监控 Assured Workloads 文件夹是否存在违规
Assured Workloads 会主动监控您的 Assured Workloads 文件夹是否存在合规性违规问题,方法是将文件夹的控制包要求与以下详细信息进行比较:
- 组织政策:每个 Assured Workloads 文件夹都配置了特定的组织政策限制条件设置,有助于确保合规性。如果以不合规的方式更改这些设置,则会违反相关政策。如需了解详情,请参阅被监控的组织政策违规行为部分。
- 资源:根据 Assured Workloads 文件夹的组织政策设置,文件夹下的资源(例如其类型和位置)可能会受到限制。如需了解详情,请参阅受监控资源违规行为部分。如果任何资源不符合相关要求,则会发生违规。
出现违规问题时,您可以解决这些问题,或在适当的情况下为它们创建例外。违规可为以下三种状态之一:
创建 Assured Workloads 文件夹后,系统会自动启用 Assured Workloads 监控。
准备工作
所需的 IAM 角色和权限
如需查看组织政策违规问题或资源违规问题,您必须获得 Assured Workloads 文件夹的 IAM 角色,该角色包含以下权限:
assuredworkloads.violations.get
assuredworkloads.violations.list
以下 Assured Workloads IAM 角色包含这些权限:
- Assured Workloads Administrator (
roles/assuredworkloads.admin
) - Assured Workloads Editor (
roles/assuredworkloads.editor
) - Assured Workloads Reader (
roles/assuredworkloads.reader
)
如需启用资源违规监控,您必须获得 Assured Workloads 文件夹的 IAM 角色,该角色包含以下权限:
assuredworkloads.workload.update
:以下预定义角色均包含此权限:- Assured Workloads Administrator (
roles/assuredworkloads.admin
) - Assured Workloads Editor (
roles/assuredworkloads.editor
)
- Assured Workloads Administrator (
resourcemanager.folders.setIamPolicy
:此权限包含在管理员角色中,例如:- Organization Administrator (
roles/resourcemanager.organizationAdmin
) - Security Admin (
roles/iam.securityAdmin
)
- Organization Administrator (
如需为违反合规性的情况提供例外情况,您必须获得 Assured Workloads 文件夹的 IAM 角色,该角色包含以下权限:
assuredworkloads.violations.update
:以下预定义角色均包含此权限:- Assured Workloads Administrator (
roles/assuredworkloads.admin
) - Assured Workloads Editor (
roles/assuredworkloads.editor
)
- Assured Workloads Administrator (
此外,如需解决组织政策违规并查看审核日志,必须授予以下 IAM 角色:
- Organization Policy Administrator (
roles/orgpolicy.policyAdmin
) - Logs Viewer (
roles/logging.viewer
)
设置违规电子邮件通知
默认情况下,当发生违规情况、得到解决或创建了例外时,系统会向重要联系人中的法律类别的成员发送电子邮件。这是必要的,因为您的法律团队需要及时了解所有监管合规性问题。
还应该将管理违规的团队(无论是安全团队还是其他团队)添加到法律类别联系人。这样一来,在发生更改时,他们就会收到电子邮件通知。
启用或停用通知
如需为特定 Assured Workloads 文件夹启用或停用通知,请执行以下操作:
前往 Google Cloud 控制台中的 Assured Workloads 页面:
在名称列中,点击您要更改通知设置的 Assured Workloads 文件夹的名称。
在 Assured Workloads Monitoring 卡片中,清除启用通知复选框以停用通知,或选中该复选框以为该文件夹启用通知。
在 Assured Workloads 文件夹页面上,已停用通知的文件夹会显示
Monitoring email notifications disabled(监控电子邮件通知已停用)。查看组织中的违规
您可以在 Google Cloud 控制台和 gcloud CLI 中查看整个组织的违规。
您可以通过 Google Cloud 控制台中合规性部分的 Assured Workloads 页面或合规性部分的 Monitoring 页面查看组织中有多少违规。
Assured Workloads 页面
前往 Assured Workloads 页面,一目了然地查看违规情况:
页面顶部会显示组织政策违规情况和资源违规情况的摘要。点击查看链接,前往 Monitoring 页面。
对于列表中的每个 Assured Workloads 文件夹,任何违规问题都会显示在组织政策违规和资源违规列中。未解决的违规问题带有活动的 更多详细信息。
图标,而例外情况带有活动的 图标。您可以选择违规问题或例外情况,查看如果某个文件夹未启用资源违规问题监控功能,更新列中的
图标会处于活动状态,并带有启用资源违规问题监控链接。点击相应链接即可启用该功能。您还可以通过点击 Assured Workloads 文件夹详情页面上的启用按钮来启用该功能。“监控”页面
如需详细了解违规情况,请前往监控页面:
系统会显示两个标签页:组织政策违规问题和资源违规问题。如果存在多项未解决的违规问题,该标签页上的
图标会处于活动状态。默认情况下,这两个标签页中都会显示未解决的违规问题。如需了解详情,请参阅下面的查看违规详情部分。
如需列出组织中当前的合规性违规,请运行以下命令:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
其中:
LOCATION 是 Assured Workloads 文件夹的位置。
ORGANIZATION_ID 是要查询的组织 ID。
WORKLOAD_ID 是父级工作负载 ID,可通过列出工作负载找到。
对于每次违规,响应都包含以下信息:
- 违规的审核日志链接。
- 违规的首次发生时间。
- 违规的类型。
- 对违规情况的详细说明。
- 违规的名称,可用于检索更多详细信息。
- 受影响的组织政策和相关政策限制条件。
- 违规行为的当前状态。有效值为未解决、已解决或例外。
如需了解可选标志,请参阅 Cloud SDK 文档。
查看违规详细信息
如需查看特定的合规性违规及其详细信息,请完成以下步骤:
在 Google Cloud 控制台中,前往 Monitoring 页面。
在监控页面上,系统会默认选择组织政策违规标签页。此标签页会显示组织中所有 Assured Workloads 文件夹中的所有未解决的组织政策违规问题。
资源违规问题标签页会显示组织中所有 Assured Workloads 文件夹中与资源相关的所有未解决违规问题。
对于任一标签页,您都可以使用快速过滤条件选项按违规状态、违规类型、控制措施套餐类型、违规类型、特定文件夹、特定组织政策限制或特定资源类型进行过滤。
对于这两个标签页,如果存在现有违规行为,请点击违规 ID 以查看更多详细信息。
在违规详细信息页面上,您可以执行以下任务:
复制违规 ID。
查看发生违规的 Assured Workloads 文件夹以及首次发生的时间。
查看审核日志,其中包括:
违规的发生时间。
修改哪个政策导致违规,以及哪个用户进行了该修改。
如果授予了例外,是由哪个用户授予的。
如果适用,请查看违规的具体资源。
查看受影响的组织政策。
查看和添加合规性违规例外情况。系统会显示文件夹或资源的先前例外情况列表,其中包括授予例外情况的用户以及用户提供的正当理由。
- 安装补救步骤解决例外。
对于违反组织政策的情况,您还可能会看到以下内容:
- 受影响的组织政策:如需查看与违规行为相关联的具体政策,请点击查看政策。
- 子资源违规问题:基于资源的组织政策违规问题可能会导致子资源违规问题。如需查看或解决子资源违规问题,请点击违规 ID。
对于资源违规问题,您还可能会看到以下信息:
- 父级组织政策违规:如果子级资源违规是由父级组织政策违规导致的,则需要在父级级别解决这些违规问题。如需查看父级违规问题的详细信息,请点击查看违规问题。
- 系统还会显示导致资源违规的特定资源存在的任何其他违规问题。
如需查看合规性违规的详细信息,请运行以下命令:
gcloud assured workloads violations describe VIOLATION_PATH
其中 VIOLATION_PATH 采用以下格式:
ORGANIZATION_ID /locations/LOCATION /workloads/WORKLOAD_ID /violations/VIOLATION_ID
每次违规的 list 响应的 name
字段中都会返回 VIOLATION_PATH。
响应包含以下信息:
违规的审核日志链接。
违规的首次发生时间。
违规的类型。
对违规情况的详细说明。
受影响的组织政策和相关政策限制条件。
解决违规的补救步骤。
违规行为的当前状态。有效值为
unresolved
、resolved
或exception
。
如需了解可选标志,请参阅 Cloud SDK 文档。
解决违规
如需补救违规,请完成以下步骤:
在 Google Cloud 控制台中,前往 Monitoring 页面。
点击违规 ID 可查看更多详细信息。
在补救部分中,按照适用于 Google Cloud 控制台或 CLI 的说明解决问题。
按照响应中的补救步骤来解决违规。
添加违规例外
有时,违规可能在特定情况下有效。您可以通过完成以下步骤为违规行为添加一个或多个例外情况。
在 Google Cloud 控制台中,前往 Monitoring 页面。
在违规 ID 列中,点击要为其添加例外的违规。
在例外部分中,点击新增。
输入相应例外情况的业务理由。如果您希望将此例外情况应用于所有子资源,请选中应用于所有现有的子级资源违规问题复选框,然后点击提交。
您可以根据需要重复上述步骤,然后点击添加新内容来添加其他例外情况。
违规状态现在设置为例外。
如需添加违规的例外,请运行以下命令:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION "
其中,BUSINESS_JUSTIFICATION 是例外的原因,VIOLATION_PATH 采用以下格式:
ORGANIZATION_ID /locations/LOCATION /workloads/WORKLOAD_ID /violations/VIOLATION_ID
每次违规的 list 响应的 name
字段中都会返回 VIOLATION_PATH。
成功发送命令后,违规状态将设置为例外。
受监控的组织政策违规问题
Assured Workloads 会监控不同的组织政策限制条件违规,具体取决于应用于 Assured Workloads 文件夹的控制包。您可以使用以下列表按受影响的控制包过滤违规问题。
组织政策限制条件 | 违规的类型 | 说明 | 受影响的控制措施套餐 | ||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
对 Cloud SQL 数据的不合规访问 | 访问 |
如果允许对不合规的 Cloud SQL 诊断数据进行不合规访问,就会出现此错误。 此违规是由更改控制软件包的
|
|
||||||||||||||||||||||||||||||||||||||
对 Compute Engine 数据的不合规访问 | 访问 |
如果允许对 Compute Engine 实例数据进行不合规访问,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
不合规的 Cloud Storage 身份验证类型 | 访问 |
如果允许不合规的身份验证类型与 Cloud Storage 搭配使用,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
对 Cloud Storage 存储桶的不合规访问 | 访问 |
如果允许对 Cloud Storage 进行不合规的非统一存储分区级访问,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
对 GKE 数据的不合规访问 | 访问 |
如果允许对 GKE 诊断数据进行不合规访问,就会出现此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
不合规的 Compute Engine 诊断功能 | 配置 |
如果启用不合规的 Compute Engine 诊断功能,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
不合规的 Compute Engine 全球负载均衡设置 | 配置 |
如果为 Compute Engine 中的全局负载均衡设置设置了不合规的值,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
不合规的 Compute Engine FIPS 设置 | 配置 |
如果为 Compute Engine 中的 FIPS 设置设置了不合规的值,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
不合规的 Compute Engine SSL 设置 | 配置 |
如果为全局自行管理的证书设置了不合规的值,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
浏览器设置中的不合规的 Compute Engine SSH | 配置 |
如果为 Compute Engine 中的 SSH 浏览器功能设置了不合规的值,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
创建不合规的 Cloud SQL 资源 | 配置 |
如果允许创建不合规的 Cloud SQL 资源,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
缺少 Cloud KMS 密钥限制 | 加密 |
如果未指定项目来为 CMEK 提供加密密钥,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
不合规的不支持 CMEK 的服务 | 加密 |
如果未为工作负载启用不支持 CMEK 的服务,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
不合规的 Cloud KMS 保护级别 | 加密 |
如果指定不合规的保护级别以用于 Cloud Key Management Service (Cloud KMS),就会发生此错误。如需了解详情,请参阅 Cloud KMS 参考文档 。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
不合规的资源位置 | 资源位置 |
如果针对给定 Assured Workloads 控制包的受支持服务的资源是在工作负载的允许区域之外创建的,或者从允许的位置移动到不允许的位置,就会发生此错误。
此违规是由更改控制软件包的
|
|
||||||||||||||||||||||||||||||||||||||
不合规的服务 | 服务使用情况 |
如果用户启用 Assured Workloads 文件夹中的给定 Assured Workloads 控制包不支持的服务,就会发生此错误。 此违规是由更改控制软件包的 |
|
受监控的资源违规问题
Assured Workloads 会监控不同的资源违规情况,具体取决于应用于 Assured Workloads 文件夹的控制包。如需查看哪些资源类型受监控,请参阅 Cloud Asset Inventory 文档中的支持的资源类型。您可以使用以下列表按受影响的控制包过滤违规问题:
组织政策限制条件 | 说明 | 受影响的控制措施套餐 | |||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
不合规的资源位置 |
当资源的位置位于不合规的区域时,就会发生此错误。 此违规是由于
|
|
|||||||||||||||||||||||||||||||||||||
文件夹中不合规的资源 |
如果在 Assured Workloads 文件夹中为不受支持的服务创建资源,就会发生此错误。 此违规是由于
|
|
|||||||||||||||||||||||||||||||||||||
未加密(非 CMEK)资源 |
如果为需要 CMEK 加密的服务创建资源时未使用 CMEK 加密,就会发生此错误。 此违规是由于
|
|