Organisationsrichtlinie im Probelaufmodus erstellen

Auf dieser Seite wird beschrieben, wie Sie eine Organisationsrichtlinie im Probelaufmodus verwenden, um zu beobachten, wie sich eine Richtlinienänderung auf Ihre Arbeitsabläufe auswirken würde, bevor sie erzwungen wird.

Eine Organisationsrichtlinie im Probelaufmodus wird ähnlich wie andere Organisationsrichtlinien erstellt und erzwungen. Verstöße gegen die Richtlinie werden protokolliert, die entsprechenden Aktionen werden jedoch nicht abgelehnt.

Hinweise

Wenn Sie eine Organisationsrichtlinie im Probelaufmodus verwenden möchten, muss die Abrechnung für Ihr Google Cloud Projekt aktiviert sein. Informationen dazu, wie Sie prüfen können, ob die Abrechnung für ein Projekt aktiviert ist, finden Sie unter Abrechnungsstatus Ihrer Projekte prüfen.

Weitere Informationen zu Organisationsrichtlinien und Einschränkungen sowie zu ihrer Funktionsweise finden Sie unter Einführung in den Organisationsrichtliniendienst.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Sie können die Verwaltung von Organisationsrichtlinien delegieren, indem Sie der Rollenbindung des Administrators für Organisationsrichtlinien IAM-Bedingungen hinzufügen. Wenn Sie steuern möchten, für welche Ressourcen ein Hauptkonto Organisationsrichtlinien verwalten kann, können Sie die Rollenbindung an ein bestimmtes Tag binden. Weitere Informationen finden Sie unter Einschränkungen verwenden.

Beschränkungen

Die einzigen Einschränkungen für Organisationsrichtlinien, die in Probelauf-Organisationsrichtlinien verwendet werden können, sind:

Der Versuch, eine Organisationsrichtlinie im Probelaufmodus mit einer anderen Einschränkung zu erstellen, führt zu einem Fehler.

Organisationsrichtlinie im Probelaufmodus erstellen

Listenparameter verwenden

Sie können eine Organisationsrichtlinie im Probebetriebsmodus für eine Einschränkung mit derGoogle Cloud -Konsole oder der Google Cloud CLI erstellen. Die folgenden Beispiele zeigen, wie Sie eine Organisationsrichtlinie im Probebetrieb erstellen, mit der die Auswirkungen der verwalteten Einschränkung compute.managed.restrictProtocolForwardingCreationForTypes geprüft werden.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung Verwendung der Protokollweiterleitung einschränken aus der Liste aus.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie verwalten.

  6. Wählen Sie auf der Seite Richtlinie für Probebetrieb bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  7. Klicken Sie auf Regel hinzufügen.

  8. Wählen Sie unter Erzwingung die Option An aus.

  9. Wählen Sie unter Parameter die Option Bearbeiten aus.

  10. Wählen Sie im Bereich Parameterwerte bearbeiten die Option Benutzerdefiniert aus.

  11. Geben Sie im Feld Nutzerdefinierte Werte den Wert EXTERNAL ein und klicken Sie dann auf Speichern.

  12. Klicken Sie auf Änderungen testen, um die Auswirkungen dieser Organisationsrichtlinie zu simulieren. Weitere Informationen finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.

  13. Klicken Sie auf Probelaufrichtlinie festlegen, um die Organisationsrichtlinie im Probelaufmodus zu erzwingen. Sie können die Live-Richtlinie auch festlegen, indem Sie auf Richtlinie festlegen klicken.

Sie können den Status Ihrer Organisationsrichtlinie im Probelaufmodus prüfen, indem Sie den Tab Probelauf einer Einschränkung für die Organisationsrichtlinie aufrufen.

Für Projekte, auf die eine Organisationsrichtlinie im Probelaufmodus angewendet wird, können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungslogs ansehen klicken. Bei dieser Organisationsrichtlinie werden Verstöße in den Audit-Logs so angezeigt, als ob die Einschränkung Verwendung der Protokollweiterleitung einschränken erzwungen wird, um nur Bereitstellungen für die Protokollweiterleitung von EXTERNAL zuzulassen.

gcloud

Wenn Sie eine Organisationsrichtlinie im Probebetrieb erstellen möchten, erstellen Sie eine YAML-Datei, in der die Einschränkung mit dryRunSpec definiert wird. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/compute.managed.restrictProtocolForwardingCreationForTypes
  dryRunSpec:
    rules:
    - enforce: true
      parameters:
       allowedSchemes:
        - EXTERNAL

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Mit dieser Organisationsrichtlinie wird die Einschränkung compute.managed.restrictProtocolForwardingCreationForTypes nicht erzwungen, aber in den Audit-Logs werden Verstöße so angezeigt, als ob sie erzwungen würde.

Sie können eine aktive Organisationsrichtlinie und eine Organisationsrichtlinie für den Probebetrieb in derselben YAML-Datei festlegen, wenn Sie sowohl spec als auch dryRunSpec definieren. Beispiel:

name: RESOURCE_TYPE/RESOURCE_ID/policies/compute.managed.restrictProtocolForwardingCreationForTypes
spec:
  rules:
  - values:
      allowedValues:
      - INTERNAL
      - EXTERNAL

dryRunSpec:
  rules:
  - values:
      allowedValues:
      - INTERNAL

Verwenden Sie den Befehl org-policies set policy, um eine Organisationsrichtlinie im Probelaufmodus zu erzwingen. Verwenden Sie das Flag --update-mask, um eine vorhandene Organisationsrichtlinie im Probelaufmodus mit neuen Einschränkungen zu aktualisieren. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=UPDATE_MASK

Ersetzen Sie Folgendes:

  • POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie.

  • UPDATE_MASK mit spec, um nur die Live-Richtlinie zu aktualisieren, oder dryRunSpec, um nur die Organisationsrichtlinie im Testlaufmodus zu aktualisieren. Sie können auch * verwenden, um sowohl das Feld spec als auch das Feld dryRunSpec zu aktualisieren. Wenn dieses Feld beim Aktualisieren einer vorhandenen Organisationsrichtlinie nicht festgelegt ist, führt dieser Befehl zu einem Fehler und die Organisationsrichtlinie wird nicht aktualisiert.

Sie können mit dem Befehl org-policies describe prüfen, ob die Organisationsrichtlinie im Probelaufmodus festgelegt ist. Das Feld dryRunSpec wird nur angezeigt, wenn es in der Organisationsrichtlinie vorhanden ist.

Mit dieser Organisationsrichtlinie wird die Einschränkung compute.managed.restrictProtocolForwardingCreationForTypes so erzwungen, dass alle Werte zulässig sind. In den Audit-Logs werden Verstöße jedoch so angezeigt, als wären nur INTERNAL-Protokollweiterleitungen zulässig.

Boolesche Regeln verwenden

Sie können eine Organisationsrichtlinie im Probebetriebsmodus für eine Einschränkung mit booleschen Regeln über die Google Cloud Console oder die Google Cloud CLI erstellen. Die folgenden Beispiele zeigen, wie Sie eine Organisationsrichtlinie im Probebetrieb erstellen, mit der die Auswirkungen einer benutzerdefinierten Organisationsrichtlinie geprüft werden.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie auf der Seite Organisationsrichtlinien die benutzerdefinierte Organisationsrichtlinie aus, die Sie erzwingen möchten.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie verwalten.

  6. Wählen Sie auf der Seite Probelaufrichtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  7. Klicken Sie auf Regel hinzufügen.

  8. Wählen Sie unter Erzwingung die Option An aus und klicken Sie auf Fertig.

  9. Klicken Sie auf Probelaufrichtlinie festlegen, um die Organisationsrichtlinie im Probelaufmodus zu erzwingen. Wenn Sie überprüft haben, dass die Organisationsrichtlinie im Probelaufmodus wie erwartet funktioniert, können Sie die aktive Richtlinie festlegen, indem Sie auf Richtlinie festlegen klicken.

Sie können den Status Ihrer Organisationsrichtlinie im Probelaufmodus prüfen, indem Sie den Tab Probelauf einer Einschränkung für die Organisationsrichtlinie aufrufen.

Für Projekte, auf die eine Organisationsrichtlinie im Probelaufmodus angewendet wird, können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungslogs ansehen klicken. Bei dieser Organisationsrichtlinie werden in den Audit-Logs Verstöße so angezeigt, als ob die benutzerdefinierte Organisationsrichtlinie erzwungen würde.

gcloud

Wenn Sie eine Organisationsrichtlinie im Probebetrieb erstellen möchten, erstellen Sie eine YAML-Datei, in der die Einschränkung mit dryRunSpec definiert wird. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
  dryRunSpec:
    rules:
    - enforce: true

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

  • CONSTRAINT_NAME durch den Namen Ihrer benutzerdefinierten Einschränkung. Beispiel: custom.disableGkeAutoUpgrade.

Mit dieser Organisationsrichtlinie wird die benutzerdefinierte Einschränkung nicht erzwungen, in den Audit-Logs werden Verstöße jedoch so angezeigt, als ob dies der Fall wäre.

Sie können eine aktive Organisationsrichtlinie und eine Organisationsrichtlinie im Probebetriebsmodus in derselben YAML-Datei festlegen, wenn Sie sowohl spec als auch dryRunSpec definieren. Beispiel:

name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: false

dryRunSpec:
  rules:
  - enforce: true

Verwenden Sie den Befehl org-policies set policy, um eine Organisationsrichtlinie im Probelaufmodus zu erzwingen. Verwenden Sie das Flag --update-mask, um eine vorhandene Organisationsrichtlinie im Probelaufmodus mit neuen Einschränkungen zu aktualisieren. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=UPDATE_MASK

Ersetzen Sie Folgendes:

  • POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie.

  • UPDATE_MASK mit spec, um nur die Live-Richtlinie zu aktualisieren, oder dryRunSpec, um nur die Organisationsrichtlinie im Testlaufmodus zu aktualisieren. Sie können auch * verwenden, um sowohl das Feld spec als auch das Feld dryRunSpec zu aktualisieren. Wenn dieses Feld beim Aktualisieren einer vorhandenen Organisationsrichtlinie nicht festgelegt ist, führt dieser Befehl zu einem Fehler und die Organisationsrichtlinie wird nicht aktualisiert.

Sie können mit dem Befehl org-policies describe prüfen, ob eine Organisationsrichtlinie im Probelaufmodus festgelegt ist. Das Feld dryRunSpec wird nur angezeigt, wenn es in der Organisationsrichtlinie vorhanden ist.

Mit dieser Organisationsrichtlinie wird die benutzerdefinierte Einschränkung nicht erzwungen. In den Audit-Logs werden jedoch Verstöße gegen die benutzerdefinierte Einschränkung angezeigt.

Organisationsrichtlinie im Probelaufmodus aus einer aktiven Richtlinie erstellen

Sie können eine vorhandene Organisationsrichtlinie als Ausgangspunkt für eine Organisationsrichtlinie im Probelaufmodus verwenden. Das kann sinnvoll sein, um zu sehen, welche Auswirkungen eine Änderung an Ihrer bestehenden Richtlinie auf Ihre Umgebung hätte.

Sie können eine Organisationsrichtlinie im Probebetriebsmodus auf Grundlage einer vorhandenen Richtlinie mit der Google Cloud Console oder der Google Cloud CLI erstellen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl eine Ressource aus, für die die Einschränkung Ressourcendienstnutzung einschränken bereits konfiguriert ist.

  3. Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung Nutzung von Ressourcendiensten einschränken aus der Liste aus.

  4. Wähle den Tab Livestreams aus.

  5. Klicken Sie auf Richtlinie verwalten.

  6. Klicken Sie auf Regel hinzufügen.

  7. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert aus.

  8. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  9. Geben Sie in das Feld Benutzerdefinierte Werte appengine.googleapis.com ein.

  10. Klicken Sie auf Fertig und dann auf Dry-Run-Richtlinie festlegen.

gcloud

Wenn Sie eine Organisationsrichtlinie im Probebetriebsmodus auf Grundlage einer vorhandenen aktiven Organisationsrichtlinie erstellen möchten, rufen Sie die aktuelle Richtlinie für die Ressource mit dem Befehl org-policies describe ab. Beispiel:

gcloud org-policies describe gcp.restrictServiceUsage \
  --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch die Projekt-ID oder Projektnummer des Projekts, in dem diese Organisationsrichtlinie konfiguriert ist.

Die Ausgabe sollte in etwa so aussehen:

  name: projects/123456789012/policies/gcp.restrictServiceUsage
  spec:
    etag: CJy93KEGEKCJw/QB
    rules:
    - values:
        allowedValues:
        - compute.googleapis.com
  updateTime: '2023-04-12T21:11:56.512804Z'

Kopieren Sie die Ausgabe dieses Befehls in eine temporäre Datei. Bearbeiten Sie diese Datei, um die Felder etag und updateTime zu entfernen und das Feld spec in dryRunSpec zu ändern. Nehmen Sie alle Änderungen an der Einschränkungskonfiguration vor, die Sie im Probelaufmodus in Ihrer Organisationsrichtlinie testen möchten.

Die fertige YAML-Datei sollte in etwa so aussehen:

  name: projects/123456789012/policies/gcp.restrictServiceUsage
  dryRunSpec:
    rules:
    - values:
        allowedValues:
        - compute.googleapis.com
        - appengine.googleapis.com

Verwenden Sie org-policies set policy mit dem Flag --update-mask, um die Organisationsrichtlinie im Probelaufmodus zu erzwingen. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=dryRunSpec

Ersetzen Sie POLICY_PATH durch den vollständigen Pfad zu Ihrer temporären YAML-Datei für die Organisationsrichtlinie.

Organisationsrichtlinie im Probelaufmodus löschen

Sie können eine Organisationsrichtlinie im Probebetriebsmodus mit der Google Cloud -Konsole oder der Google Cloud CLI löschen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung Nutzung von Ressourcendiensten einschränken aus der Liste aus.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie löschen.

gcloud

Wenn Sie eine Organisationsrichtlinie im Probelaufmodus löschen möchten, erstellen Sie eine YAML-Datei, in der die Organisationsrichtlinie ohne Probelaufspezifikation definiert ist. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
  spec:
    rules:
    - values:
        allowedValues:
        - container.googleapis.com

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Verwenden Sie dann den Befehl org-policies set policy mit dem Flag --update-mask, das auf dryRunSpec gesetzt ist. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=dryRunSpec

Dadurch wird die vorhandene Organisationsrichtlinie aktualisiert, um die Dry-Run-Spezifikation zu entfernen und den Live-Teil der Spezifikation zu ignorieren.

Wenn Sie sowohl aktive Organisationsrichtlinien als auch Organisationsrichtlinien im Probebetrieb gleichzeitig löschen möchten, verwenden Sie den Befehl org-policies delete. Beispiel:

gcloud org-policies delete CONSTRAINT_NAME \
  --RESOURCE_TYPE=RESOURCE_ID

Ersetzen Sie Folgendes:

  • CONSTRAINT_NAME durch den Namen der Einschränkung, die Sie löschen möchten. Beispiel: gcp.restrictServiceUsage.

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Effektive Auswertung von Organisationsrichtlinien im Probelaufmodus

Organisationsrichtlinien im Probelaufmodus werden ähnlich wie andere Organisationsrichtlinien übernommen. Wenn eine Organisationsrichtlinie im Probebetriebsmodus für eine Organisationsressource festgelegt ist, wird sie von allen untergeordneten Ressourcen übernommen, sofern sie nicht auf einer niedrigeren Ebene in der Hierarchie überschrieben wird.

Bei der Auswertung der geltenden Richtlinie wird das Ergebnis der Organisationsrichtlinien angezeigt, die für diese Ressource zusammengeführt werden. Daher werden Anpassungen an der aktiven Organisationsrichtlinie im Probelaufmodus in der geltenden Organisationsrichtlinie berücksichtigt, wenn die Richtlinie für den Probelaufmodus übernommen und nicht lokal festgelegt wird.

Wenn Sie die aktive Organisationsrichtlinie eines Projekts ändern, wird auch die effektive Organisationsrichtlinie im Probelaufmodus geändert.

Stellen Sie sich beispielsweise eine Organisationsressource Organization A mit einer aktiven Organisationsrichtlinie vor, die auf enforced: false festgelegt ist, und eine Organisationsrichtlinie im Probebetriebsmodus, die auf enforced: true festgelegt ist. Für eine untergeordnete Ressource, Folder B, wird die aktive Organisationsrichtlinie ebenfalls auf enforced: false festgelegt und die Organisationsrichtlinie wird im Probelaufmodus übernommen. Auf Folder B bedeutet die festgelegte Live-Richtlinie, dass die effektive Richtlinienauswertung der Organisationsrichtlinie im Probelaufmodus ebenfalls enforce: false ist. Dadurch wird die Organisationsrichtlinie im Probelaufmodus, die in der übergeordneten Organisation festgelegt ist, überschrieben.

Eine untergeordnete Ressource von Folder B, Project X, legt die Live-Richtlinie auf enforced: true fest. Ähnlich wie bei Folder B ist die effektive Auswertung der Organisationsrichtlinie im Probelaufmodus für Project X enforced: true, da die Live-Richtlinie festgelegt ist.

Eine weitere untergeordnete Ressource von Folder B, Project Y, legt die Organisationsrichtlinie im Probelaufmodus auf enforced: true fest. Sie übernimmt die Organisationsrichtlinie von der übergeordneten Ressource. Die effektive Evaluierung ist also enforced: false für die aktive Richtlinie und enforced: true für die Organisationsrichtlinie im Probebetrieb.

Ressource Organisationsrichtlinie für Live-Inhalte festlegen Gültige Organisationsrichtlinie für Live-Inhalte Organisationsrichtlinie im Probelaufmodus festlegen Effektive Organisationsrichtlinie im Probelaufmodus
Organisation A enforced: false enforced: false enforced: true enforced: true
Ordner B enforced: false enforced: false Keine enforced: false
Ordner C Keine enforced: false Keine enforced: true
Project X enforced: true enforced: true Keine enforced: true
Projekt Y Keine enforced: false enforced: true enforced: true

Auswirkungen einer Organisationsrichtlinie im Probelaufmodus analysieren

Eine Organisationsrichtlinie im Probelaufmodus blockiert keine Vorgänge, wenn sie erzwungen wird. Um zu sehen, welche Auswirkungen Ihre Organisationsrichtlinie hätte, können Sie die Audit-Logs für Organisationsrichtlinien prüfen.

Audit-Logs für Organisationsrichtlinien für aktive Organisationsrichtlinien und Organisationsrichtlinien im Probelaufmodus werden basierend darauf generiert, ob der Vorgang durch die für die jeweilige Ressource erzwungenen Richtlinien zulässig oder verweigert wird. In der folgenden Tabelle werden die Situationen beschrieben, in denen ein Audit-Log für Organisationsrichtlinien generiert wird:

Aktive Organisationsrichtlinie Organisationsrichtlinie im Probelaufmodus Audit-Log generiert
Zulassen Zulassen Nein
Zulassen Ablehnen Audit-Log nur im Probelaufmodus
Ablehnen Zulassen Audit-Log im Live- und Probelaufmodus
Ablehnen Ablehnen Audit-Log im Live- und Probelaufmodus

Verstöße gegen Organisationsrichtlinien im Probelaufmodus werden in den Audit-Logs zusammen mit Verstößen im Live-Modus angezeigt. Beispiel:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "status": {
      "code": 7,
      "message": "PERMISSION_DENIED"
    },
    "authenticationInfo": {},
    "requestMetadata": {
      "callerIp": "1.2.3.4",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "appengine.googleapis.com",
    "methodName": "google.api.appengine.v1.appengine.apps.services.get",
    "resourceName": "projects/sur-project-test-3",
    "metadata": {
      "constraint": "constraints/gcp.restrictServiceUsage",
      "checkedValue": "appengine.googleapis.com",
      "liveResult": "ALLOWED",
      "@type": "type.googleapis.com/google.cloud.audit.OrgPolicyDryRunAuditMetadata",
      "dryRunResult": "DENIED"
    }
  },
  "insertId": "1f2bvoxcmg1",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "sur-project-test-3",
      "service": "appengine.googleapis.com",
      "method": "google.api.appengine.v1.appengine.apps.services.get"
    }
  },
  "timestamp": "2022-06-16T19:42:58.244990928Z",
  "severity": "WARNING",
  "logName": "projects/sur-project-test-3/logs/cloudaudit.googleapis.com%2Fpolicy",
  "receiveTimestamp": "2022-06-16T19:42:59.572025716Z"
}

Mit dem Log-Explorer können Sie nur nach Verstößen gegen Organisationsrichtlinien im Probebetriebsmodus suchen.

Konsole

In der Google Cloud Console können Sie mit dem Log-Explorer die Audit-Logeinträge für Ihr Projekt, Ihren Ordner oder Ihre Organisation in Google Cloud abrufen:

  1. Rufen Sie in der Google Cloud Console die Seite Logging > Log-Explorer auf.

    Zum Log-Explorer

  2. Wählen Sie ein vorhandenes Projekt, einen Ordner oder eine Organisation in Google Cloud aus.

  3. Führen Sie im Bereich Query Builder folgende Schritte aus:

    • Wählen Sie unter Ressourcentyp die Ressource von Google Cloud aus, deren Audit-Logs angezeigt werden sollen.

    • Wählen Sie unter Logname den Audit-Logtyp policy aus.

    • Geben Sie im Bereich Abfrage Folgendes ein: protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED"

    Wenn beim Aufrufen von Logs im Log-Explorer Probleme auftreten, lesen Sie die Informationen zur Fehlerbehebung.

    Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.

gcloud

Die Google Cloud CLI bietet eine Befehlszeile für die Logging API. Geben Sie in jedem Lognamen eine gültige Ressourcenkennung an. Wenn Ihre Abfrage beispielsweise eine Projekt-ID enthält, muss sich die von Ihnen angegebene Projekt-ID auf den aktuell ausgewählten Projektnamen beziehen.

Führen Sie den folgenden Befehl aus, um Audit-Logeinträge für Verstöße gegen Organisationsrichtlinien im Probebetriebsmodus zu lesen:

gcloud logging read protoPayload.metadata.dryRunResult = "DENIED" AND \
      protoPayload.metadata.liveResult = "ALLOWED" \
    --RESOURCE_TYPE=RESOURCE_ID \

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organization, folder oder project.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Fügen Sie Ihrem Befehl das Flag --freshness hinzu, um Logs zu lesen, die mehr als einen Tag alt sind.

Weitere Informationen zur Verwendung der gcloud CLI finden Sie unter gcloud logging read.

Audit-Logeinträge zusammenfassen

Wenn Ihre Organisation viele Projekte hat, können Sie aggregierte Senken verwenden, um die Audit-Log-Einträge aus allen Projekten Ihrer Organisation zusammenzufassen und an eine BigQuery-Tabelle weiterzuleiten.

  1. Verwenden Sie zum Erstellen einer aggregierten Senke den Befehl logging sinks create.

    Bevor Sie den folgenden Befehl verwenden, ersetzen Sie Folgendes:

    • SINK_NAME: Der Name der Logsenke. Sie können den Namen einer Senke nach dem Erstellen nicht mehr ändern.

    • PROJECT_ID: Die ID des Projekts, das Ihr BigQuery-Dataset enthält.

    • DATASET_ID: Die ID eines BigQuery-Datasets mit Schreibzugriff.

    • ORGANIZATION_ID: Die ID Ihrer Organisation.

    Führen Sie den Befehl gcloud logging sinks create aus:

    gcloud logging sinks create SINK_NAME \
  bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID \
  --include-children \
  --organization=ORGANIZATION_ID \
  --log-filter='logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy" AND protoPayload.metadata.@type:OrgPolicyDryRunAuditMetadata'

  2. Damit Logeinträge weitergeleitet werden können, müssen Sie dem Dienstkonto, das der Senke zugeordnet ist, die Berechtigung zum Weiterleiten an das Ziel erteilen.

    Verwenden Sie den Befehl gcloud logging sinks describe, um das Dienstkonto zu finden, dem Sie die Berechtigung erteilen müssen.

    Bevor Sie den folgenden Befehl verwenden, ersetzen Sie SINK_NAME durch den Namen des Log-Senken, den Sie zuvor erstellt haben.

    Führen Sie den Befehl gcloud logging sinks describe aus:

    gcloud logging sinks describe SINK_NAME

  3. Wenn die Senkendetails ein Feld mit dem Label writerIdentity enthalten, fahren Sie mit dem nächsten Schritt fort. Wenn die Details kein Feld writerIdentity enthalten, müssen Sie keine Zielberechtigungen für die Senke konfigurieren.

  4. Kopieren Sie die Identität des Autors der Senke in die Zwischenablage. Das folgende Beispiel zeigt eine Autorenidentität:

    serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

  5. Verwenden Sie den Befehl gcloud projects add-iam-policy-binding, um der Schreibidentität der Senke die Berechtigung zum Schreiben von Logdaten in das Ziel zu erteilen.

    Bevor Sie den folgenden Befehl verwenden, ersetzen Sie Folgendes:

    • PROJECT_ID: Die Kennung des Projekts, in dem das Ziel des aggregierten Senken gespeichert ist.

    • PRINCIPAL_ID: Die Writer-Identität des Senken, die Sie zuvor kopiert haben.

    Führen Sie den Befehl gcloud projects add-iam-policy-binding aus:

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=PRINCIPAL_ID \
  --role=roles/bigquery.dataEditor

    Weitere Informationen zum Erstellen aggregierter Senken finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten.

  6. So rufen Sie die an BigQuery weitergeleiteten Logs auf:

    1. Rufen Sie in der Google Cloud Console die Seite "BigQuery" auf.

      BigQuery Studio aufrufen

      Sie können diese Seite auch über die Suchleiste finden.

    2. Maximieren Sie im Bereich Explorer Ihr Projekt und wählen Sie ein Dataset aus.

      Die Logeinträge werden auf dem Tab Details angezeigt. Sie können auch die Tabelle nach den Daten abfragen.

    3. Erstellen Sie eine Abfrage, um die Organisationsrichtlinie für den Probelauf zu analysieren. Die folgende Abfrage gibt beispielsweise Audit-Logs für Organisationsrichtlinien für Testläufe zurück, die Ablehnungen enthalten und in den letzten sieben Tagen generiert wurden.

    SELECT protopayload_auditlog.serviceName as serviceName,
    protopayload_auditlog.methodName as methodName,
    JSON_EXTRACT_SCALAR(protopayload_auditlog.metadataJson, '$.constraint') as constraint,
    JSON_EXTRACT_SCALAR(protopayload_auditlog.metadataJson, '$.dryRunResult') as dryRunResult,
    JSON_EXTRACT_SCALAR(protopayload_auditlog.metadataJson, '$.liveResult') as liveResult
FROM {PROJECT_ID}.{DATASET_ID}.cloudaudit_googleapis_com_policy_*
WHERE JSON_EXTRACT_SCALAR(protopayload_auditlog.metadataJson, '$.dryRunResult') = "DENIED"
AND `timestamp` > DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY)
LIMIT 1000

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Projekts, das Ihr BigQuery-Dataset enthält.

    • DATASET_ID: Die ID eines BigQuery-Datasets mit Schreibzugriff.

    Weitere Informationen finden Sie unter An BigQuery weitergeleitete Logs ansehen.

Nächste Schritte

Weitere Informationen zum Erstellen und Verwalten von Einschränkungen für Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.