Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En esta página, se explica cómo usar los paneles del Controlador de políticas para ver la cobertura de tus políticas y los incumplimientos del clúster.
Esta página está destinada a los administradores de TI y operadores que desean asegurarse de que todos los recursos que se ejecutan dentro de la plataforma en la nube cumplan con los requisitos de cumplimiento de la organización. Para ello, deben proporcionar y mantener la automatización para auditar o aplicar el cumplimiento, y configurar alertas y supervisar los sistemas de TI para detectar el rendimiento y las vulnerabilidades. Para obtener más información sobre los roles comunes y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Tareas y roles comunes de los usuarios de GKE.
Usa la consola de Google Cloud para ver un panel que contiene información sobre la cobertura de tus políticas. En el panel, se muestra información como la siguiente:
Es la cantidad de clústeres en una flota (incluidos los clústeres no registrados) que tienen instalado Policy Controller.
Es la cantidad de clústeres con el Controlador de políticas instalado que contienen incumplimientos de políticas.
Es la cantidad de restricciones que se aplican a tus clústeres por cada acción de aplicación.
Si usas paquetes de Policy Controller, puedes ver un resumen de tu cumplimiento en función de los estándares de uno o más paquetes. Este resumen se agrega a nivel de la flota y también incluye los clústeres no registrados (Vista previa).
Antes de comenzar
Asegúrate de que tus clústeres estén registrados en una flota y de que tengan instalado el Controlador de políticas.
Para obtener los permisos que necesitas para usar el panel de Policy Controller, pídele a tu administrador que te otorgue los siguientes roles de IAM:
Visualizador de GKE Hub (roles/gkehub.viewer) en el proyecto que contiene tu flota
Visualizador de Monitoring (roles/monitoring.viewer) en cada proyecto con un clúster en tu flota
Si quieres obtener más información para otorgar roles, consulta Administra el acceso.
Cómo ver el estado de Policy Controller
Puedes ver información sobre la cobertura de tus políticas en la consola de Google Cloud .
En la Google Cloud consola, ve a la página Política de GKE Enterprise en la sección Administración de postura.
En la pestaña Panel, consulta un resumen de la cobertura de tu Policy Controller con la siguiente información:
En Cobertura de Policy Controller, se muestra la cantidad de clústeres con y sin Policy Controller instalado.
En Clústeres con incumplimientos, se muestra la cantidad de clústeres sin incumplimientos y la cantidad de clústeres con incumplimientos. Los incumplimientos se basan en las restricciones que se aplican al clúster.
La acción de aplicación de la política muestra el tipo de acción especificado en cada restricción.
Para obtener más información sobre las acciones de aplicación, consulta Audita mediante restricciones.
Cumplimiento por estándares: Es un resumen de tu cumplimiento según los estándares de uno o más paquetes de Policy Controller. Si no usas ningún paquete, el estado en esta sección se mostrará como "100% no aplicado".
Para ver información más detallada sobre los incumplimientos de políticas en tu clúster, ve a la pestaña Incumplimientos:
En la sección Ver por, selecciona una de las siguientes opciones:
Constraint: Consulta una lista plana de todas las restricciones con incumplimientos en tu clúster.
Espacio de nombres: Consulta las restricciones con incumplimientos, organizadas por el espacio de nombres que contiene el recurso con un incumplimiento.
Tipo de recurso: Consulta las restricciones con incumplimientos, organizadas por el recurso con un incumplimiento.
En cualquier vista, selecciona el nombre de la restricción que deseas ver.
En la pestaña Detalles, se muestra información sobre el incumplimiento, incluida la acción recomendada para resolverlo.
En la pestaña Recursos afectados, se muestra información sobre los recursos que evalúa la restricción y que tienen incumplimientos de política.
Visualiza los resultados de las políticas en Security Command Center
Después de instalar Policy Controller, puedes ver los incumplimientos de políticas en Security Command Center.
Esto te permite ver tu postura de seguridad para tus recursos de Google Cloud y tus recursos de Kubernetes en el mismo lugar. Debes tener activado Security Command Center en tu organizaciónen el nivel Estándar o Premium.
En Security Command Center, los incumplimientos de políticas se muestran como hallazgos de Misconfiguration. La categoría y los próximos pasos para cada hallazgo son los mismos que la descripción de la restricción y los pasos de corrección.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-01 (UTC)"],[],[],null,["This page explains how to use Policy Controller dashboards to view your policy\ncoverage and cluster violations.\n\nThis page is for IT administrators and Operators who want to ensure\nthat all resources running within the cloud platform meet organizational\ncompliance requirements by providing and maintaining automation to audit or\nenforce, and who set up alerting and monitor IT systems for performance and\nvulnerabilities. To learn more about common roles and example tasks that we\nreference in Google Cloud content, see\n[Common GKE user roles and tasks](/kubernetes-engine/enterprise/docs/concepts/roles-tasks).\n| **Caution:** For Google Distributed Cloud (VMware or bare metal), GKE on AWS, GKE on Azure, and GKE attached clusters, the Policy Controller dashboard requires Kubernetes cluster versions 1.26 or later and the following product versions:\n|\n| - **GKE on AWS**: 1.26.2-gke.1001 or later\n| - **GKE on Azure**: 1.26.2-gke.1001 or later\n| - **GKE attached clusters**: 1.25.0-gke.3 or later\n\nUse the Google Cloud console to view a dashboard that contains information about\nyour policy coverage. The dashboard shows information such as the following:\n\n- The number of clusters in a fleet (including unregistered clusters) that have Policy Controller installed.\n- The number of clusters with Policy Controller installed that contain policy violations.\n- The number of constraints applied to your clusters per enforcement action.\n\nIf you are using [Policy Controller bundles](/kubernetes-engine/enterprise/policy-controller/docs/concepts/policy-controller-bundles),\nyou can see an overview of your compliance based on the standards in one or\nmore bundles. This overview is aggregated at a fleet level and also includes\nyour unregistered clusters ([Preview](/products#product-launch-stages)).\n\nBefore you begin\n\n1. Make sure that your clusters are registered to a [fleet](/anthos/multicluster-management/fleets)\n and that your clusters have Policy Controller installed.\n\n2. To get the permissions that you need to use the Policy Controller dashboard, ask your administrator to grant you the following IAM roles:\n\n - GKE Hub Viewer (`roles/gkehub.viewer`) on the project containing your fleet\n - Monitoring Viewer (`roles/monitoring.viewer`) on each project with a cluster in your fleet\n\n For more information about granting roles, see [Manage access](/iam/docs/granting-changing-revoking-access).\n\nView Policy Controller status\n\nYou can view information about your policy coverage in the Google Cloud console.\n\n1. In the Google Cloud console, go to the **Policy** page under the **Posture Management** section.\n\n \u003cbr /\u003e\n\n [Go to Policy](https://console.cloud.google.com/kubernetes/policy_controller)\n\n On the **Dashboard** tab, see an overview of your Policy Controller\n coverage with the following information:\n - **Policy Controller coverage** shows the number of clusters with and without Policy Controller installed.\n - **Clusters in violation** shows the number of clusters without any violations and the number of clusters with violations. The violations are based on which [constraints](/kubernetes-engine/enterprise/policy-controller/docs/how-to/creating-policy-controller-constraints) are applied to the cluster.\n - **Enforcement** action shows the type of action specified in each constraint. For more information about enforcement actions, see [Auditing using constraints](/kubernetes-engine/enterprise/policy-controller/docs/how-to/auditing-constraints).\n - **Compliance by standards** an overview of your compliance based on the standards in one or more Policy Controller bundles. If you are not using any bundles, the status in this section shows as \"100% not applied\".\n2. To view more detailed information about policy violations in your cluster,\n go to the **Violations** tab:\n\n 1. In the **View by** section, select one of the following options:\n\n - **Constraint**: view a flat list of all constraints with violations in your cluster.\n - **Namespace**: view constraints with violations, organized by the namespace that contains the resource with a violation.\n - **Resource kind**: view constraints with violations, organized by the resource with a violation.\n 2. From any view, select the constraint name that you want to view.\n\n The **Details** tab shows information about the violation, including the\n recommended action to resolve it.\n\n The **Affected Resources** tab shows information about which resources\n are being evaluated by the constraint and have policy violations.\n\nView policy findings in Security Command Center\n\nAfter Policy Controller is installed, you can view policy violations in Security Command Center.\nThis lets you view your security posture for your Google Cloud resources and your\nKubernetes resources in the same place. You must have the\n[Security Command Center activated in your organization](/security-command-center/docs/activate-scc-overview)\n[at the Standard or Premium tier](/security-command-center/docs/service-tiers).\n| **Note:** Security Command Center shows only violations related to the following Policy Controller bundles: [`pci-dss-v3.2.1`](/kubernetes-engine/enterprise/policy-controller/docs/how-to/using-pci-dss-v3) and [`cis-k8s-v1.5.1`](/kubernetes-engine/enterprise/policy-controller/docs/how-to/using-cis-k8s-benchmark).\n\nIn Security Command Center, policy violations show as `Misconfiguration` findings. The\ncategory and next steps for each finding are the same as the constraint description\nand remediation steps.\n\nFor more information about using Policy Controller in Security Command Center, see\n[Policy Controller vulnerability findings](/security-command-center/docs/concepts-security-sources#policy-controller)."]]
