监控 Assured Workloads 文件夹是否存在违规

Assured Workloads 会主动监控您的 Assured Workloads 文件夹是否存在合规性违规问题,方法是将文件夹的控制包要求与以下详细信息进行比较:

  • 组织政策:每个 Assured Workloads 文件夹都配置了特定的组织政策限制条件设置,有助于确保合规性。如果以不符合规定的方式更改这些设置, 违规情况请参阅 如需了解详情,请参阅受监控的组织政策违规问题部分 信息。
  • 资源:根据 Assured Workloads 文件夹的组织政策设置,文件夹下的资源(例如其类型和位置)可能会受到限制。如需了解详情,请参阅受监控资源违规部分。如果有任何资源不合规,就会出现违规问题。

出现违规问题时,您可以解决这些问题或创建例外情况 。违规可为以下三种状态之一:

  • 未解决:违规问题尚未得到解决,或之前已获批 在对文件夹或资源进行不合规的更改之前出现的例外情况。
  • 已解决:违规已通过遵循解决问题的步骤得以解决。
  • 例外:违规已获得例外授权,并且提供了正当的业务理由。

创建工作负载时,系统会自动启用 Assured Workloads 监控 Assured Workloads 文件夹

准备工作

必需的 IAM 角色和权限

如需查看组织政策违规问题或资源违规问题,您必须获得 Assured Workloads 文件夹的 IAM 角色,该角色包含以下权限:

  • assuredworkloads.violations.get
  • assuredworkloads.violations.list

以下 Assured Workloads 工作负载中包含这些权限 IAM 角色:

  • Assured Workloads Administrator (roles/assuredworkloads.admin)
  • Assured Workloads Editor (roles/assuredworkloads.editor)
  • Assured Workloads 读取方 (roles/assuredworkloads.reader)

如需启用资源违规问题监控功能,您必须获得 Assured Workloads 文件夹中的 IAM 角色,该文件夹包含 以下权限:

  • assuredworkloads.workload.update:此权限包含在 以下角色:

    • Assured Workloads Administrator (roles/assuredworkloads.admin)
    • Assured Workloads Editor (roles/assuredworkloads.editor)
  • resourcemanager.folders.setIamPolicy:此权限包含于 管理员角色,例如:

    • Organization Administrator (roles/resourcemanager.organizationAdmin)
    • Security Admin (roles/iam.securityAdmin)

如需为违反合规性的情况提供例外情况,您必须获得 Assured Workloads 文件夹的 IAM 角色,该角色包含以下权限:

  • assuredworkloads.violations.update:此权限包含在 以下角色:

    • Assured Workloads Administrator (roles/assuredworkloads.admin)
    • Assured Workloads Editor (roles/assuredworkloads.editor)

此外,要解决组织政策违规问题并查看审核日志, 必须授予以下 IAM 角色:

  • Organization Policy Administrator (roles/orgpolicy.policyAdmin)
  • Logs Viewer (roles/logging.viewer)

设置违规电子邮件通知

默认情况下,当发生违规情况、得到解决或创建了例外时,系统会向重要联系人中的法律类别的成员发送电子邮件。这是必要的行为,因为您的法务团队需要 及时了解任何法规遵从问题。

还应该将管理违规的团队(无论是安全团队还是其他团队)添加到法律类别联系人。这样可确保在更改发生时系统发送电子邮件通知。

启用或停用通知

如需为特定 Assured Workloads 文件夹启用或停用通知,请执行以下操作:

  1. 前往 Google Cloud 控制台中的 Assured Workloads 页面:

    转到 Assured Workloads

  2. 名称列中,点击 Assured Workloads 的名称 文件夹中找到要更改通知设置的文件夹中。

  3. Assured Workloads Monitoring 卡片中,清除启用通知复选框以停用通知,或选中该复选框以为该文件夹启用通知。

Assured Workloads 文件夹页面上,已停用通知的文件夹会显示 Monitoring email notifications disabled(监控电子邮件通知已停用)。

查看组织中的违规

您可以在以下两个位置查看贵组织中的违规问题: Google Cloud 控制台和 gcloud CLI。

控制台

您可以在 位于合规部分的 Assured Workloads 页面 Google Cloud 控制台或合规性中的 Monitoring 页面 部分。

“Assured Workloads”页面

前往 Assured Workloads 页面,一目了然地查看违规情况:

转到 Assured Workloads

页面顶部会显示组织政策违规情况和资源违规情况的摘要。点击查看链接,前往 Monitoring 页面。

对于列表中的每个 Assured Workloads 文件夹,组织政策违规资源违规列中都会显示任何违规问题。未解决的违规问题 图标处于活动状态,且例外情况具有 “”图标已启用。您可以选择 以查看更多详情

如果对某个文件夹未启用资源违规问题监控功能, 图标在 Updates 中处于活跃状态 包含启用资源违规问题监控功能链接的列。点击相应链接即可启用该功能。您还可以通过点击 Assured Workloads 文件夹详情页面上的启用按钮来启用该功能。

“监控”页面

前往监控页面,详细了解违规问题:

转到“监控”

系统会显示两个标签页:组织政策违规问题资源违规问题。如果存在多项未解决的违规问题,该标签页上的 图标会处于活动状态。

默认情况下,这两个标签页中都会显示未解决的违规问题。请参阅 如需了解详情,请查看违规问题部分。

gcloud CLI

如需列出组织中当前的合规性违规,请运行以下命令:

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

其中:

  • LOCATION 是以下地点的位置: Assured Workloads 文件夹

  • ORGANIZATION_ID 是要查询的组织 ID

  • WORKLOAD_ID 是父级工作负载 ID,可通过列出工作负载找到。

对于每次违规,响应都包含以下信息:

  • 违规的审核日志链接。
  • 违规的首次发生时间。
  • 违规的类型。
  • 对违规情况的详细说明。
  • 违规的名称,可用于检索更多详细信息
  • 受影响的组织政策和相关政策限制条件。
  • 违规行为的当前状态。有效值为未解决、已解决或例外。

如需了解可选标志,请参阅 Cloud SDK 文档

查看违规详细信息

如需查看特定的合规性违规及其详细信息,请完成以下步骤:

控制台

  1. 在 Google Cloud 控制台中,前往 Monitoring 页面。

    转到“监控”

    监控页面上,系统会默认选择组织政策违规标签页。此标签页会显示组织中所有 Assured Workloads 文件夹中的所有未解决的组织政策违规问题。

    资源违规问题标签页会显示组织中所有 Assured Workloads 文件夹中与资源相关的所有未解决违规问题。

  2. 对于任一标签页,您都可以使用快速过滤条件选项按违规状态、违规类型、控制包类型、违规类型、特定文件夹、特定组织政策限制或特定资源类型进行过滤。

  3. 对于这两个标签页,如果存在现有违规行为,请点击违规 ID 以查看更多详细信息。

违规详细信息页面上,您可以执行以下任务:

  • 复制违规 ID。

  • 查看发生违规的 Assured Workloads 文件夹以及首次发生的时间。

  • 查看审核日志,其中包括:

    • 违规的发生时间。

    • 修改哪个政策导致违规,以及哪个用户进行了该修改。

    • 如果授予了例外,是由哪个用户授予的。

    • 如果适用,请查看违规的具体资源。

  • 查看受影响的组织政策。

  • 查看和添加合规性违规例外情况。一系列 显示之前的例外文件夹或资源,包括 以及用户提供的理由。

  • 安装补救步骤解决例外。

对于组织政策违规行为,您还可以看到以下信息:

  • 受影响的组织政策:如需查看与违规行为相关联的具体政策,请点击查看政策
  • 子资源违规问题:基于资源的组织政策违规问题可能会导致子资源违规问题。如需查看或解决子资源违规问题,请点击违规 ID

对于资源违规问题,您还可以看到以下内容:

  • 父级组织政策违规:如果子级资源违规是由父级组织政策违规导致的,则需要在父级级别解决这些违规问题。如需查看父级违规问题的详细信息,请点击查看违规问题
  • 特定资源上导致资源的任何其他违规问题 违规问题

gcloud CLI

如需查看合规性违规的详细信息,请运行以下命令:

gcloud assured workloads violations describe VIOLATION_PATH

其中 VIOLATION_PATH 采用以下格式:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

每次违规的 list 响应的 name 字段中都会返回 VIOLATION_PATH

响应包含以下信息:

  • 违规的审核日志链接。

  • 违规的首次发生时间。

  • 违规的类型。

  • 对违规情况的详细说明。

  • 受影响的组织政策和相关政策限制条件。

  • 解决违规的补救步骤。

  • 违规行为的当前状态。有效值为 unresolvedresolvedexception

如需了解可选标志,请参阅 Cloud SDK 文档

解决违规

如需补救违规,请完成以下步骤:

控制台

  1. 在 Google Cloud 控制台中,前往 Monitoring 页面。

    进入 Monitoring

  2. 点击违规 ID 可查看更多详细信息。

  3. 补救部分中,按照适用于 Google Cloud 控制台或 CLI 的说明解决问题。

gcloud CLI

  1. 使用 gcloud CLI 查看违规详细信息

  2. 按照响应中的补救步骤来解决违规。

添加违规例外

有时,违规可能在特定情况下有效。您可以添加 或更多违规例外情况。

控制台

  1. 在 Google Cloud 控制台中,前往 Monitoring 页面。

    转到“监控”

  2. 违规 ID 列中,点击要为其添加例外的违规。

  3. 例外部分中,点击新增

  4. 输入例外情况的业务理由。如果您希望 例外以应用于所有子资源,请选择 应用于所有现有的子级资源违规问题复选框,然后点击 提交

  5. 您可以根据需要添加更多例外情况,只需重复这些步骤并 点击新增

违规状态现在设置为例外

gcloud CLI

如需添加违规的例外,请运行以下命令:

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

其中,BUSINESS_JUSTIFICATION 是例外的原因,VIOLATION_PATH 采用以下格式:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

每次违规的 list 响应的 name 字段中都会返回 VIOLATION_PATH

成功发送命令后,违规状态将设置为例外

受监控的组织政策违规问题

Assured Workloads 监控不同的组织政策限制条件 具体取决于您应用至 Assured Workloads 文件夹。使用以下列表过滤违规问题 受其影响的控制包的影响

组织政策限制条件 违规的类型 说明 受影响的控制软件包
对 Cloud SQL 数据的不合规访问 访问

如果允许对不合规的 Cloud SQL 诊断数据进行不合规访问,就会出现此错误。

此违规是由更改控制软件包的 sql.restrictNoncompliantDiagnosticDataAccess 限制条件的合规值引起的。

欧盟区域以及对主权管制的支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
对 Compute Engine 数据的不合规访问 访问

对 Compute Engine 实例进行不合规的访问时发生 数据。

此违规行为是由于更改了控制软件包的 符合 SSL 规定的 compute.disableInstanceDataAccessApis 限制条件。

刑事司法信息系统 (CJIS)
欧盟区域以及对主权管制的支持
国际军品交易条例 (ITAR)
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
不合规的 Cloud Storage 身份验证类型 访问

如果允许不合规的身份验证类型与 Cloud Storage 搭配使用,就会发生此错误。

此违规行为是由于更改了控制软件包的 storage.restrictAuthTypes的合规值 限制条件。

欧盟区域以及对主权管制的支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
对 Cloud Storage 存储桶的不合规访问 访问

如果允许对 Cloud Storage 进行不合规的非统一存储桶级访问,就会发生此错误。

此违规行为是由于更改了控制软件包的 符合 SSL 规定的 storage.uniformBucketLevelAccess 限制条件。

欧盟区域以及对主权管制的支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
对 GKE 数据的不合规访问 访问

对 GKE 诊断信息不合规的访问时发生 数据。

此违规行为是由于更改了控制软件包的 符合 SSL 规定的 container.restrictNoncompliantDiagnosticDataAccess 限制条件。

欧盟区域以及对主权管制的支持
影响级别 4 (IL4)
影响级别 5 (IL5)
国际武器贸易条例 (ITAR)
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems Sovereign Cloud(Sovereign Controls by Partners)
不合规的 Compute Engine 诊断功能 配置

如果启用不合规的 Compute Engine 诊断功能,就会发生此错误。

此违规是由更改控制软件包的 compute.enableComplianceMemoryProtection 限制条件的合规值引起的。

欧盟区域以及对主权管制的支持
国际军品交易条例 (ITAR)
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
不合规的 Compute Engine 全球负载均衡设置 配置

为全局加载设置了不合规的值时发生 Compute Engine 中的负载均衡设置。

此违规是由更改控制软件包的 compute.disableGlobalLoadBalancing 限制条件的合规值引起的。

国际武器贸易条例 (ITAR)
不合规的 Compute Engine FIPS 设置 配置

如果为 Compute Engine 中的 FIPS 设置设置了不合规的值,就会发生此错误。

此违规行为是由于更改了控制软件包的 compute.disableNonFIPSMachineTypes的合规值 限制条件。

国际军品交易条例 (ITAR)
不合规的 Compute Engine SSL 设置 配置

为全局设置了不符合规定的值时发生 自行管理的证书

此违规是由更改控制软件包的 compute.disableGlobalSelfManagedSslCertificate 限制条件的合规值引起的。

国际军品交易条例 (ITAR)
浏览器设置中的不合规的 Compute Engine SSH 配置

为浏览器中的 SSH 设置了不符合规定的值时发生 功能

此违规是由更改控制软件包的 compute.disableSshInBrowser 限制条件的合规值引起的。

欧盟区域以及对主权管制的支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems Sovereign Cloud(Sovereign Controls by Partners)
创建不合规的 Cloud SQL 资源 配置

如果允许创建不合规的 Cloud SQL 资源,就会发生此错误。

此违规行为是由于更改了控制软件包的 符合 SSL 规定的 sql.restrictNoncompliantResourceCreation 限制条件。

欧盟区域以及对主权管制的支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems Sovereign Cloud(Sovereign Controls by Partners)
缺少 Cloud KMS 密钥限制 加密

如果未指定项目来为 CMEK 提供加密密钥,就会发生此错误。

此违规行为是由于更改了控制软件包的 gcp.restrictCmekCryptoKeyProjects的合规值 限制条件,这有助于防止未获批准的文件夹或项目 提供加密密钥

欧盟区域以及对主权管制的支持
国际武器贸易条例 (ITAR)
刑事司法信息系统 (CJIS)
S3NS 提供的本地控件(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems Sovereign Cloud(Sovereign Controls by Partners)
不合规的不支持 CMEK 的服务 加密

如果未为工作负载启用不支持 CMEK 的服务,就会发生此错误。

此违规行为是由于更改了控制软件包的 gcp.restrictNonCmekServices的合规值 限制条件。

欧盟区域以及对主权管制的支持
国际武器贸易条例 (ITAR)
刑事司法信息系统 (CJIS)
S3NS 提供的本地控件(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
不合规的 Cloud KMS 保护级别 加密

如果指定不合规的保护级别以用于 Cloud Key Management Service (Cloud KMS),就会发生此错误。请参阅 Cloud KMS 参考文档

此违规是由更改控制软件包的 cloudkms.allowedProtectionLevels 限制条件的合规值引起的。

欧盟区域以及对主权管制的支持
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems Sovereign Cloud(Sovereign Controls by Partners)
不合规的资源位置 资源位置

如果针对给定 Assured Workloads 控制包的受支持服务的资源是在工作负载的允许区域之外创建的,或者从允许的位置移动到不允许的位置,就会发生此错误。

此违规是由更改控制软件包的 gcp.resourceLocations 限制条件的合规值引起的。

刑事司法信息系统 (CJIS)
FedRAMP 中等风险级别
FedRAMP 高风险级别
医疗保健与生命科学控件
医疗保健与生命科学控件以及美国支持
影响级别 2 (IL2)
影响级别 4 (IL4)
影响级别 5 (IL5)
国际军品交易条例 (ITAR)
澳大利亚的区域
提供安心支持服务的澳大利亚区域
巴西的区域
加拿大的区域
加拿大区域和支持
Canada Protected B
智利的区域
欧盟区域
欧盟区域和支持
欧盟区域以及对主权管制的支持
印度的区域
印度尼西亚的区域
以色列的区域
以色列区域和支持
日本区域
新加坡的区域
韩国的区域
瑞士的区域
台湾的区域
英国的区域
美国的区域
美国区域和支持
S3NS 提供的本地控件(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
不合规的服务 服务使用情况

如果用户启用 Assured Workloads 文件夹中的给定 Assured Workloads 控制包不支持的服务,就会发生此错误。

此违规行为是由于更改了控制软件包的 gcp.restrictServiceUsage的合规值 限制条件。

刑事司法信息系统 (CJIS)
FedRAMP 中等风险级别
FedRAMP 高风险级别
医疗保健与生命科学控件
医疗保健与生命科学控件以及美国支持
影响级别 2 (IL2)
影响级别 4 (IL4)
影响级别 5 (IL5)
国际军品交易条例 (ITAR)
澳大利亚的区域
提供安心支持服务的澳大利亚区域
巴西的区域
加拿大的区域
加拿大区域和支持
Canada Protected B
智利的区域
欧盟区域
欧盟区域和支持
欧盟区域以及对主权管制的支持
印度的区域
印度尼西亚的区域
以色列的区域
以色列区域和支持
日本区域
新加坡的区域
韩国的区域
瑞士的区域
台湾的区域
英国的区域
美国的区域
美国区域和支持
S3NS 提供的本地控件(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems Sovereign Cloud(Sovereign Controls by Partners)

受监控的资源违规问题

Assured Workloads 会监控不同的资源违规情况,具体取决于应用于 Assured Workloads 文件夹的控制包。如需查看哪些资源类型受监控,请参阅 Cloud Asset Inventory 文档中的支持的资源类型。您可以使用以下列表按受影响的控制包过滤违规问题:

组织政策限制条件 说明 受影响的控制软件包
不合规的资源位置

当资源的位置位于不合规的区域时,就会发生此错误。

此违规是由于 gcp.resourceLocations 限制条件引起的。

提供安心支持服务的澳大利亚区域
Canada Protected B
加拿大区域和支持
刑事司法信息系统 (CJIS)
欧盟区域和支持
欧盟区域以及对主权管制的支持
FedRAMP 中等风险级别
FedRAMP 高风险级别
医疗保健与生命科学控件
医疗保健与生命科学控件以及美国支持
影响级别 4 (IL4)
影响级别 5 (IL5)
以色列区域和支持
国际军品交易条例 (ITAR)
日本区域
美国区域和支持
S3NS 提供的本地控件(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
文件夹中的不合规资源

在 Google Ads 中 Assured Workloads 文件夹

此违规行为是由 gcp.restrictServiceUsage 限制条件。

刑事司法信息系统 (CJIS)
FedRAMP 中等风险级别
FedRAMP 高风险级别
医疗保健与生命科学控件
医疗保健与生命科学控件以及美国支持
影响级别 2 (IL2)
影响级别 4 (IL4)
影响级别 5 (IL5)
国际军品交易条例 (ITAR)
澳大利亚的区域
提供安心支持服务的澳大利亚区域
巴西的区域
加拿大的区域
加拿大区域和支持
Canada Protected B
智利的区域
欧盟区域
欧盟区域和支持
欧盟区域以及对主权管制的支持
印度的区域
印度尼西亚的区域
以色列的区域
以色列区域和支持
日本区域
新加坡的区域
韩国的区域
瑞士的区域
台湾的区域
英国的区域
美国的区域
美国区域和支持
S3NS 提供的本地控件(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)
未加密(非 CMEK)的资源

如果在没有使用 CMEK 加密的情况下为 需要 CMEK 加密的服务。

此违规行为是由 gcp.restrictNonCmekServices 限制条件。

刑事司法信息系统 (CJIS)
欧盟区域以及对主权管制的支持
影响级别 5 (IL5)
国际武器贸易条例 (ITAR)
S3NS 本地控制(合作伙伴主权控制)
SIA/Minsait 主权控制(合作伙伴主权控制)
T-Systems 主权云(合作伙伴主权控制)

后续步骤