监控 Assured Workloads 文件夹是否存在违规
Assured Workloads 会将文件夹的控制软件包的要求与以下详细信息进行比较,以主动监控 Assured Workloads 文件夹是否违规:
- 组织政策:每个 Assured Workloads 文件夹都配置了特定的组织政策限制条件设置,以帮助确保合规性。如果以不合规的方式更改这些设置,就会出现违规行为。如需了解详情,请参阅受监控的组织政策违规问题部分。
- 资源:根据您的 Assured Workloads 文件夹的组织政策设置,该文件夹下的资源可能会受到限制,如其类型和位置。如需了解详情,请参阅受监控的资源违规问题部分。 如果有任何资源不合规,就会出现违规问题。
如果出现违规问题,您可以予以解决,也可以视情况为其创建例外情况。违规可为以下三种状态之一:
当您创建 Assured Workloads 文件夹时,系统会自动启用 Assured Workloads 监控功能。
准备工作
必需的 IAM 角色和权限
如需查看组织政策违规问题或资源违规问题,您必须被授予 Assured Workloads 文件夹上包含以下权限的 IAM 角色:
assuredworkloads.violations.getassuredworkloads.violations.list
以下 Assured Workloads IAM 角色中包含这些权限:
- Assured Workloads Administrator (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor) - Assured Workloads Reader (
roles/assuredworkloads.reader)
如需启用资源违规监控功能,您必须被授予 Assured Workloads 文件夹上包含以下权限的 IAM 角色:
assuredworkloads.workload.update:以下角色拥有此权限:- Assured Workloads Administrator (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor)
- Assured Workloads Administrator (
resourcemanager.folders.setIamPolicy:此权限包含在管理员角色中,例如:- Organization Administrator (
roles/resourcemanager.organizationAdmin) - Security Admin (
roles/iam.securityAdmin)
- Organization Administrator (
如需为合规性违规行为提供例外情况,您必须被授予 Assured Workloads 文件夹上包含以下权限的 IAM 角色:
assuredworkloads.violations.update:以下角色拥有此权限:- Assured Workloads Administrator (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor)
- Assured Workloads Administrator (
此外,如需解决组织政策违规问题和查看审核日志,必须授予以下 IAM 角色:
- Organization Policy Administrator (
roles/orgpolicy.policyAdmin) - 日志查看器 (
roles/logging.viewer)
设置违规电子邮件通知
当发生组织合规性违规问题时,或者出现异常情况时,系统会默认向重要联系人中属于法律类别的成员发送电子邮件。这种行为很有必要,因为您的法务团队需要及时了解任何法规遵从问题。
管理违规行为的团队(无论是安全团队还是其他团队)也应作为联系人添加到“法律”类别中。这样可以确保他们能够在发生更改时收到电子邮件通知。
启用或停用通知
如需为特定 Assured Workloads 文件夹启用或停用通知,请执行以下操作:
前往 Google Cloud 控制台中的 Assured Workloads 页面:
在名称列中,点击要更改其通知设置的 Assured Workloads 文件夹的名称。
在 Assured Workloads Monitoring 卡片中,取消选中启用通知复选框以停用通知,或者选中该复选框以为文件夹启用通知。
在 Assured Workloads 文件夹页面上,已停用通知的文件夹会显示 已停用监控电子邮件通知。
查看组织中的违规
您可以通过 Google Cloud 控制台和 gcloud CLI 查看整个组织的违规问题。
控制台
您可以在 Google Cloud 控制台合规性部分的 Assured Workloads 页面或合规性部分的监控页面上查看整个组织存在多少违规问题。
Assured Workloads 页面
前往 Assured Workloads 页面,快速查看违规问题:
页面顶部会显示组织政策违规问题和资源违规情况的摘要。点击查看链接以转到监控页面。
对于列表中的每个 Assured Workloads 文件夹,所有违规问题都会显示在组织政策违规问题和资源违规问题列中。未解决的违规问题会带有 图标,异常时会带有 图标。您可以选择违规或异常以查看更多详情。
如果文件夹未启用资源违规问题监控功能,则更新列中的 图标会处于活动状态,并带有启用资源违规问题监控功能链接。点击链接即可启用该功能。您还可以通过点击 Assured Workloads 文件夹详细信息页面上的启用按钮来启用它。
“监控”页面
如需更详细地查看违规问题,请转到监控页面:
显示了两个标签页:组织政策违规问题和资源违规情况。如果存在多个未解决的违规问题,则标签页上会处于活动状态 图标。
默认情况下,上述任一标签页中都会显示未解决的违规问题。如需了解详情,请参阅下面的查看违规问题详情部分。
gcloud CLI
如需列出组织中当前的合规性违规,请运行以下命令:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
其中:
LOCATION 是 Assured Workloads 文件夹的位置。
ORGANIZATION_ID 是要查询的组织 ID。
WORKLOAD_ID 是父级工作负载 ID,可通过列出工作负载找到。
对于每次违规,响应都包含以下信息:
- 违规的审核日志链接。
- 违规的首次发生时间。
- 违规的类型。
- 对违规情况的详细说明。
- 违规的名称,可用于检索更多详细信息。
- 受影响的组织政策以及相关政策限制条件。
- 违规问题的当前状态。有效值为未解析、已解决或异常。
如需了解可选标志,请参阅 Cloud SDK 文档。
查看违规详细信息
如需查看特定的合规性违规及其详细信息,请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往 Monitoring 页面。
在监控页面上,默认选择组织政策违规问题标签页。此标签页会显示组织内 Assured Workloads 文件夹中所有未解决的组织政策违规问题。
资源违规问题标签页会显示组织内所有 Assured Workloads 文件夹中资源关联的所有未解决违规问题。
对于任一标签页,您都可以使用快速过滤条件选项按违规状态、违规类型、控制软件包类型、违规类型、特定文件夹、特定组织政策限制条件或特定资源类型进行过滤。
对于任一标签页,如果存在现有违规问题,请点击违规问题 ID 以查看更多详细信息。
在违规详细信息页面上,您可以执行以下任务:
复制违规 ID。
查看发生违规情况的 Assured Workloads 文件夹,以及首次发生违规的时间。
查看审核日志,其中包括:
违规的发生时间。
修改了哪项政策导致了违规行为,以及该用户进行了这项修改。
如果授予了例外,是由哪个用户授予的。
如果适用,请查看违规的具体资源。
查看受影响的组织政策。
查看和添加违规例外情况。
安装补救步骤解决例外。
对于组织政策违规问题,您还可以查看以下内容:
- 受影响的组织政策:如需查看与合规性违规问题关联的特定政策,请点击查看政策。
- 子级资源违规问题:基于资源的组织政策违规行为可能会导致子级资源违规问题。如需查看或解决子级资源违规问题,请点击违规 ID。
对于资源违规问题,您还可以查看以下信息:
- 父级组织政策违规问题:如果父级组织政策违规问题是导致子级资源违规问题的原因,那么需要在父级一级对其进行解决。如需查看父级违规问题的详情,请点击查看违规问题。
- 当前导致资源违规问题的特定资源的任何其他违规问题也会显示。
gcloud CLI
如需查看合规性违规的详细信息,请运行以下命令:
gcloud assured workloads violations describe VIOLATION_PATH
其中 VIOLATION_PATH 采用以下格式:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
每次违规的 list 响应的 name 字段中都会返回 VIOLATION_PATH。
响应包含以下信息:
违规的审核日志链接。
违规的首次发生时间。
违规的类型。
对违规情况的详细说明。
受影响的组织政策以及相关政策限制条件。
解决违规的补救步骤。
违规问题的当前状态。有效值为
unresolved、resolved或exception。
如需了解可选标志,请参阅 Cloud SDK 文档。
解决违规
如需补救违规,请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往 Monitoring 页面。
点击违规 ID 可查看更多详细信息。
在补救部分中,按照适用于 Google Cloud 控制台或 CLI 的说明解决问题。
gcloud CLI
按照响应中的补救步骤来解决违规。
添加违规例外
有时,违规可能在特定情况下有效。通过完成以下步骤,您可以为违规行为添加一个或多个例外情况:
控制台
在 Google Cloud 控制台中,前往 Monitoring 页面。
在违规问题 ID 列中,点击您要添加异常的违规问题。
在例外部分中,点击新增。
输入例外情况的业务理由。如果您希望将异常应用到所有子资源,请选中 Apply to all existing child resource violations 复选框,然后点击 Submit。
您可以根据需要添加其他例外情况,方法是重复这些步骤,然后点击新增。
违规状态现在设置为例外。
gcloud CLI
如需添加违规的例外,请运行以下命令:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
其中,BUSINESS_JUSTIFICATION 是例外的原因,VIOLATION_PATH 采用以下格式:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
每次违规的 list 响应的 name 字段中都会返回 VIOLATION_PATH。
成功发送命令后,违规状态将设置为例外。
受监控的组织政策违规问题
Assured Workloads 会监控违反组织政策的不同限制条件,具体取决于应用于 Assured Workloads 文件夹的控制软件包。请使用以下列表,按受影响的控制软件包过滤违规行为。
| 组织政策限制条件 | 违规的类型 | 说明 | 受影响的控制软件包 | |||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 对 Cloud SQL 数据的不合规访问 | 访问权限 |
允许不合规地访问不合规的 Cloud SQL 诊断数据时发生。 此违规问题是由于更改了控制包中
|
|
|||||||||||||||||
| 对 Compute Engine 数据的不合规访问 | 访问权限 |
允许对 Compute Engine 实例数据的不合规访问时发生。 此违规问题是由于更改控制软件包的 |
|
|||||||||||||||||
| 不合规的 Cloud Storage 身份验证类型 | 访问权限 |
当不合规的身份验证类型被允许用于 Cloud Storage 时发生。 此违规问题是由于更改控制软件包的 |
|
|||||||||||||||||
| 对 Cloud Storage 存储桶的不合规访问 | 访问权限 |
允许对 Cloud Storage 进行不合规的非统一存储桶级访问时发生。 此违规问题是由于更改控制软件包的 |
|
|||||||||||||||||
| 对 GKE 数据的不合规访问 | 访问权限 |
允许不合规地访问 GKE 诊断数据时发生。 此违规问题是由于更改控制软件包的 |
|
|||||||||||||||||
| 不合规的 Compute Engine 诊断功能 | 配置 |
启用不合规的 Compute Engine 诊断功能时发生。 此违规问题是由于更改控制软件包的 |
|
|||||||||||||||||
| 不合规的 Compute Engine 全局负载均衡设置 | 配置 |
针对 Compute Engine 中的全局负载均衡设置设置了不合规的值时发生。 此违规问题是由于更改控制软件包的 |
|
|||||||||||||||||
| 不合规的 Compute Engine FIPS 设置 | 配置 |
在 Compute Engine 中为 FIPS 设置设置了不合规的值时发生。 此违规问题是由于更改控制软件包的 |
|
|||||||||||||||||
| 不合规的 Compute Engine SSL 设置 | 配置 |
为全球自行管理的证书设置了不合规的值时发生。 此违规问题是由于更改控制软件包的 |
|
|||||||||||||||||
| 浏览器设置中的不合规的 Compute Engine SSH | 配置 |
针对 Compute Engine 中的“在浏览器中使用 SSH”功能设置不合规的值时发生。 此违规问题是由于更改控制软件包的 |
|
|||||||||||||||||
| 创建不合规的 Cloud SQL 资源 | 配置 |
允许创建不合规的 Cloud SQL 资源时发生。 此违规问题是由于更改控制软件包的 |
|
|||||||||||||||||
| 缺少 Cloud KMS 密钥限制 | 加密 |
如果未指定项目来为 CMEK 提供加密密钥,则会发生此情况。 此违规问题是由于更改控制包中符合 |
|
|||||||||||||||||
| 不合规的不支持 CMEK 的服务 | 加密 |
当为工作负载启用不支持 CMEK 的服务时发生。 此违规问题是由于更改控制软件包的 |
|
|||||||||||||||||
| 不合规的 Cloud KMS 保护级别 | 加密 |
当指定了不合规的保护级别以与 Cloud Key Management Service (Cloud KMS) 搭配使用时发生。如需了解详情,请参阅 Cloud KMS 参考文档 。 此违规问题是由于更改控制软件包的 |
|
|||||||||||||||||
| 不合规的资源位置 | 资源位置 |
当给定 Assured Workloads 控制软件包的受支持服务的资源是在工作负载的允许区域之外创建的,或者从允许的位置移到禁止的位置时发生。
此违规问题是由于更改了控制包中
|
|
|||||||||||||||||
| 不合规的服务 | 服务使用情况 |
当用户启用 Assured Workloads 文件夹中的给定 Assured Workloads 控制软件包不支持的服务时发生。 此违规问题是由于更改控制软件包的 |
|
受监控的资源违规问题
Assured Workloads 会根据应用于 Assured Workloads 文件夹的控制软件包监控不同的资源违规问题。请使用以下列表,按受影响的控制软件包过滤违规行为:
| 组织政策限制条件 | 说明 | 受影响的控制软件包 | |||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 不合规的资源位置 |
当资源的位置位于不合规的区域时发生。 此违规问题是由
|
|
|||||||||||||||||
| 文件夹中不合规的资源 |
在 Assured Workloads 文件夹中为不受支持的服务创建资源时发生。 此违规问题是由
|
|