Assured Workloads-Ordner auf Verstöße prüfen

Assured Workloads überwacht Ihre Assured Workloads-Ordner aktiv auf Complianceverstöße, indem die Anforderungen des Kontrollpakets eines Ordners mit den folgenden Details verglichen werden:

  • Organisationsrichtlinie: Jeder Assured Workloads-Ordner ist mit bestimmten Einschränkungenseinstellungen für Organisationsrichtlinien konfiguriert, die für die Einhaltung der Compliance sorgen. Wenn diese Einstellungen nicht konform geändert werden, liegt ein Verstoß vor. Weitere Informationen finden Sie im Abschnitt Verstöße gegen überwachte Organisationsrichtlinien.
  • Ressourcen: Je nach den Einstellungen der Organisationsrichtlinien für den Assured Workloads-Ordner können die Ressourcen im Ordner eingeschränkt werden, z. B. ihr Typ und ihr Speicherort. Weitere Informationen finden Sie im Abschnitt Verstöße gegen überwachte Ressourcen. Wenn Ressourcen nicht den Richtlinien entsprechen, liegt ein Verstoß vor.

Wenn ein Verstoß auftritt, können Sie ihn beheben oder gegebenenfalls Ausnahmen erstellen. Ein Verstoß kann einen von drei Status haben:

  • Nicht behoben:Der Verstoß wurde nicht behoben oder es wurde zuvor eine Ausnahme gewährt, bevor nicht konforme Änderungen am Ordner oder an der Ressource vorgenommen wurden.
  • Behoben: Der Verstoß wurde durch die folgenden Schritte zur Behebung des Problems behoben.
  • Ausnahme: Dem Verstoß wurde eine Ausnahme gewährt und eine geschäftliche Begründung wurde angegeben.

Das Assured Workloads-Monitoring wird automatisch aktiviert, wenn Sie einen Assured Workloads-Ordner erstellen.

Hinweise

Erforderliche IAM-Rollen und -Berechtigungen

Wenn Sie Verstöße gegen Organisationsrichtlinien oder Ressourcenverstöße aufrufen möchten, müssen Sie eine IAM-Rolle für den Ordner „Assured Workloads“ mit den folgenden Berechtigungen haben:

  • assuredworkloads.violations.get
  • assuredworkloads.violations.list

Diese Berechtigungen sind in den folgenden IAM-Rollen für Assured Workloads enthalten:

  • Assured Workloads-Administrator (roles/assuredworkloads.admin)
  • Assured Workloads-Bearbeiter (roles/assuredworkloads.editor)
  • Leser von Assured Workloads (roles/assuredworkloads.reader)

Wenn Sie das Monitoring von Ressourcenverstößen aktivieren möchten, müssen Sie für den Ordner „Assured Workloads“ eine IAM-Rolle mit den folgenden Berechtigungen haben:

  • assuredworkloads.workload.update: Diese Berechtigung ist in den folgenden Rollen enthalten:

    • Assured Workloads-Administrator (roles/assuredworkloads.admin)
    • Assured Workloads-Bearbeiter (roles/assuredworkloads.editor)

  • resourcemanager.folders.setIamPolicy: Diese Berechtigung ist in Verwaltungsrollen enthalten, z. B. in den folgenden:

    • Administrator der Organisation (roles/resourcemanager.organizationAdmin)
    • Sicherheitsadministrator (roles/iam.securityAdmin)

Wenn Sie Ausnahmen für Verstöße gegen die Compliance-Richtlinien festlegen möchten, müssen Sie eine IAM-Rolle für den Assured Workloads-Ordner mit der folgenden Berechtigung haben:

  • assuredworkloads.violations.update: Diese Berechtigung ist in den folgenden Rollen enthalten:

    • Assured Workloads-Administrator (roles/assuredworkloads.admin)
    • Assured Workloads-Bearbeiter (roles/assuredworkloads.editor)

Darüber hinaus müssen Sie die folgenden IAM-Rollen zuweisen, um Verstöße gegen Organisationsrichtlinien zu beheben und Audit-Logs aufzurufen:

  • Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin)
  • Loganzeige (roles/logging.viewer)

E-Mail-Benachrichtigungen zu Verstößen einrichten

Wenn ein Compliance-Verstoß bei einer Organisation auftritt, behoben wird oder eine Ausnahme gemacht wird, werden Mitglieder der Kategorie Rechtliche Hinweise in Wichtige Kontakte standardmäßig per E-Mail benachrichtigt. Das ist notwendig, weil Ihre Rechtsabteilung bei gesetzlichen Compliance-Problemen immer auf dem neuesten Stand sein muss.

Ihr Team, das die Verstöße verwaltet, egal ob es sich um ein Sicherheitsteam oder anderweitig handelt, sollte ebenfalls als Kontakt in der Rechtskategorie hinzugefügt werden. So werden sie per E-Mail benachrichtigt, wenn Änderungen auftreten.

Benachrichtigungen aktivieren oder deaktivieren

So aktivieren oder deaktivieren Sie Benachrichtigungen für einen bestimmten Assured Workloads-Ordner:

  1. Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf:

    Zu „Assured Workloads“

  2. Klicken Sie in der Spalte Name auf den Namen des Ordners „Sichere Arbeitslasten“, dessen Benachrichtigungseinstellungen Sie ändern möchten.

  3. Heben Sie auf der Karte Assured Workloads-Monitoring das Kästchen Benachrichtigungen aktivieren auf, um Benachrichtigungen zu deaktivieren, oder klicken Sie darauf, um Benachrichtigungen für den Ordner zu aktivieren.

Auf der Seite Assured Workloads-Ordner wird bei Ordnern, für die Benachrichtigungen deaktiviert sind, E‑Mail-Benachrichtigungen für das Monitoring deaktiviert angezeigt.

Verstöße gegen die Organisation aufrufen

Sie können Verstöße in Ihrer Organisation sowohl in der Google Cloud Console als auch in der gcloud-Befehlszeile aufrufen.

Console

Sie können sich die Anzahl der Verstöße in Ihrer Organisation auf der Seite Assured Workloads im Bereich Compliance der Google Cloud Console oder auf der Seite Monitoring im Bereich Compliance ansehen.

Seite „Assured Workloads“

Rufen Sie die Seite Assured Workloads auf, um Verstöße auf einen Blick zu sehen:

Zu „Assured Workloads“

Oben auf der Seite wird eine Zusammenfassung der Verstöße gegen Organisationsrichtlinien und Ressourcen angezeigt. Klicken Sie auf den Link Anzeigen, um die Seite Monitoring aufzurufen.

Für jeden Assured Workloads-Ordner in der Liste werden alle Verstöße in den Spalten Verstöße gegen Organisationsrichtlinien und Ressourcenverstöße angezeigt. Bei nicht behobenen Verstößen ist das Symbol aktiv und bei Ausnahmen das Symbol . Sie können einen Verstoß oder eine Ausnahme auswählen, um weitere Details aufzurufen.

Wenn das Monitoring von Ressourcenverstößen für einen Ordner nicht aktiviert ist, ist das Symbol  in der Spalte Aktualisierungen aktiv und enthält den Link Monitoring von Ressourcenverstößen aktivieren. Klicken Sie auf den Link, um die Funktion zu aktivieren. Sie können die Funktion auch aktivieren, indem Sie auf der Detailseite des Ordners „Assured Workloads“ auf die Schaltfläche Aktivieren klicken.

Monitoringseite

Rufen Sie die Seite Monitoring auf, um Verstöße genauer zu sehen:

Zu Monitoring

Es werden zwei Tabs angezeigt: Verstöße gegen Organisationsrichtlinien und Ressourcenverstöße. Wenn mehr als ein nicht behobener Verstoß vorliegt, ist das Symbol  auf dem Tab aktiv.

Auf beiden Tabs werden standardmäßig nicht behobene Verstöße angezeigt. Weitere Informationen finden Sie unten im Abschnitt Details zur Verwarnung ansehen.

gcloud-CLI

Führen Sie den folgenden Befehl aus, um die aktuellen Compliance-Verstöße in Ihrer Organisation aufzulisten:

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

Wobei:

In der Antwort sind für jeden Verstoß die folgenden Informationen enthalten:

  • Einen Link zum Audit-Log für den Verstoß.
  • Das erste Mal, dass der Verstoß aufgetreten ist.
  • Die Art des Verstoßes.
  • Eine Beschreibung der Urheberrechtsverletzung
  • Der Name des Verstoßes, mit dem weitere Details abgerufen werden können.
  • Die betroffene Organisationsrichtlinie und die zugehörige Richtlinieneinschränkung.
  • Der aktuelle Status des Verstoßes. Gültige Werte sind „nicht aufgelöst“, „aufgelöst“ oder „Ausnahme“.

Optionale Flags finden Sie in der Cloud SDK-Dokumentation.

Details zum Verstoß / zu den Verstößen anzeigen

Führen Sie die folgenden Schritte aus, um bestimmte Compliance-Verstöße und ihre Details aufzurufen:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

    Auf der Seite Monitoring ist standardmäßig der Tab Verstöße gegen die Organisationsrichtlinien ausgewählt. Auf diesem Tab werden alle nicht behobenen Verstöße gegen Organisationsrichtlinien in Assured Workloads-Ordnern in der Organisation angezeigt.

    Auf dem Tab Ressourcenverstöße werden alle nicht behobenen Verstöße angezeigt, die mit der Ressource in allen Assured Workloads-Ordnern in der Organisation verknüpft sind.

  2. Auf beiden Tabs können Sie mit den Schnellfiltern nach Verstoßstatus, Verstoßtyp, Kontrollpakettyp, bestimmten Ordnern, bestimmten Einschränkungen von Organisationsrichtlinien oder bestimmten Ressourcentypen filtern.

  3. Wenn auf einem der Tabs Verstöße vorliegen, klicken Sie auf die entsprechende Verstoß-ID, um weitere Informationen zu erhalten.

Auf der Seite Details zu Verstößen können Sie die folgenden Aufgaben ausführen:

  • Kopieren Sie die ID des Verstoßes.

  • Sehen Sie sich den Assured Workloads-Ordner an, in dem der Verstoß aufgetreten ist, und wann der Verstoß aufgetreten ist.

  • Prüfen Sie das Audit-Log, das Folgendes enthält:

    • Zeitpunkt des Verstoßes

    • Welche Richtlinie geändert wurde, um den Verstoß zu verursachen, und welcher Nutzer die Änderung vorgenommen hat

    • Wenn eine Ausnahme gewährt wurde, welcher Nutzer sie erteilt hat.

    • Sehen Sie sich gegebenenfalls die Ressource an, auf der der Verstoß aufgetreten ist.

  • Rufen Sie die betroffene Organisationsrichtlinie auf.

  • Ausnahmen für Complianceverstöße ansehen und hinzufügen Es wird eine Liste der bisherigen Ausnahmen für den Ordner oder die Ressource angezeigt, einschließlich des Nutzers, der die Ausnahme gewährt hat, und der vom Nutzer angegebenen Begründung.

  • Folgen Sie den Schritten, um die Ausnahme zu beheben.

Bei Verstößen gegen Organisationsrichtlinien sehen Sie außerdem Folgendes:

  • Betroffene Organisationsrichtlinie: Klicken Sie auf Richtlinie ansehen, um die spezifische Richtlinie aufzurufen, die mit dem Verstoß gegen die Compliance verbunden ist.
  • Verstöße gegen untergeordnete Ressourcen: Ressourcenbasierte Verstöße gegen Organisationsrichtlinien können zu Verstößen gegen untergeordnete Ressourcen führen. Klicken Sie auf die Verstoß-ID, um Verstöße bei untergeordneten Ressourcen aufzurufen oder zu beheben.

Bei Verstößen gegen die Richtlinien für Ressourcen sehen Sie außerdem Folgendes:

  • Verstöße gegen die Richtlinie der übergeordneten Organisation: Wenn Verstöße gegen die Richtlinie der übergeordneten Organisation zu einem Verstoß bei einer untergeordneten Ressource führen, müssen sie auf übergeordneter Ebene behoben werden. Klicken Sie auf Verstoß ansehen, um die Details zum übergeordneten Verstoß aufzurufen.
  • Alle anderen Verstöße gegen die jeweilige Ressource, die den Ressourcenverstoß verursachen, sind ebenfalls sichtbar.

gcloud-CLI

Führen Sie den folgenden Befehl aus, um die Details eines Complianceverstoßes aufzurufen:

gcloud assured workloads violations describe VIOLATION_PATH

Dabei hat VIOLATION_PATH das folgende Format:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

Der VIOLATION_PATH-Wert wird für jeden Verstoß im Feld name der Antwort list zurückgegeben.

Die Antwort enthält die folgenden Informationen:

  • Einen Link zum Audit-Log für den Verstoß.

  • Das erste Mal, dass der Verstoß aufgetreten ist.

  • Die Art des Verstoßes.

  • Eine Beschreibung der Urheberrechtsverletzung

  • Die betroffene Organisationsrichtlinie und die zugehörige Richtlinieneinschränkung.

  • Schritte zur Behebung des Verstoßes

  • Der aktuelle Status des Verstoßes. Gültige Werte sind unresolved, resolved oder exception.

Optionale Flags finden Sie in der Cloud SDK-Dokumentation.

Verstöße beheben

Führen Sie folgende Schritte aus, um einen Verstoß zu beheben:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

  2. Klicken Sie auf die ID des Verstoßes, um weitere Informationen zu erhalten.

  3. Folgen Sie im Abschnitt Korrektur der Anleitung für die Google Cloud Console oder Befehlszeile, um das Problem zu beheben.

gcloud-CLI

  1. Sehen Sie sich die Details zum Verstoß mithilfe der gcloud-CLI an.

  2. Folgen Sie den Schritten in der Antwort, um den Verstoß zu beheben.

Ausnahmen für Verstöße hinzufügen

Manchmal ist ein Verstoß für eine bestimmte Situation gültig. Führen Sie die folgenden Schritte aus, um eine oder mehrere Ausnahmen für einen Verstoß hinzuzufügen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

  2. Klicken Sie in der Spalte Verstoß-ID auf den Verstoß, für den Sie die Ausnahme hinzufügen möchten.

  3. Klicken Sie im Bereich Ausnahmen auf Neu hinzufügen.

  4. Geben Sie eine geschäftliche Begründung für die Ausnahme ein. Wenn die Ausnahme auf alle untergeordneten Ressourcen angewendet werden soll, klicken Sie das Kästchen Auf alle vorhandenen untergeordneten Ressourcenverstöße anwenden an und klicken Sie auf Senden.

  5. Sie können nach Bedarf weitere Ausnahmen hinzufügen. Wiederholen Sie dazu diese Schritte und klicken Sie auf Neu hinzufügen.

Der Status des Verstoßes ist jetzt Ausnahme.

gcloud-CLI

Führen Sie folgenden Befehl aus, um eine Ausnahme für einen Verstoß hinzuzufügen:

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

Dabei ist BUSINESS_JUSTIFICATION der Grund für die Ausnahme und VIOLATION_PATH hat das folgende Format:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

Der VIOLATION_PATH-Wert wird für jeden Verstoß im Feld name der Antwort list zurückgegeben.

Nachdem der Befehl erfolgreich gesendet wurde, wird der Verstoßstatus auf Ausnahme gesetzt.

Überwachte Verstöße gegen Organisationsrichtlinien

Assured Workloads überwacht verschiedene Verstöße gegen Einschränkungsrichtlinien für Organisationsrichtlinien, je nach dem für Ihren Assured Workloads-Ordner angewendeten Kontrollpaket. Anhand der folgenden Liste können Sie Verstöße nach dem betroffenen Steuerelementpaket filtern.

Organisationsrichtlinie-Beschränkung Art des Verstoßes Beschreibung Betroffene Kontrollpakete
Nicht konformer Zugriff auf Cloud SQL-Daten Zugriff

Tritt auf, wenn der nicht konforme Zugriff auf nicht konforme Cloud SQL-Diagnosedaten zulässig ist.

Dieser Verstoß wird durch das Ändern des konformen Werts des Steuerpakets für die Einschränkung sql.restrictNoncompliantDiagnosticDataAccess verursacht.
Steuerung der Datenhoheit in der EU
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)
Nicht konformer Zugriff auf Compute Engine-Daten Zugriff

Tritt auf, wenn der nicht konforme Zugriff auf Compute Engine-Instanzdaten zulässig ist.

Dieser Verstoß wird durch das Ändern des konformen Werts des Steuerpakets für die Einschränkung compute.disableInstanceDataAccessApis verursacht.
Criminal Justice Information Systems (CJIS)
Steuerung der Datenhoheit in der EU
International Traffic in Arms Regulations (ITAR)
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)
Nicht konforme Cloud Storage-Authentifizierungstypen Zugriff

Tritt auf, wenn nicht konforme Authentifizierungstypen zur Verwendung mit Cloud Storage zulässig sind.

Dieser Verstoß wird durch das Ändern des konformen Werts des Steuerpakets für die Einschränkung storage.restrictAuthTypes verursacht.
Steuerung der Datenhoheit in der EU
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)
Nicht konformer Zugriff auf Cloud Storage-Buckets Zugriff

Tritt auf, wenn ein nicht konformer, nicht einheitlicher Zugriff auf Cloud Storage auf Bucket-Ebene zulässig ist.

Dieser Verstoß wird durch das Ändern des konformen Werts des Steuerpakets für die Einschränkung storage.uniformBucketLevelAccess verursacht.
Steuerung der Datenhoheit in der EU
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)
Nicht konformer Zugriff auf GKE-Daten Zugriff

Tritt auf, wenn der nicht konforme Zugriff auf GKE-Diagnosedaten zulässig ist.

Dieser Verstoß wird durch das Ändern des konformen Werts des Steuerpakets für die Einschränkung container.restrictNoncompliantDiagnosticDataAccess verursacht.
Steuerung der Datenhoheit in der EU
Impact Level 4 (IL4)
Impact Level 5 (IL5)
International Traffic in Arms Regulations (ITAR)
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)
Nicht konforme Compute Engine-Diagnosefunktionen Konfiguration

Tritt auf, wenn nicht konforme Compute Engine-Diagnosefunktionen aktiviert wurden.

Dieser Verstoß wird durch das Ändern des konformen Werts des Steuerpakets für die Einschränkung compute.enableComplianceMemoryProtection verursacht.
Steuerung der Datenhoheit in der EU
International Traffic in Arms Regulations (ITAR)
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)
Nicht konforme globale Compute Engine-Load Balancing-Einstellung Konfiguration

Tritt auf, wenn ein nicht konformer Wert für die globale Load Balancing-Einstellung in der Compute Engine festgelegt wurde.

Dieser Verstoß wird durch das Ändern des konformen Werts des Steuerpakets für die Einschränkung compute.disableGlobalLoadBalancing verursacht.
International Traffic in Arms Regulations (ITAR)
Nicht konforme Compute Engine-FIPS-Einstellung Konfiguration

Tritt auf, wenn ein nicht konformer Wert für die FIPS-Einstellung in der Compute Engine festgelegt wurde.

Dieser Verstoß wird durch das Ändern des konformen Werts des Steuerpakets für die Einschränkung compute.disableNonFIPSMachineTypes verursacht.
International Traffic in Arms Regulations (ITAR)
Nicht konforme Compute Engine-SSL-Einstellung Konfiguration

Tritt auf, wenn ein nicht konformer Wert für globale selbstverwaltete Zertifikate festgelegt wurde.

Dieser Verstoß wird durch das Ändern des konformen Werts des Steuerpakets für die Einschränkung compute.disableGlobalSelfManagedSslCertificate verursacht.
International Traffic in Arms Regulations (ITAR)
Nicht konforme Compute Engine-SSH in Browser-Einstellungen Konfiguration

Tritt auf, wenn ein nicht konformer Wert für die SSH-Funktion im Browser in Compute Engine festgelegt wurde.

Dieser Verstoß wird durch das Ändern des konformen Werts des Steuerpakets für die Einschränkung compute.disableSshInBrowser verursacht.
Steuerung der Datenhoheit in der EU
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)
Nicht konforme Cloud SQL-Ressourcenerstellung Konfiguration

Tritt auf, wenn die Erstellung nicht konformer Cloud SQL-Ressourcen zulässig ist.

Dieser Verstoß wird durch das Ändern des konformen Werts des Steuerpakets für die Einschränkung sql.restrictNoncompliantResourceCreation verursacht.
Steuerung der Datenhoheit in der EU
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)
Fehlende Einschränkung für Cloud KMS-Schlüssel Verschlüsselung

Tritt auf, wenn keine Projekte angegeben sind, um Verschlüsselungsschlüssel für CMEK bereitzustellen.

Dieser Verstoß wird dadurch verursacht, dass Sie den konformen Wert des Steuerpakets für die Einschränkung gcp.restrictCmekCryptoKeyProjects ändern. Dadurch wird verhindert, dass nicht genehmigte Ordner oder Projekte Verschlüsselungsschlüssel bereitstellen.
Steuerung der Datenhoheit in der EU
International Traffic in Arms Regulations (ITAR)
Criminal Justice Information Systems (CJIS)
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)
Nicht konformer, nicht CMEK-fähiger Dienst Verschlüsselung

Tritt auf, wenn ein Dienst, der CMEK nicht unterstützt, für die Arbeitslast aktiviert ist.

Dieser Verstoß wird durch das Ändern des konformen Werts des Steuerpakets für die Einschränkung gcp.restrictNonCmekServices verursacht.
Steuerung der Datenhoheit in der EU
International Traffic in Arms Regulations (ITAR)
Criminal Justice Information Systems (CJIS)
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)
Nicht konforme Cloud KMS-Schutzniveaus Verschlüsselung

Tritt auf, wenn nicht konforme Schutzniveaus für die Verwendung mit dem Cloud Key Management Service (Cloud KMS) angegeben sind. Weitere Informationen finden Sie in der Cloud KMS-Referenz .

Dieser Verstoß wird durch das Ändern des konformen Werts des Steuerpakets für die Einschränkung cloudkms.allowedProtectionLevels verursacht.
Steuerung der Datenhoheit in der EU
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)
Nicht konforme Ressourcenstandorte Ressourcenstandort

Tritt auf, wenn Ressourcen unterstützter Dienste für ein bestimmtes Assured Workloads-Kontrollpaket entweder außerhalb der für die Arbeitslast zulässigen Region erstellt oder von einem zulässigen Standort an einen nicht zulässigen Standort verschoben werden.

Dieser Verstoß wird durch das Ändern des konformen Werts des Steuerpakets für die Einschränkung gcp.resourceLocations verursacht.

Criminal Justice Information Systems (CJIS)
FedRAMP Moderate
FedRAMP High
Kontrollen für Gesundheitswesen und Biowissenschaften
Kontrollen für Gesundheitswesen und Biowissenschaften mit US-Support
Impact Level 2 (IL2)
Impact Level 4 (IL4)
Impact Level 5 (IL5)
International Traffic in Arms Regulations (ITAR)
Regionen in Australien
Regionen in Australien mit Assured-Support
Regionen in Brasilien
Regionen in Kanada
Regionen und Support in Kanada
„Protected B“ von Kanada
Regionen in Chile
EU-Regionen
Regionen und Support in der EU
Steuerung der Datenhoheit in der EU
Regionen in Hongkong
Regionen in Indien
Regionen in Indonesien
Regionen in Israel
Regionen und Support in Israel
Regionen in Japan
Regionen in Katar
Regionen in Singapur
Regionen in Südafrika
Regionen in Südkorea
Regionen in der Schweiz
Regionen in Taiwan
Regionen im Vereinigten Königreich
US-Regionen
Regionen und Support in den USA
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)
Nicht konforme Dienste Service Usage

Tritt auf, wenn ein Nutzer einen Dienst aktiviert, der nicht von einem bestimmten Assured Workloads-Kontrollpaket in einem Assured Workloads-Ordner unterstützt wird.

Dieser Verstoß wird durch das Ändern des konformen Werts des Steuerpakets für die Einschränkung gcp.restrictServiceUsage verursacht.
Criminal Justice Information Systems (CJIS)
FedRAMP Moderate
FedRAMP High
Kontrollen für Gesundheitswesen und Biowissenschaften
Kontrollen für Gesundheitswesen und Biowissenschaften mit US-Support
Impact Level 2 (IL2)
Impact Level 4 (IL4)
Impact Level 5 (IL5)
International Traffic in Arms Regulations (ITAR)
Regionen in Australien
Regionen in Australien mit Assured-Support
Regionen in Brasilien
Regionen in Kanada
Regionen und Support in Kanada
„Protected B“ von Kanada
Regionen in Chile
EU-Regionen
Regionen und Support in der EU
Steuerung der Datenhoheit in der EU
Regionen in Hongkong
Regionen in Indien
Regionen in Indonesien
Regionen in Israel
Regionen und Support in Israel
Regionen in Japan
Regionen in Katar
Regionen in Singapur
Regionen in Südafrika
Regionen in Südkorea
Regionen in der Schweiz
Regionen in Taiwan
Regionen im Vereinigten Königreich
US-Regionen
Regionen und Support in den USA
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)

Überwachte Ressourcenverstöße

Assured Workloads überwacht je nach dem für Ihren Assured Workloads-Ordner angewendeten Kontrollpaket verschiedene Ressourcenverstöße. Informationen dazu, welche Ressourcentypen überwacht werden, finden Sie in der Cloud Asset Inventory-Dokumentation unter Unterstützte Ressourcentypen. Anhand der folgenden Liste können Sie Verstöße nach dem betroffenen Steuerelementpaket filtern:

Organisationsrichtlinie-Beschränkung Beschreibung Betroffene Kontrollpakete
Nicht konformer Ressourcenstandort

Tritt auf, wenn sich der Speicherort einer Ressource in einer nicht konformen Region befindet.

Dieser Verstoß wird durch die Einschränkung gcp.resourceLocations verursacht.
Regionen in Australien mit Assured-Support
„Protected B“ von Kanada
Regionen und Support in Kanada
Criminal Justice Information Systems (CJIS)
Regionen und Support in der EU
Steuerung der Datenhoheit in der EU
FedRAMP Moderate
FedRAMP High
Kontrollen für Gesundheitswesen und Biowissenschaften
Kontrollen für Gesundheitswesen und Biowissenschaften mit US-Support
Impact Level 4 (IL4)
Impact Level 5 (IL5)
Regionen und Support in Israel
International Traffic in Arms Regulations (ITAR)
Regionen in Japan
Regionen und Support in den USA
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)
Nicht konforme Ressourcen im Ordner

Tritt auf, wenn im Assured Workloads-Ordner eine Ressource für einen nicht unterstützten Dienst erstellt wird.

Dieser Verstoß wird durch die Einschränkung gcp.restrictServiceUsage verursacht.
Criminal Justice Information Systems (CJIS)
FedRAMP Moderate
FedRAMP High
Kontrollen für Gesundheitswesen und Biowissenschaften
Kontrollen für Gesundheitswesen und Biowissenschaften mit US-Support
Impact Level 2 (IL2)
Impact Level 4 (IL4)
Impact Level 5 (IL5)
International Traffic in Arms Regulations (ITAR)
Regionen in Australien
Regionen in Australien mit Assured-Support
Regionen in Brasilien
Regionen in Kanada
Regionen und Support in Kanada
„Protected B“ von Kanada
Regionen in Chile
EU-Regionen
Regionen und Support in der EU
Steuerung der Datenhoheit in der EU
Regionen in Hongkong
Regionen in Indien
Regionen in Indonesien
Regionen in Israel
Regionen und Support in Israel
Regionen in Japan
Regionen in Katar
Regionen in Singapur
Regionen in Südafrika
Regionen in der Schweiz
Regionen in Taiwan
Regionen im Vereinigten Königreich
US-Regionen
Regionen und Support in den USA
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)
Nicht verschlüsselte (nicht CMEK-verschlüsselte) Ressourcen

Tritt auf, wenn eine Ressource ohne CMEK-Verschlüsselung für einen Dienst erstellt wird, für den eine CMEK-Verschlüsselung erforderlich ist.

Dieser Verstoß wird durch die Einschränkung gcp.restrictNonCmekServices verursacht.
Criminal Justice Information Systems (CJIS)
Steuerung der Datenhoheit in der EU
Impact Level 5 (IL5)
International Traffic in Arms Regulations (ITAR)
Lokale Kontrollen durch S3NS (Steuermöglichkeiten für die Datenhoheit durch Partner)
Datenhoheitskontrollen durch SIA/Minsait (Datenhoheitskontrollen durch Partner)
T-Systems Sovereign Cloud (Steuerung der Datenhoheit durch Partner)

Nächste Schritte