响的组织政策:如需查看与违规行为相关联的具体政策,请点击查看政策。
- 子资源违规问题:基于资源的组织政策违规问题可能会导致子资源违规问题。如需查看或解决子资源违规问题,请点击违规 ID。
对于资源违规问题,您还可以看到以下内容:
- 父级组织政策违规:如果子级资源违规是由父级组织政策违规导致的,则需要在父级级别解决这些违规问题。如需查看父级违规问题的详细信息,请点击查看违规问题。
- 特定资源上导致资源的任何其他违规问题 违规问题
gcloud CLI
如需查看合规性违规的详细信息,请运行以下命令:
gcloud assured workloads violations describe VIOLATION_PATH
其中 VIOLATION_PATH 采用以下格式:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
每次违规的 list 响应的 name
字段中都会返回 VIOLATION_PATH。
响应包含以下信息:
违规的审核日志链接。
违规的首次发生时间。
违规的类型。
对违规情况的详细说明。
受影响的组织政策和相关政策限制条件。
解决违规的补救步骤。
违规行为的当前状态。有效值为
unresolved
、resolved
或exception
。
如需了解可选标志,请参阅 Cloud SDK 文档。
解决违规
如需补救违规,请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往 Monitoring 页面。
点击违规 ID 可查看更多详细信息。
在补救部分中,按照适用于 Google Cloud 控制台或 CLI 的说明解决问题。
gcloud CLI
按照响应中的补救步骤来解决违规。
添加违规例外
有时,违规可能在特定情况下有效。您可以添加 或更多违规例外情况。
控制台
在 Google Cloud 控制台中,前往 Monitoring 页面。
在违规 ID 列中,点击要为其添加例外的违规。
在例外部分中,点击新增。
输入例外情况的业务理由。如果您希望 例外以应用于所有子资源,请选择 应用于所有现有的子级资源违规问题复选框,然后点击 提交。
您可以根据需要添加更多例外情况,只需重复这些步骤并 点击新增。
违规状态现在设置为例外。
gcloud CLI
如需添加违规的例外,请运行以下命令:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
其中,BUSINESS_JUSTIFICATION 是例外的原因,VIOLATION_PATH 采用以下格式:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
每次违规的 list 响应的 name
字段中都会返回 VIOLATION_PATH。
成功发送命令后,违规状态将设置为例外。
受监控的组织政策违规问题
Assured Workloads 监控不同的组织政策限制条件 具体取决于您应用至 Assured Workloads 文件夹。使用以下列表过滤违规问题 受其影响的控制包的影响
组织政策限制条件 | 违规的类型 | 说明 | 受影响的控制软件包 | |||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
对 Cloud SQL 数据的不合规访问 | 访问 |
如果允许对不合规的 Cloud SQL 诊断数据进行不合规访问,就会出现此错误。 此违规是由更改控制软件包的 |
|
|||||||||||||||||||||||||||||||||||
对 Compute Engine 数据的不合规访问 | 访问 |
对 Compute Engine 实例进行不合规的访问时发生 数据。 此违规行为是由于更改了控制软件包的
符合 SSL 规定的
|
|
|||||||||||||||||||||||||||||||||||
不合规的 Cloud Storage 身份验证类型 | 访问 |
如果允许不合规的身份验证类型与 Cloud Storage 搭配使用,就会发生此错误。 此违规行为是由于更改了控制软件包的
|
|
|||||||||||||||||||||||||||||||||||
对 Cloud Storage 存储桶的不合规访问 | 访问 |
如果允许对 Cloud Storage 进行不合规的非统一存储桶级访问,就会发生此错误。 此违规行为是由于更改了控制软件包的
符合 SSL 规定的
|
|
|||||||||||||||||||||||||||||||||||
对 GKE 数据的不合规访问 | 访问 |
对 GKE 诊断信息不合规的访问时发生 数据。 此违规行为是由于更改了控制软件包的
符合 SSL 规定的
|
|
|||||||||||||||||||||||||||||||||||
不合规的 Compute Engine 诊断功能 | 配置 |
如果启用不合规的 Compute Engine 诊断功能,就会发生此错误。 此违规是由更改控制软件包的 |
|
|||||||||||||||||||||||||||||||||||
不合规的 Compute Engine 全球负载均衡设置 | 配置 |
为全局加载设置了不合规的值时发生 Compute Engine 中的负载均衡设置。 此违规是由更改控制软件包的 |
|
|||||||||||||||||||||||||||||||||||
不合规的 Compute Engine FIPS 设置 | 配置 |
如果为 Compute Engine 中的 FIPS 设置设置了不合规的值,就会发生此错误。 此违规行为是由于更改了控制软件包的
|
|
|||||||||||||||||||||||||||||||||||
不合规的 Compute Engine SSL 设置 | 配置 |
为全局设置了不符合规定的值时发生 自行管理的证书 此违规是由更改控制软件包的 |
|
|||||||||||||||||||||||||||||||||||
浏览器设置中的不合规的 Compute Engine SSH | 配置 |
为浏览器中的 SSH 设置了不符合规定的值时发生 功能 此违规是由更改控制软件包的 |
|
|||||||||||||||||||||||||||||||||||
创建不合规的 Cloud SQL 资源 | 配置 |
如果允许创建不合规的 Cloud SQL 资源,就会发生此错误。 此违规行为是由于更改了控制软件包的
符合 SSL 规定的
|
|
|||||||||||||||||||||||||||||||||||
缺少 Cloud KMS 密钥限制 | 加密 |
如果未指定项目来为 CMEK 提供加密密钥,就会发生此错误。 此违规行为是由于更改了控制软件包的
|
|
|||||||||||||||||||||||||||||||||||
不合规的不支持 CMEK 的服务 | 加密 |
如果未为工作负载启用不支持 CMEK 的服务,就会发生此错误。 此违规行为是由于更改了控制软件包的
|
|
|||||||||||||||||||||||||||||||||||
不合规的 Cloud KMS 保护级别 | 加密 |
如果指定不合规的保护级别以用于 Cloud Key Management Service (Cloud KMS),就会发生此错误。请参阅 Cloud KMS 参考文档 。 此违规是由更改控制软件包的 |
|
|||||||||||||||||||||||||||||||||||
不合规的资源位置 | 资源位置 |
如果针对给定 Assured Workloads 控制包的受支持服务的资源是在工作负载的允许区域之外创建的,或者从允许的位置移动到不允许的位置,就会发生此错误。
此违规是由更改控制软件包的 |
|
|||||||||||||||||||||||||||||||||||
不合规的服务 | 服务使用情况 |
如果用户启用 Assured Workloads 文件夹中的给定 Assured Workloads 控制包不支持的服务,就会发生此错误。 此违规行为是由于更改了控制软件包的
|
|
受监控的资源违规问题
Assured Workloads 会监控不同的资源违规情况,具体取决于应用于 Assured Workloads 文件夹的控制包。如需查看哪些资源类型受监控,请参阅 Cloud Asset Inventory 文档中的支持的资源类型。您可以使用以下列表按受影响的控制包过滤违规问题:
组织政策限制条件 | 说明 | 受影响的控制软件包 | |||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
不合规的资源位置 |
当资源的位置位于不合规的区域时,就会发生此错误。 此违规是由于 |
|
|||||||||||||||||||||||||||||||||||
文件夹中的不合规资源 |
在 Google Ads 中 Assured Workloads 文件夹 此违规行为是由
|
|
|||||||||||||||||||||||||||||||||||
未加密(非 CMEK)的资源 |
如果在没有使用 CMEK 加密的情况下为 需要 CMEK 加密的服务。 此违规行为是由
|
|