Policy Controller ダッシュボードを使用する

このページでは、Policy Controller ダッシュボードを使用して、ポリシー カバレッジとクラスタ違反を表示する方法について説明します。

このページは、監査または適用のために自動化を行い、維持することで、クラウド プラットフォーム内で実行されているすべてのリソースが組織のコンプライアンス要件を確実に満たすようにする IT 管理者と運用担当者を対象としています。また、アラートを設定し、IT システムのパフォーマンスと脆弱性をモニタリングする IT 管理者と運用担当者も対象としています。Google Cloud のコンテンツで参照する一般的なロールとタスク例の詳細については、一般的な GKE Enterprise ユーザーロールとタスクをご覧ください。

Google Cloud コンソールを使用して、ポリシー カバレッジに関する情報を含むダッシュボードを表示します。ダッシュボードには、次のような情報が表示されます。

  • Policy Controller がインストールされているフリート内のクラスタの数(未登録のクラスタを含む)。
  • Policy Controller がインストールされ、ポリシー違反のクラスタの数。
  • 適用アクションごとにクラスタに適用される制約の数。

Policy Controller バンドルを使用している場合は、1 つ以上のバンドルの規格に基づくコンプライアンスの概要を確認できます。この概要はフリートレベルで集計され、未登録のクラスタも含まれます(プレビュー)。

始める前に

  1. クラスタがフリートに登録され、Policy Controller がインストールされていることを確認します。

  2. Policy Controller ダッシュボードを使用するために必要な権限を取得するには、次の IAM ロールを付与するよう管理者に依頼してください。

    • フリートを含むプロジェクトに対する GKE Hub 閲覧者(roles/gkehub.viewer
    • フリートのクラスタ内の各プロジェクトに対するモニタリング閲覧者(roles/monitoring.viewer

    ロールの付与の詳細については、アクセスの管理をご覧ください。

Policy Controller のステータスを確認する

ポリシー カバレッジに関する情報は、Google Cloud コンソールで確認できます。

  1. Google Cloud コンソールで [GKE Enterprise] に移動し、[体制の管理] の下にある [ポリシー] を選択します。

    [ポリシー] に移動

    [ダッシュボード] タブに、Policy Controller のカバレッジの概要と次の情報が表示されます。

    • [Policy Controller のカバレッジ] には、Policy Controller がインストールされているクラスタと、インストールされていないクラスタの数が表示されます。
    • [違反しているクラスタ] には、違反のないクラスタの数と、違反しているクラスタの数が表示されます。この違反は、クラスタに適用される制約に基づいています。
    • [適用] アクションには、各制約で指定されたアクションのタイプが表示されます。適用アクションの詳細については、制約を使用した監査をご覧ください。
    • 標準ごとのコンプライアンス: 1 つ以上の Policy Controller バンドルの標準に基づくコンプライアンスの概要。バンドルを使用していない場合、このセクションのステータスは「100% not applied」と表示されます。

  2. クラスタのポリシー違反の詳細を確認するには、[違反] タブに移動してから次の操作を行います。

    1. [表示] セクションで、次のいずれかのオプションを選択します。

      • 制約: クラスタ内の違反のあるすべての制約をフラットなリストで表示します。
      • Namespace: 違反のあるリソースを含む Namespace ごとにまとめて、違反のある制約を表示します。
      • リソースの種類: 違反のあるリソースごとにまとめて、違反のある制約を表示します。

    2. これらの表示内容の中から、表示する制約名を選択します。

      [詳細] タブには、違反に関する情報(解決するための推奨の対応など)が表示されます。

      [影響を受けるリソース] タブには、制約による評価中で、ポリシー違反が発生しているリソースに関する情報が表示されます。

Security Command Center でポリシーの検出結果を表示する

Policy Controller のインストール後、Security Command Center でポリシー違反を確認できます。これにより、Google Cloud リソースと Kubernetes リソースのセキュリティ ポスチャーを同じ場所で確認できます。組織で Security Command Center が有効になっている必要があります。これは、スタンダード ティアまたはプレミアム ティアで有効にする必要があります。

Security Command Center では、ポリシー違反が Misconfiguration の検出結果として表示されます。各検出結果のカテゴリと次のステップは、制約の説明と修正の手順と同じです。

Security Command Center での Policy Controller の使用については、Policy Controller の脆弱性の検出をご覧ください。