Assured Workloads フォルダで違反をモニタリングする
Assured Workloads は、コンプライアンス レジームの組織のポリシーの制約をモニタリングし、リソースへの変更が非準拠の場合は違反を強調します。その後、これらの違反を解決したり、必要に応じて例外を作成したりできます。
違反には、次の 3 つのステータスがあります。
未解決: 違反は解決されていません。
解決済み: 次の手順で問題を解決します。
例外: 違反により例外が付与され、ビジネス上の正当な理由が提供されています。
始める前に
コンプライアンス違反をモニタリングする前に、次のロールが付与されていることを確認するか、関連する権限をカスタムのロールに追加します。
| ロール | 関連付けられているアクセス許可 |
|---|---|
Assured Workloads 管理者(roles/assuredworkloads.admin) |
|
Assured Workloads 編集者(roles/assuredworkloads.editor) |
|
Assured Workloads 閲覧者(roles/assuredworkloads.reader) |
|
さらに、組織のポリシーの違反を修正して監査ログを表示するには、アカウントに次のロールを付与します。
- 組織ポリシー管理者(
roles/orgpolicy.policyAdmin) - ログビューア(
roles/logging.viewer)
違反に関するメール通知を設定する
コンプライアンス違反が発生した場合、解決した場合、または例外が認められた場合は、重要な連絡先の法務カテゴリのメンバー宛にメールが送信されます。これは、法務チームが規制遵守の問題を最新の状態に保つ必要があるためです。
違反を管理するチーム(セキュリティ チームであるか否かにかかわらず)は、連絡先として法務カテゴリに追加される必要もあります。つまり、変更が発生したときにもメール通知が送信されます。
組織内の違反を表示する
組織全体での違反は、Google Cloud コンソールと gcloud CLI の両方で確認できます。
コンソール
組織全体での違反数は、Google Cloud コンソールの [Assured Workloads] ページで一目で確認できます。
[Assured Workloads] ページでフォルダの [名前] をクリックすると、そのフォルダの詳細が表示されます。これにより、そのフォルダの違反が一目でわかります。
gcloud CLI
組織内の現在のコンプライアンス違反を一覧表示するには、次のコマンドを実行します。
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
ここで
LOCATION は、Assured Workload 環境のロケーションです。
ORGANIZATION_ID は、クエリを実行する組織 ID です。
WORKLOAD_ID は親ワークロード ID です。ワークロードの一覧表示で確認できます。
レスポンスには、違反ごとに次の情報が含まれます。
- 違反の監査ログリンク。
- 違反が初めて発生したとき。
- 違反のタイプ。
- 違反についての説明。
- 違反の名前。詳細を取得するために使用できます。
- 影響を受ける組織のポリシーと関連するポリシー制約。
- 違反の現在の状態。有効な値は、未解決、解決済み、例外です。
オプションのフラグについては、Cloud SDK のドキュメントをご覧ください。
違反の詳細を表示する
特定のコンプライアンス違反とその詳細を表示するには、次の手順を行います。
コンソール
Google Cloud コンソールで [Monitoring] ページに移動します。
省略可: 特定の Assured Workloads フォルダを表示するには、[すべてのフォルダ] リストからそのフォルダを選択します。
デフォルトでは、選択したワークロード環境のすべての違反が表示されます。これを変更するには、[カテゴリでフィルタ] セクションでフィルタを選択します。
違反 ID をクリックすると、詳細情報が表示されます。
[違反の詳細] ページでは、次の作業を行うことができます。
違反 ID をコピーします。
違反が発生したフォルダと、
が最初に発生した時刻を表示します。影響を受ける組織のポリシーを表示します。
監査ログには次のものが含まれます。
違反の発生日時
違反の原因となったポリシーと、その変更を行ったユーザー。
例外が付与されている場合は、それをどのユーザーが許可したかを示します。
該当する場合は、違反が発生した特定のリソースを表示します。
修復手順に従って例外を解決してください。
gcloud CLI
コンプライアンス違反の詳細を表示するには、次のコマンドを実行します。
gcloud assured workloads violations describe VIOLATION_PATH
VIOLATION_PATH は次の形式になります。
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
VIOLATION_PATH は、違反ごとに list レスポンスの name フィールドに返されます。
レスポンスには次の情報が含まれます。
違反の監査ログリンク。
違反が初めて発生したとき。
違反のタイプ。
違反についての説明。
影響を受ける組織のポリシーと関連するポリシー制約。
違反を解決するための修復手順。
違反の現在の状態。有効な値は
unresolved、resolved、exceptionです。
オプションのフラグについては、Cloud SDK のドキュメントをご覧ください。
違反を解決する
違反を解消するには、次の手順を実行します。
コンソール
Google Cloud コンソールで [Monitoring] ページに移動します。
違反 ID をクリックすると、詳細情報が表示されます。
[修復] セクションでGoogle Cloud コンソールまたは CLI の指示に従って問題を解決します。
gcloud CLI
レスポンスの修復手順に沿って違反を解消してください。
違反の例外を追加する
特定の状況では、違反が有効な場合もあります。違反の例外を追加するには、次の手順に従います。
コンソール
Google Cloud コンソールで [Monitoring] ページに移動します。
[例外] セクションで [追加] をクリックします。
ビジネス上の正当な理由を入力し、[送信] をクリックして、例外を確認します。
違反ステータスが [例外] に設定されます。
gcloud CLI
違反の例外を追加するには、次のコマンドを実行します。
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
BUSINESS_JUSTIFICATION は例外の理由で、VIOLATION_PATH は次の形式になります。
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
VIOLATION_PATH は、違反ごとに list レスポンスの name フィールドに返されます。
コマンドが正常に送信されると、違反ステータスが例外に設定されます。
モニタリング対象の違反
Assured Workloads は、Assured Workloads フォルダに適用されているコンプライアンス レジームに応じて、さまざまな組織のポリシー制約違反をモニタリングします。
| 組織のポリシーの制約 | 違反のタイプ | 説明 |
|---|---|---|
| Cloud SQL データへの非準拠アクセス | アクセス |
準拠していない Cloud SQL 診断データへの非遵守アクセスが許可されている場合に発生します。 この違反は、プラットフォーム制御の |
| Compute Engine データへのアクセス | アクセス |
Compute Engine インスタンス データへの非準拠アクセスが許可されている場合に発生します。 この違反は、プラットフォーム制御の |
| 準拠していない Cloud Storage 認証タイプ | アクセス |
準拠していない認証タイプの Cloud Storage での使用が許可されている場合に発生します。 この違反は、プラットフォーム制御の |
| Cloud Storage バケットへの非準拠アクセス | アクセス |
Cloud Storage への非遵守の不均一なバケットレベルのアクセスが許可されている場合に発生します。 この違反は、プラットフォーム制御の |
| 準拠していないグローバル IAP ウェブアクセス | アクセス |
準拠していないグローバル IAP ウェブ アクセスが許可されている場合に発生します。 この違反は、プラットフォーム制御の |
| GKE データへの非準拠アクセス | アクセス |
準拠していない GKE 診断データへの非遵守アクセスが許可されている場合に発生します。 この違反は、プラットフォーム制御の |
| 準拠していない Compute Engine シリアルポート ロギング | 構成 |
遵守していない Compute Engine シリアルポート ロギングが有効になっている場合に発生します。 この違反は、プラットフォーム制御の |
| 準拠していない Compute Engine の診断機能 | 構成 |
準拠していない Compute Engine 診断機能が有効になっている場合に発生します。 この違反は、プラットフォーム制御の |
| 遵守していない Compute Engine SSL 設定 | 構成 |
グローバル セルフマネージド証明書に非遵守の値が設定されている場合に発生します。 この違反は、プラットフォーム制御の |
| ブラウザの設定で準拠していない Compute Engine SSH | 構成 |
Compute Engine のブラウザ機能の SSH に非遵守の値が設定されている場合に発生します。 この違反は、プラットフォーム制御の |
| 非準拠の Cloud SQL リソースの作成 | 構成 |
遵守していない Cloud SQL リソースの作成が許可されている場合に発生します。 この違反は、プラットフォーム制御の |
| Cloud KMS 鍵の制限がない | Encryption |
CMEK に暗号鍵を提供するためのプロジェクトが指定されていない場合に発生します。 この違反は、プラットフォーム制御の |
| CMEK が有効になっていない非準拠サービス | Encryption |
CMEK をサポートしていないサービスがワークロードで有効になっている場合に発生します。 この違反は、プラットフォーム制御の |
| 準拠していない Cloud KMS 保護レベル | Encryption |
準拠していない保護レベルが Cloud Key Management Service(Cloud KMS)で使用するよう指定された場合に発生します。詳細については、Cloud KMS のリファレンスをご覧ください。 この違反は、プラットフォーム制御の |
| 準拠していないリソース ロケーション | リソース ロケーション |
特定の Assured Workloads プラットフォーム制御用にサポートされているサービスのリソースが、ワークロードの許可されたリージョン外で作成されたか、許可されているロケーションから許可されていないロケーションに移動されると発生します。
この違反は、プラットフォーム制御の |
| 遵守していないサービス | サービスの使用状況 |
Assured Workloads フォルダ内の特定の Assured Workloads プラットフォーム コントロールでサポートされていないサービスをユーザーが有効にしたときに発生します。 この違反は、プラットフォーム制御の |
次のステップ
- Assured Workloads のプラットフォーム制御について理解する。