Supervisa una carpeta de Assured Workloads para detectar incumplimientos

Assured Workloads supervisa activamente tus Assured Workloads en busca de infracciones de cumplimiento a través de la comparación de los requisitos control package con la siguiente información: detalles:

  • Política de la organización: Cada carpeta de Assured Workloads está configurada con la configuración específica de restricciones de políticas de la organización y cumplimiento. Cuando se cambia esta configuración de manera no conforme, se produce una violación. Consulta la sección Incumplimientos de políticas de la organización supervisados para obtener más información.
  • Recursos: Según la carpeta de Assured Workloads de la política de la organización, es posible que los recursos restringido, como su tipo y ubicación. Consulta la Sección Incumplimientos de recursos supervisados para obtener más información información. Si algún recurso no las cumple, se producirá un incumplimiento.

Cuando se produce un incumplimiento, puedes resolverlo o crear excepciones cuando corresponda. Un incumplimiento puede tener uno de tres estados:

  • Sin resolver: El incumplimiento no se resolvió o se otorgó anteriormente una excepción antes de que se realizaran cambios que no cumplen con las políticas en la carpeta o el recurso.
  • Resuelto: El incumplimiento se abordó y se siguieron pasos para solucionar el problema.
  • Excepción: Se otorgó una excepción al incumplimiento y se proporcionó una justificación de la empresa.

La supervisión de Assured Workloads se habilita automáticamente cuando creas una una carpeta de Assured Workloads.

Antes de comenzar

Roles y permisos de IAM obligatorios

Para ver los incumplimientos de las políticas de la organización o de los recursos, debes tener un rol de IAM en la carpeta Assured Workloads que contenga los siguientes permisos:

  • assuredworkloads.violations.get
  • assuredworkloads.violations.list

Estos permisos se incluyen en las siguientes Assured Workloads Roles de IAM:

  • Administrador de Assured Workloads (roles/assuredworkloads.admin)
  • Editor de Assured Workloads (roles/assuredworkloads.editor)
  • Lector de Assured Workloads (roles/assuredworkloads.reader)

Para habilitar la supervisión de incumplimientos de recursos, debes obtener un de IAM en la carpeta de Assured Workloads que contiene los siguientes permisos:

  • assuredworkloads.workload.update: Este permiso se incluye en el los siguientes roles:

    • Administrador de Assured Workloads (roles/assuredworkloads.admin)
    • Editor de Assured Workloads (roles/assuredworkloads.editor)
  • resourcemanager.folders.setIamPolicy: Este permiso se incluye en administrativos, como los siguientes:

    • Administrador de la organización (roles/resourcemanager.organizationAdmin)
    • Administrador de seguridad (roles/iam.securityAdmin)

Para proporcionar excepciones para los incumplimientos de cumplimiento, debes tener un rol de IAM en la carpeta de Assured Workloads que contenga el siguiente permiso:

  • assuredworkloads.violations.update: Este permiso se incluye en el los siguientes roles:

    • Administrador de Assured Workloads (roles/assuredworkloads.admin)
    • Editor de Assured Workloads (roles/assuredworkloads.editor)

Además, para resolver incumplimientos de políticas y ver registros de auditoría, se deben otorgar los siguientes roles de IAM:

  • Administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
  • Visor de registros (roles/logging.viewer)

Configura las notificaciones de incumplimiento por correo electrónico

Cuando se produce o se resuelve una infracción del cumplimiento de la organización, o cuando una los miembros de la categoría Legal en Los contactos esenciales son se envían por correo electrónico de forma predeterminada. Este comportamiento es necesario porque tu equipo legal debe mantenerse al día con los problemas de cumplimiento de normas.

El equipo que administra los incumplimientos, ya sea un equipo de seguridad o de lo contrario, también deben agregados a la categoría Legal como contactos. Esto garantiza que reciban notificaciones por correo electrónico a medida que se produzcan cambios.

Cómo habilitar o inhabilitar las notificaciones

Habilita o inhabilita las notificaciones de una cuenta de Assured Workloads específica. carpeta:

  1. Ve a la página Assured Workloads en la consola de Google Cloud:

    Ir a Assured Workloads

  2. En la columna Nombre, haz clic en el nombre de Assured Workloads. carpeta cuya configuración de notificaciones quieres cambiar.

  3. En la tarjeta Supervisión de Assured Workloads, borra las La casilla de verificación Habilitar notificaciones para inhabilitar las notificaciones, o bien selecciónala habilitar las notificaciones de la carpeta.

En la página Carpetas de Assured Workloads, carpetas que tienen notificaciones. inhabilitado el programa La supervisión de notificaciones por correo electrónico está inhabilitada.

Visualiza los incumplimientos en tu organización

Puedes ver los incumplimientos en toda tu organización en la la consola de Google Cloud y gcloud CLI.

Console

Puedes ver la cantidad de incumplimientos que hay en tu organización en la página Assured Workloads en la sección Cumplimiento de la consola de Google Cloud o en la página Supervisión en la sección Cumplimiento.

Página de Assured Workloads

Ve a la página Assured Workloads para consultar un resumen de los incumplimientos:

Ir a Assured Workloads

En la parte superior de la página, hay un resumen de los incumplimientos de las políticas de la organización y incumplimientos de recursos. Haz clic en el vínculo Ver para ir a Página de supervisión

Para cada carpeta de Assured Workloads de la lista, se aplica cualquier incumplimiento que se muestran en las columnas Incumplimientos de políticas de la organización e Incumplimientos de recursos. Los incumplimientos sin resolver tienen la activo, y las excepciones tienen la El ícono está activo. Puedes seleccionar una violación o excepción para ver más detalles.

Si la supervisión de incumplimientos de recursos no está habilitada en una carpeta, el El ícono de está activo en Actualizaciones. columna con un vínculo Habilitar la supervisión de incumplimientos de recursos. Haz clic en el vínculo. para habilitar la función. También puedes habilitarla haciendo clic en el botón Habilitar de la página de detalles de la carpeta de Assured Workloads.

Página de supervisión

Ve a la página Monitoring para ver los incumplimientos con más detalle:

Ir a Monitoring

Aparecen dos pestañas: Incumplimientos de políticas de la organización y Incumplimientos de recursos. Si existe más de un incumplimiento no resuelto, el El ícono está activo en la pestaña.

En cualquiera de las pestañas, los incumplimientos sin resolver se muestran de forma predeterminada. Consulta la Consulte la sección de detalles del incumplimiento a continuación para obtener más información.

gcloud CLI

Para mostrar una lista de las infracciones de cumplimientos actuales en tu organización, ejecuta el siguiente comando:

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

Aquí:

En la respuesta, se incluye la siguiente información para cada incumplimiento:

  • Un vínculo del registro de auditoría del incumplimiento.
  • La primera vez que ocurrió el incumplimiento.
  • El tipo de incumplimiento.
  • Una descripción del incumplimiento.
  • El nombre del incumplimiento, que se puede usar para recuperar más detalles.
  • La política de la organización afectada y la restricción de política relacionada.
  • El estado actual del incumplimiento. Los valores válidos son sin resolver, resuelto o excepción.

Para ver las marcas opcionales, consulta la Documentación del SDK de Cloud.

Ver detalles de los incumplimientos

Para ver incumplimientos específicos y sus detalles, completa los siguientes pasos:

Consola

  1. En la consola de Google Cloud, ve a la página Supervisión.

    Ir a Monitoring

    En la página Supervisión, se encuentra la pestaña Incumplimientos de políticas de la organización. seleccionada de forma predeterminada. En esta pestaña, se muestran todas las políticas de la organización sin resolver incumplimientos en las carpetas de Assured Workloads de la organización.

    En la pestaña Incumplimientos de recursos, se muestran todos los incumplimientos no resueltos asociados con el recurso en todas las carpetas de Assured Workloads de la organización.

  2. En ambas pestañas, usa las opciones de Filtros rápidos para filtrar por incumplimiento. estado, tipo de incumplimiento, tipo de paquete de control, tipo de incumplimiento, específico carpetas específicas, restricciones específicas de la política de la organización o recursos específicos de tipos de datos.

  3. En cualquiera de las pestañas, si hay incumplimientos existentes, haz clic en un ID de incumplimiento para ver información más detallada.

En la página Detalles del incumplimiento, puedes realizar las siguientes tareas:

  • Copiar el ID del incumplimiento.

  • Consulta la carpeta de Assured Workloads en la que se produjo el incumplimiento. y a qué hora ocurrió por primera vez.

  • Ver el registro de auditoría, que incluye lo siguiente:

    • Cuándo ocurrió el incumplimiento.

    • Qué política se modificó para provocar el incumplimiento y qué usuario hizo sobre esa modificación.

    • Si se otorgó una excepción, qué usuario la otorgó.

    • Cuando corresponda, ver el recurso específico en el que se produjo el incumplimiento.

  • Consultar la política de la organización afectada.

  • Consulta y agrega excepciones de incumplimientos. Una lista de excepciones anteriores de la carpeta o el recurso, incluida la política que otorgó la excepción y la justificación proporcionada por el usuario.

  • Sigue los pasos de corrección para resolver la excepción.

En el caso de los incumplimientos de políticas de la organización, también puedes ver lo siguiente:

  • Política de la organización afectada: Para ver la política específica asociada con el incumplimiento de políticas, haz clic en Ver política.
  • Incumplimientos de recursos secundarios: Los incumplimientos de las políticas de la organización basados en recursos pueden causar incumplimientos de recursos secundarios. Para ver o resolver elemento secundario incumplimientos de recursos, haz clic en ID de incumplimiento.

En el caso de incumplimientos de recursos, también puedes ver lo siguiente:

  • Incumplimientos de las políticas de la organización superior: Cuando la política de la organización superior incumplimientos son la causa de un incumplimiento de recurso secundario, deben abordarse a nivel principal. Para ver los detalles del incumplimiento superior, haz clic en Ver el incumplimiento.
  • Cualquier otro incumplimiento en el recurso específico que lo ocasione incumplimientos.

gcloud CLI

Para ver los detalles de un incumplimiento, ejecuta el siguiente comando:

gcloud assured workloads violations describe VIOLATION_PATH

En el ejemplo anterior, VIOLATION_PATH está en el siguiente formato:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

Se muestra el VIOLATION_PATH en el campo name de la respuesta de la lista para cada incumplimiento.

La respuesta incluye la siguiente información:

  • Un vínculo del registro de auditoría del incumplimiento.

  • La primera vez que ocurrió el incumplimiento.

  • El tipo de incumplimiento.

  • Una descripción del incumplimiento.

  • La política de la organización afectada y la restricción de política relacionada.

  • Pasos de corrección para resolver el incumplimiento.

  • El estado actual del incumplimiento. Los valores válidos son unresolved, resolved o exception.

Para obtener marcas opcionales, consulta la documentación del SDK de Cloud.

Resuelve incumplimientos

Para corregir un incumplimiento, sigue estos pasos:

Consola

  1. En la consola de Google Cloud, ve a la página Supervisión.

    Ir a Monitoring

  2. Haz clic en el ID del incumplimiento para ver información más detallada.

  3. En la sección Corrección, sigue las instrucciones de la consola de Google Cloud o la CLI para abordar el problema.

CLI de gcloud

  1. Ve los detalles del incumplimiento con la CLI de gcloud.

  2. Sigue los pasos de corrección en la respuesta para resolver el incumplimiento.

Agrega excepciones de incumplimiento

A veces, un incumplimiento puede ser válido para un caso en particular. Puedes agregar uno o más excepciones en caso de un incumplimiento. Para ello, siga los pasos que se indican a continuación.

Console

  1. En la consola de Google Cloud, ve a la página Supervisión.

    Ir a Monitoring

  2. En la columna ID de incumplimiento, haz clic en el incumplimiento al que deseas agregar la excepción.

  3. En la sección Excepciones, haz clic en Agregar nueva.

  4. Ingresa una justificación comercial para la excepción. Si quieres que la excepción se aplique a todos los recursos secundarios, selecciona la casilla de verificación Aplicar a todas las infracciones de recursos secundarios existentes y haz clic en Enviar.

  5. Puedes agregar excepciones adicionales según sea necesario. Para ello, repite estos pasos y y haz clic en Add New.

El estado de incumplimiento ahora está configurado como Excepción.

CLI de gcloud

Para agregar una excepción a un incumplimiento, ejecuta el siguiente comando:

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

En el ejemplo anterior, BUSINESS_JUSTIFICATION es el motivo de la excepción, y VIOLATION_PATH está en el siguiente formato:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

Se muestra el VIOLATION_PATH en el campo name de la respuesta de la lista para cada incumplimiento.

Después de enviar el comando correctamente, el estado del incumplimiento se establece como Excepción.

Se supervisaron los incumplimientos de las políticas de la organización

Assured Workloads supervisa diferentes restricciones de políticas de la organización infracciones, según el paquete de control que se aplique a su Assured Workloads. Utilice la siguiente lista para filtrar los incumplimientos por el paquete de control afectado.

Restricción de las políticas de la organización Tipo de incumplimiento Descripción Paquetes de control afectados
Acceso a los datos de Cloud SQL que no cumple con las normas Acceso

Ocurre cuando el acceso a Cloud SQL no cumple con las políticas se permiten los datos de diagnóstico.

Este incumplimiento se produce cuando se cambian los parámetros valor que cumpla con los requisitos sql.restrictNoncompliantDiagnosticDataAccess “compute.vmExternalIpAccess”.

Asistencia y regiones de la UE con controles de soberanía
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (controles soberanos de los socios)
Acceso que no cumple con las normas a datos de Compute Engine Acceso

Ocurre cuando se permite el acceso que no cumple con las normas a los datos de la instancia de Compute Engine.

Este incumplimiento se produce cuando se cambian los parámetros valor que cumpla con los requisitos restricción compute.disableInstanceDataAccessApis.

Sistemas de información de la justicia criminal (CJIS)
Asistencia y regiones de la UE con controles de soberanía
Reglamento Internacional de Tráfico de Armas (ITAR)
Controles locales de S3NS (controles soberanos de los socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (Controles soberanos operados por socios)
Tipos de autenticación de Cloud Storage que no cumplen con las normas Acceso

Ocurre cuando se permiten los tipos de autenticación que no cumplen con las normas para su uso con Cloud Storage.

Este incumplimiento se produce cuando se cambian los parámetros valor que cumple con las políticas para las storage.restrictAuthTypes “compute.vmExternalIpAccess”.

Asistencia y regiones de la UE con controles de soberanía
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (controles soberanos de los socios)
Acceso no compatible a los buckets de Cloud Storage Acceso

Ocurre cuando se permite el acceso no uniforme que no cumple con las normas a nivel de bucket a Cloud Storage.

Este incumplimiento se produce cuando se cambian los parámetros valor que cumpla con los requisitos restricción storage.uniformBucketLevelAccess.

Asistencia y regiones de la UE con controles de soberanía
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (controles soberanos de los socios)
Acceso a los datos de GKE que no cumple con las normas Acceso

Ocurre cuando el acceso al diagnóstico de GKE no cumple con las políticas de que se permitan los datos.

Este incumplimiento se produce cuando se cambian los parámetros valor que cumpla con los requisitos container.restrictNoncompliantDiagnosticDataAccess “compute.vmExternalIpAccess”.

Asistencia y regiones de la UE con controles de soberanía
Nivel de impacto 4 (IL4)
Nivel de impacto 5 (IL5)
Reglamento sobre el tráfico internacional de armas (ITAR)
Controles locales de S3NS (controles soberanos de los socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (controles soberanos de los socios)
Características del diagnóstico de Compute Engine que no cumple con las normas Configuración

Ocurre cuando se habilitan las funciones de diagnóstico de Compute Engine que no cumplen con las normas.

Este incumplimiento se produce cuando se cambian los parámetros valor que cumpla con los requisitos restricción compute.enableComplianceMemoryProtection.

Asistencia y regiones de la UE con controles de soberanía
Reglamento Internacional de Tráfico de Armas (ITAR)
Controles locales de S3NS (controles soberanos de los socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (controles soberanos de los socios)
Configuración del balanceo de cargas global de Compute Engine que no cumple con las políticas Configuración

Ocurre cuando se establece un valor que no cumple con las políticas para la carga global. de balanceo de cargas en Compute Engine.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción compute.disableGlobalLoadBalancing.

Reglamento sobre el tráfico internacional de armas (ITAR)
Configuración de FIPS de Compute Engine que no cumple con las normas Configuración

Ocurre cuando se establece un valor que no cumple con las políticas para la configuración de FIPS en Compute Engine.

Este incumplimiento se produce cuando se cambian los parámetros valor que cumple con las políticas para las compute.disableNonFIPSMachineTypes “compute.vmExternalIpAccess”.

Reglamento sobre el tráfico internacional de armas (ITAR)
Configuración de SSL de Compute Engine que no cumple con las normas Configuración

Ocurre cuando se establece un valor que no cumple con las normas para los certificados autoadministrados globales.

Este incumplimiento se produce cuando se cambian los parámetros valor que cumpla con los requisitos compute.disableGlobalSelfManagedSslCertificate “compute.vmExternalIpAccess”.

Reglamento sobre el tráfico internacional de armas (ITAR)
Conexión SSH de Compute Engine que no cumple con las normas en la configuración del navegador Configuración

Ocurre cuando se establece un valor que no cumple con las políticas para la conexión SSH en el navegador en Compute Engine.

Este incumplimiento se produce cuando se cambian los parámetros valor que cumple con las políticas para las compute.disableSshInBrowser “compute.vmExternalIpAccess”.

Asistencia y regiones de la UE con controles de soberanía
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (controles soberanos de los socios)
Creación de recursos de Cloud SQL que no cumplen con las normas Configuración

Ocurre cuando la creación de recursos de Cloud SQL que no cumple con las políticas por lo que está permitido.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción sql.restrictNoncompliantResourceCreation.

Asistencia y regiones de la UE con controles de soberanía
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (Controles soberanos operados por socios)
Falta la restricción de clave de Cloud KMS Encriptación

Ocurre cuando no se especifican proyectos para proporcionar claves de encriptación para CMEK

Este incumplimiento se produce cuando se cambian los parámetros valor que cumple con las políticas para las gcp.restrictCmekCryptoKeyProjects que ayuda a evitar que las carpetas o los proyectos no aprobados proporciona claves de encriptación.

Asistencia y regiones de la UE con controles de soberanía
Reglamento sobre el tráfico internacional de armas (ITAR)
Sistemas de información de la justicia criminal (CJIS)
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (controles soberanos de los socios)
Servicio sin CMEK habilitada y que no cumple con las normas Encriptación

Ocurre cuando un servicio no admite CMEK esté habilitado para la carga de trabajo.

Este incumplimiento se produce cuando se cambian los parámetros valor que cumple con las políticas para las gcp.restrictNonCmekServices “compute.vmExternalIpAccess”.

Asistencia y regiones de la UE con controles de soberanía
Reglamento sobre el tráfico internacional de armas (ITAR)
Sistemas de información de la justicia criminal (CJIS)
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (controles soberanos de los socios)
Niveles de protección de Cloud KMS que no cumplen con las normas Encriptación

Ocurre cuando se especifican niveles de protección que no cumplen con las normas para el uso de Cloud Key Management Service (Cloud KMS). Consulta la Referencia de Cloud KMS para obtener más información.

Este incumplimiento se produce cuando se cambian los parámetros valor que cumple con las políticas para las cloudkms.allowedProtectionLevels “compute.vmExternalIpAccess”.

Asistencia y regiones de la UE con controles de soberanía
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (Controles soberanos operados por socios)
Ubicaciones de recursos que no cumplen con las normas Ubicación del recurso

Ocurre cuando los recursos de servicios admitidos para un determinado El paquete de control de Assured Workloads se crea fuera de de la región permitida para la carga de trabajo o que se trasladó de una ubicación permitida a una ubicación no permitida.

Este incumplimiento se produce cuando se cambian los parámetros valor que cumpla con los requisitos gcp.resourceLocations “compute.vmExternalIpAccess”.

Sistemas de información de la justicia criminal (CJIS)
FedRAMP Moderate
FedRAMP High
Controles de salud y ciencias biológicas
Controles de salud y ciencias biológicas con asistencia de EE.UU.
Nivel de impacto 2 (IL2)
Nivel de impacto 4 (IL4)
Nivel de impacto 5 (IL5)
Reglamento sobre el tráfico internacional de armas (ITAR)
Regiones de Australia
Regiones de Australia con Asistencia garantizada
Regiones de Brasil
Regiones de Canadá
Regiones de Canadá y compatibilidad
Canada Protected B
Regiones de Chile
Regiones de la UE
Regiones de la UE y compatibilidad
Asistencia y regiones de la UE con controles de soberanía
Regiones de India
Regiones de Indonesia
Regiones de Israel
Regiones y asistencia en Israel
Regiones de Japón
Regiones de Singapur
Regiones de Corea del Sur
Regiones de Suiza
Regiones de Taiwán
Regiones del Reino Unido
Regiones de EE.UU.
Regiones de EE.UU. y compatibilidad
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (Controles soberanos operados por socios)
Servicios que no cumplen con las normas Uso del servicio

Ocurre cuando un usuario habilita un servicio que no es compatible con un determinado Paquete de control de Assured Workloads en una Assured Workloads.

Este incumplimiento se produce cuando se cambia el valor que cumple con las normas del paquete de control para la restricción gcp.restrictServiceUsage.

Sistemas de información de la justicia criminal (CJIS)
FedRAMP Moderate
FedRAMP High
Controles de salud y ciencias biológicas
Controles de salud y ciencias biológicas con asistencia de EE.UU.
Nivel de impacto 2 (IL2)
Nivel de impacto 4 (IL4)
Nivel de impacto 5 (IL5)
Reglamento sobre el tráfico internacional de armas (ITAR)
Regiones de Australia
Regiones de Australia con Asistencia garantizada
Regiones de Brasil
Regiones de Canadá
Regiones de Canadá y compatibilidad
Canada Protected B
Regiones de Chile
Regiones de la UE
Regiones de la UE y compatibilidad
Asistencia y regiones de la UE con controles de soberanía
Regiones de India
Regiones de Indonesia
Regiones de Israel
Regiones y asistencia en Israel
Regiones de Japón
Regiones de Singapur
Regiones de Corea del Sur
Regiones de Suiza
Regiones de Taiwán
Regiones del Reino Unido
Regiones de EE.UU.
Regiones de EE.UU. y compatibilidad
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (controles soberanos de los socios)

Incumplimientos de recursos supervisados

Assured Workloads supervisa los diferentes incumplimientos de recursos, según el paquete de control aplicado a tu carpeta de Assured Workloads. Para ver qué tipos de recursos se supervisan, consulta Tipos de recursos admitidos en la documentación de Cloud Asset Inventory. Usa la siguiente lista para filtrar incumplimientos por parte del paquete de control afectado:

Restricción de las políticas de la organización Descripción Paquetes de control afectados
Ubicación del recurso que no cumple con las políticas

Ocurre cuando la ubicación de un recurso está en una región que no cumple con las políticas.

Este incumplimiento se produce debido a la restricción gcp.resourceLocations.

Regiones de Australia con Assured Support
Canada Protected B
Regiones de Canadá y compatibilidad
Sistemas de información de la justicia criminal (CJIS)
Regiones de la UE y compatibilidad
Asistencia y regiones de la UE con controles de soberanía
FedRAMP Moderate
FedRAMP High
Controles de salud y ciencias biológicas
Controles de salud y ciencias biológicas con asistencia de EE.UU.
Nivel de impacto 4 (IL4)
Nivel de impacto 5 (IL5)
Regiones y asistencia en Israel
Reglamento sobre el tráfico internacional de armas (ITAR)
Regiones de Japón
Regiones de EE.UU. y compatibilidad
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (controles soberanos de los socios)
Recursos en la carpeta que no cumplen con las políticas

Ocurre cuando se crea un recurso para un servicio no compatible en la carpeta Assured Workloads.

Este incumplimiento se debe al gcp.restrictServiceUsage “compute.vmExternalIpAccess”.

Sistemas de información de la justicia criminal (CJIS)
FedRAMP Moderate
FedRAMP High
Controles de salud y ciencias biológicas
Controles de salud y ciencias biológicas con asistencia de EE.UU.
Nivel de impacto 2 (IL2)
Nivel de impacto 4 (IL4)
Nivel de impacto 5 (IL5)
Reglamento sobre el tráfico internacional de armas (ITAR)
Regiones de Australia
Regiones de Australia con Asistencia garantizada
Regiones de Brasil
Regiones de Canadá
Regiones de Canadá y compatibilidad
Canada Protected B
Regiones de Chile
Regiones de la UE
Regiones de la UE y compatibilidad
Asistencia y regiones de la UE con controles de soberanía
Regiones de India
Regiones de Indonesia
Regiones de Israel
Regiones y asistencia en Israel
Regiones de Japón
Regiones de Singapur
Regiones de Corea del Sur
Regiones de Suiza
Regiones de Taiwán
Regiones del Reino Unido
Regiones de EE.UU.
Regiones de EE.UU. y compatibilidad
Controles locales de S3NS (Controles soberanos operados por socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (controles soberanos de los socios)
Recursos sin encriptar (no CMEK)

Ocurre cuando se crea un recurso sin encriptación con CMEK para un que requiere encriptación con CMEK.

Este incumplimiento se debe al gcp.restrictNonCmekServices “compute.vmExternalIpAccess”.

Sistemas de información de la justicia criminal (CJIS)
Asistencia y regiones de la UE con controles de soberanía
Nivel de impacto 5 (IL5)
Reglamento sobre el tráfico internacional de armas (ITAR)
Controles locales de S3NS (controles soberanos de los socios)
Controles de soberanía de SIA/Minsait (Controles soberanos operados por socios)
Nube soberana de T-Systems (controles soberanos de los socios)

¿Qué sigue?