Organisationsrichtlinie im Probelaufmodus erstellen

Auf dieser Seite wird gezeigt, wie Sie eine Organisationsrichtlinie im Probelaufmodus zum Überwachen verwenden wie sich eine Richtlinienänderung auf Ihre Workflows auswirken würde, bevor sie erzwungen wird.

Eine Organisationsrichtlinie im Probelaufmodus wird ähnlich erstellt und erzwungen wie anderen Organisationsrichtlinien und Richtlinienverstößen protokolliert, dass die entsprechenden Maßnahmen nicht abgelehnt werden.

Hinweise

Wenn Sie eine Organisationsrichtlinie im Probelaufmodus verwenden möchten, müssen Sie die Abrechnung für Ihr Google Cloud-Projekt. Informationen zum Prüfen, ob die Abrechnung aktiviert ist Informationen zu einem Projekt finden Sie unter Abrechnungsstatus von Projekten prüfen.

Weitere Informationen dazu, was Organisationsrichtlinien und -einschränkungen sind und Einführung in den Organisationsrichtliniendienst.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierte Rolle enthält Berechtigungen zum Verwalten von Organisationsrichtlinien. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Verwalten von Organisationsrichtlinien erforderlich:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Beschränkungen

Die einzigen Einschränkungen für Organisationsrichtlinien, die im Probelauf verwendet werden können Organisationsrichtlinien:

Sie versuchen, eine Organisationsrichtlinie im Probelaufmodus mit einer anderen führt zu einem Fehler.

Organisationsrichtlinie im Probelaufmodus erstellen

Listeneinschränkungen

Sie können eine Organisationsrichtlinie im Probelaufmodus für eine Listeneinschränkung erstellen über die Google Cloud Console oder die Google Cloud CLI. Die folgenden Beispiele zeigen, wie Sie eine Organisationsrichtlinie im Probelaufmodus erstellen, die die Auswirkung der Listeneinschränkung gcp.restrictServiceUsage.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie festlegen möchten. der Organisationsrichtlinie.

  3. Wählen Sie aus der Liste die Einschränkung Ressourcendienstnutzung einschränken aus. auf der Seite Organisationsrichtlinien.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie verwalten.

  6. Wählen Sie auf der Seite Probelaufrichtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  7. Klicken Sie unter Richtlinienerzwingung auf Ersetzen.

  8. Klicken Sie auf Regel hinzufügen.

  9. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert aus.

  10. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  11. Geben Sie in das Feld Benutzerdefinierte Werte compute.googleapis.com ein und dann Klicken Sie auf Fertig.

  12. Bei einer benutzerdefinierten Einschränkung können Sie auf Änderungen testen klicken, um und simulieren Sie die Auswirkungen dieser Organisationsrichtlinie. Weitere Informationen Siehe Änderungen an Organisationsrichtlinien mit Policy Simulator testen.

  13. Um die Organisationsrichtlinie im Probelaufmodus zu erzwingen, klicken Sie auf Probelaufrichtlinie festlegen Sie können die Live-Richtlinie auch festlegen, indem Sie auf Richtlinie festlegen:

Sie können den Status Ihrer Organisationsrichtlinie im Probelaufmodus prüfen, indem Sie rufen Sie den Tab Probelauf einer Einschränkung der Organisationsrichtlinie auf.

Für Projekte, für die eine Organisationsrichtlinie im Probelaufmodus angewendet wird auf können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungslogs ansehen klicken. Für diese Organisationsrichtlinie erfüllen, werden Verstöße in den Audit-Logs so angezeigt, Die Einschränkung Ressourcendienstnutzung einschränken wird zum Ablehnen erzwungen compute.googleapis.com

gcloud

Um eine Organisationsrichtlinie im Probelaufmodus zu erstellen, erstellen Sie eine YAML-Datei, definiert die Einschränkung mit dryRunSpec. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
  dryRunSpec:
    rules:
      values:
        denied_values:
        - compute.googleapis.com

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders, oder projects.

  • RESOURCE_ID durch Ihre Organisations-ID, Ihren Ordner ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp in RESOURCE_TYPE angegeben.

Diese Organisationsrichtlinie erzwingt die gcp.restrictServiceUsage nicht Einschränkung, aber in den Audit-Logs werden Verstöße so angezeigt.

Sie können eine aktive Organisationsrichtlinie und eine Organisationsrichtlinie für einen Probelauf festlegen in derselben YAML-Datei, wenn Sie sowohl spec als auch dryRunSpec definieren. Beispiel:

name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
spec:
  rules:
  - values:
    allowedValues:
    - container.googleapis.com

dryRunSpec:
  rules:
    values:
      allowedValues:
      - compute.googleapis.com
      - appengine.googleapis.com

Verwenden Sie zum Erzwingen einer Organisationsrichtlinie im Probelaufmodus die Methode org-policies set policy-Befehl. Vorhandene Organisationsrichtlinie aktualisieren im Probelaufmodus mit neuen Einschränkungen verwenden Sie das Flag --update-mask. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=UPDATE_MASK

Ersetzen Sie Folgendes:

  • POLICY_PATH durch den vollständigen Pfad zu Ihrem YAML-Datei für Organisationsrichtlinien.

  • UPDATE_MASK mit spec, um nur den Live-Richtlinie oder dryRunSpec, um nur die Organisationsrichtlinie in Probelaufmodus. Sie können auch * verwenden, um sowohl spec als auch dryRunSpec-Felder. Wenn dieses Feld beim Aktualisieren eines vorhandenen Organisationsrichtlinie führt, führt dieser Befehl zu einem Fehler und der Organisationsrichtlinie nicht aktualisiert.

Sie können prüfen, ob die Organisationsrichtlinie im Probelaufmodus festgelegt ist. Verwenden Sie dazu den Befehl den Befehl org-policies describe. Das Feld dryRunSpec wird nur angezeigt, wenn in der Organisationsrichtlinie vorhanden ist.

Die obige Organisationsrichtlinie würde die gcp.restrictServiceUsage erzwingen , sodass nur container.googleapis.com zulässig ist. Sie können jedoch Die Audit-Logs zeigen Verstöße gegen compute.googleapis.com und appengine.googleapis.com.

Boolesche Einschränkungen

Sie können eine Organisationsrichtlinie im Probelaufmodus für eine boolesche Einschränkung erstellen über die Google Cloud Console oder die Google Cloud CLI. Die folgenden Beispiele zeigen, wie Sie eine Organisationsrichtlinie im Probelaufmodus erstellen, die die Auswirkungen einer booleschen benutzerdefinierten Organisationsrichtlinie an.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie festlegen möchten. der Organisationsrichtlinie.

  3. Wählen Sie aus der Liste die benutzerdefinierte Organisationsrichtlinie aus, die Sie erzwingen möchten auf der Seite Organisationsrichtlinien.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie verwalten.

  6. Wählen Sie auf der Seite Probelaufrichtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  7. Klicken Sie auf Regel hinzufügen.

  8. Wählen Sie unter Erzwingung die Option Ein aus und klicken Sie dann auf Fertig.

  9. Um die Organisationsrichtlinie im Probelaufmodus zu erzwingen, klicken Sie auf Probelaufrichtlinie festlegen Nachdem Sie überprüft haben, wie vorgesehen funktioniert. Sie können die Live-Richtlinie festlegen, Richtlinie festlegen:

Sie können den Status Ihrer Organisationsrichtlinie im Probelaufmodus prüfen, indem Sie rufen Sie den Tab Probelauf einer Einschränkung der Organisationsrichtlinie auf.

Für Projekte, für die eine Organisationsrichtlinie im Probelaufmodus angewendet wird auf können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungslogs ansehen klicken. Für diese Organisationsrichtlinie erfüllen, werden Verstöße in den Audit-Logs so angezeigt, benutzerdefinierte Organisationsrichtlinie erzwungen.

gcloud

Um eine Organisationsrichtlinie im Probelaufmodus zu erstellen, erstellen Sie eine YAML-Datei, definiert die Einschränkung mit dryRunSpec. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
  dryRunSpec:
    rules:
    - enforce: true

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders, oder projects.

  • RESOURCE_ID durch Ihre Organisations-ID, Ihren Ordner ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp in RESOURCE_TYPE angegeben.

  • CONSTRAINT_NAME durch den Namen Ihres benutzerdefinierten Einschränkung. Beispiel: custom.disableGkeAutoUpgrade.

Diese Organisationsrichtlinie erzwingt nicht die benutzerdefinierte Einschränkung, aber die in Audit-Logs werden Verstöße so angezeigt, als wären sie tatsächlich aufgetreten.

Sie können eine aktive Organisationsrichtlinie und eine Organisationsrichtlinie festlegen in Probelaufmodus in derselben YAML-Datei, wenn Sie sowohl spec als auch dryRunSpec. Beispiel:

name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: false

dryRunSpec:
  rules:
  - enforce: true

Verwenden Sie zum Erzwingen einer Organisationsrichtlinie im Probelaufmodus die Methode org-policies set policy-Befehl. Vorhandene Organisationsrichtlinie aktualisieren im Probelaufmodus mit neuen Einschränkungen verwenden Sie das Flag --update-mask. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=UPDATE_MASK

Ersetzen Sie Folgendes:

  • POLICY_PATH durch den vollständigen Pfad zu Ihrem YAML-Datei für Organisationsrichtlinien.

  • UPDATE_MASK mit spec, um nur den Live-Richtlinie oder dryRunSpec, um nur die Organisationsrichtlinie in Probelaufmodus. Sie können auch * verwenden, um sowohl spec als auch dryRunSpec-Felder. Wenn dieses Feld beim Aktualisieren eines vorhandenen Organisationsrichtlinie erstellt, führt dieser Befehl zu einem Fehler und der Organisationsrichtlinie nicht aktualisiert.

Sie können prüfen, ob eine Organisationsrichtlinie im Probelaufmodus festgelegt ist. Verwenden Sie dazu den Befehl den Befehl org-policies describe. Das Feld dryRunSpec wird nur angezeigt, wenn in der Organisationsrichtlinie vorhanden ist.

Diese Organisationsrichtlinie erzwingt die benutzerdefinierte Einschränkung nicht. In den Audit-Logs werden jedoch Verstöße gegen die benutzerdefinierte Einschränkung angezeigt.

Organisationsrichtlinie im Probelaufmodus aus einer Live-Richtlinie erstellen

Sie können eine vorhandene Organisationsrichtlinie als Ausgangspunkt für eine Organisationsrichtlinie im Probelaufmodus. So können Sie herausfinden, auf Ihre Umgebung auswirken würde.

Sie können eine Organisationsrichtlinie im Probelaufmodus basierend auf einer vorhandenen mithilfe der Google Cloud Console oder der Google Cloud CLI.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl eine Ressource aus, die bereits über Die dafür konfigurierte Einschränkung Ressourcendienstnutzung einschränken

  3. Wählen Sie aus der Liste die Einschränkung Ressourcendienstnutzung einschränken aus. auf der Seite Organisationsrichtlinien.

  4. Wähle den Tab Livestreams aus.

  5. Klicken Sie auf Richtlinie verwalten.

  6. Klicken Sie auf Regel hinzufügen.

  7. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert aus.

  8. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  9. Geben Sie in das Feld Benutzerdefinierte Werte den Wert appengine.googleapis.com ein.

  10. Klicken Sie auf Fertig und dann auf Probelaufrichtlinie festlegen.

gcloud

So erstellen Sie eine Organisationsrichtlinie im Probelaufmodus basierend auf einer vorhandenen Live- Organisationsrichtlinie, rufen Sie die aktuelle Richtlinie für die Ressource mithilfe der org-policies describe-Befehl. Beispiel:

gcloud org-policies describe gcp.restrictServiceUsage \
  --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch die Projekt-ID oder das Projekt. Nummer des Projekts, in dem diese Organisationsrichtlinie konfiguriert ist.

Die Ausgabe sollte in etwa so aussehen:

  name: projects/123456789012/policies/gcp.restrictServiceUsage
  spec:
    etag: CJy93KEGEKCJw/QB
    rules:
    - values:
        allowedValues:
        - compute.googleapis.com
  updateTime: '2023-04-12T21:11:56.512804Z'

Kopieren Sie die Ausgabe dieses Befehls in eine temporäre Datei. Diese Datei bearbeiten in entfernen Sie die Felder etag und updateTime und ändern Sie das Feld spec in dryRunSpec. Nehmen Sie alle Änderungen an der die Sie in Ihrer Organisationsrichtlinie im Probelaufmodus testen möchten.

Die fertige YAML-Datei sollte in etwa so aussehen:

  name: projects/123456789012/policies/gcp.restrictServiceUsage
  dryRunSpec:
    rules:
      values:
        allowedValues:
        - compute.googleapis.com
        - appengine.googleapis.com

Um die Organisationsrichtlinie im Probelaufmodus zu erzwingen, verwenden Sie die Methode org-policies set policy mit dem Flag --update-mask. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=dryRunSpec

Ersetzen Sie POLICY_PATH durch den vollständigen Pfad zu Ihrem temporäre YAML-Datei für Organisationsrichtlinien.

Organisationsrichtlinie im Probelaufmodus löschen

Sie können eine Organisationsrichtlinie im Probelaufmodus mit der Methode Google Cloud Console oder Google Cloud CLI

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie festlegen möchten. der Organisationsrichtlinie.

  3. Wählen Sie aus der Liste die Einschränkung Ressourcendienstnutzung einschränken aus. auf der Seite Organisationsrichtlinien.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie löschen.

gcloud

Um eine Organisationsrichtlinie im Probelaufmodus zu löschen, erstellen Sie eine YAML-Datei, die definiert die Organisationsrichtlinie ohne Probelaufspezifikation. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
  spec:
    rules:
    - values:
      allowedValues:
      - container.googleapis.com

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID durch Ihre Organisations-ID, Ihren Ordner ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp in RESOURCE_TYPE angegeben.

Verwenden Sie dann den Befehl org-policies set policy mit dem --update-mask. Flag auf dryRunSpec festgelegt. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=dryRunSpec

Dadurch wird die vorhandene Organisationsrichtlinie aktualisiert und der Probelauf entfernt Spezifikation und ignoriert den Live-Teil der Spezifikation.

So löschen Sie sowohl aktive Organisationsrichtlinien als auch Organisationsrichtlinien in Probelaufmodus verwenden, verwenden Sie den Befehl org-policies delete. Beispiel:

gcloud org-policies delete CONSTRAINT_NAME \
  --RESOURCE_TYPE=RESOURCE_ID

Ersetzen Sie Folgendes:

  • CONSTRAINT_NAME durch den Namen der Einschränkung die Sie löschen möchten. Beispiel: gcp.restrictServiceUsage.

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID durch Ihre Organisations-ID, Ihren Ordner ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp in RESOURCE_TYPE angegeben.

Effektive Bewertung von Organisationsrichtlinien im Probelaufmodus

Organisationsrichtlinien im Probelaufmodus werden ähnlich wie andere Organisationsrichtlinien. Wenn eine Organisationsrichtlinie im Probelaufmodus für eine Organisationsressource werden, wird sie von allen untergeordneten Ressourcen übernommen, sofern sie die auf einer niedrigeren Ebene in der Hierarchie überschrieben werden.

Eine effektive Richtlinienbewertung zeigt das Ergebnis der Organisationsrichtlinien die auf dieser Ressource zusammengeführt werden. Daher können Anpassungen der Live- die in der geltenden Organisationsrichtlinie widergespiegelt werden, Probelaufmodus, wenn die Richtlinie für den Probelaufmodus übernommen und nicht lokal festgelegt wird.

Durch das Ändern der aktiven Organisationsrichtlinie eines Projekts wird auch die geltende Organisationsrichtlinie im Probelaufmodus geändert.

Angenommen, Sie haben die Organisationsressource Organization A mit einer aktiven Organisationsrichtlinie auf enforced: false festgelegt und eine Organisationsrichtlinie in Probelaufmodus auf enforced: true festgelegt. Die untergeordnete Ressource Folder B legt ebenfalls die Live-Organisationsrichtlinie auf enforced: false Organisationsrichtlinie im Probelaufmodus. Unter Folder B bedeutet die festgelegte Live-Richtlinie ist die effektive Richtlinienauswertung der Organisationsrichtlinie im Probelaufmodus auch enforce: false, wodurch die Organisationsrichtlinie im Probelaufmodus überschrieben wird, der in zur übergeordneten Organisation.

Eine untergeordnete Ressource von Folder B (Project X) legt die Live-Richtlinie fest auf enforced: true Ähnlich wie bei Folder B kann die effektive Bewertung der Organisationsrichtlinie im Probelaufmodus für Project X ist enforced: true, da die Live-Richtlinie festgelegt ist.

Eine weitere untergeordnete Ressource von Folder B, Project Y, legt die Organisationsrichtlinie fest im Probelaufmodus auf enforced: true setzen. Sie übernimmt die Organisationsrichtlinie von zugehörige übergeordnete Ressource. Daher ist die effektive Bewertung enforced: false für die Live-Richtlinie und enforced: true für die Organisationsrichtlinie im Probelauf .

Ressource Live-Organisationsrichtlinie festlegen Geltende Live-Organisationsrichtlinie Organisationsrichtlinie im Probelaufmodus festlegen Effektive Organisationsrichtlinie im Probelaufmodus
Organisation A enforced: false enforced: false enforced: true enforced: true
Ordner B enforced: false enforced: false Keine enforced: false
Ordner C Keine enforced: false Keine enforced: true
Projekt X enforced: true enforced: true Keine enforced: true
Projekt Y Keine enforced: false enforced: true enforced: true

Auswirkungen einer Organisationsrichtlinie im Probelaufmodus analysieren

Eine Organisationsrichtlinie im Probelaufmodus blockiert keine Vorgänge, wenn durchgesetzt wird. Um die Auswirkungen Ihrer Organisationsrichtlinie zu sehen, können Sie Audit-Logs zu Organisationsrichtlinien

Audit-Logs zu Organisationsrichtlinien für Live-Organisationsrichtlinien und -organisation Richtlinien im Probelaufmodus werden basierend darauf generiert, ob der Vorgang zulässig ist durch die für die jeweilige Ressource erzwungenen Richtlinien abgelehnt oder abgelehnt werden. In der folgenden Tabelle beschreibt die Situationen, in denen ein Audit-Log für eine Organisationsrichtlinie generiert wird:

Live-Organisationsrichtlinie Organisationsrichtlinie im Probelaufmodus Audit-Log erstellt
Zulassen Zulassen Nein
Zulassen Ablehnen Audit-Log nur im Probelaufmodus
Ablehnen Zulassen Audit-Log im Live- und Probelaufmodus
Ablehnen Ablehnen Audit-Log im Live- und Probelaufmodus

Verstöße gegen Organisationsrichtlinien im Probelaufmodus werden neben Verstößen in Live-Modus in den Audit-Logs. Beispiel:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "status": {
      "code": 7,
      "message": "PERMISSION_DENIED"
    },
    "authenticationInfo": {},
    "requestMetadata": {
      "callerIp": "1.2.3.4",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "appengine.googleapis.com",
    "methodName": "google.api.appengine.v1.appengine.apps.services.get",
    "resourceName": "projects/sur-project-test-3",
    "metadata": {
      "constraint": "constraints/gcp.restrictServiceUsage",
      "checkedValue": "appengine.googleapis.com",
      "liveResult": "ALLOWED",
      "@type": "type.googleapis.com/google.cloud.audit.OrgPolicyDryRunAuditMetadata",
      "dryRunResult": "DENIED"
    }
  },
  "insertId": "1f2bvoxcmg1",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "sur-project-test-3",
      "service": "appengine.googleapis.com",
      "method": "google.api.appengine.v1.appengine.apps.services.get"
    }
  },
  "timestamp": "2022-06-16T19:42:58.244990928Z",
  "severity": "WARNING",
  "logName": "projects/sur-project-test-3/logs/cloudaudit.googleapis.com%2Fpolicy",
  "receiveTimestamp": "2022-06-16T19:42:59.572025716Z"
}

Sie können mit dem Log-Explorer nur die Organisationsrichtlinie im Probelauf abfragen Verstöße gegen den Modus.

Console

In der Google Cloud Console können Sie mit dem Log-Explorer die Audit-Logeinträge für Ihr Google Cloud-Projekt, Ihren Ordner oder Ihre Organisation abrufen:

  1. Wechseln Sie in der Google Cloud Console zur Seite Logging > Log-Explorer

    Zum Log-Explorer

  2. Wählen Sie ein vorhandenes Google Cloud-Projekt, einen Ordner oder eine Organisation aus.

  3. Führen Sie im Bereich Query Builder folgende Schritte aus:

    • Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit-Logs angezeigt werden sollen.

    • Wählen Sie unter Logname den Audit-Logtyp Richtlinie aus.

    • Geben Sie im Bereich Abfrage Folgendes ein: protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED"

    Wenn beim Aufrufen von Protokollen in der Log-Explorer finden Sie in den Informationen zur Fehlerbehebung.

    Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.

gcloud

Die Google Cloud CLI bietet eine Befehlszeile für die Logging API. Geben Sie in jedem Lognamen eine gültige Ressourcenkennung an. Wenn Ihre Abfrage beispielsweise eine Projekt-ID enthält, gibt der Die von Ihnen angegebene Projekt-ID muss sich auf die aktuell ausgewählte Projektnamen.

So lesen Sie Audit-Logeinträge für die Organisationsrichtlinie im Probelaufmodus führen Sie den folgenden Befehl aus:

gcloud logging read protoPayload.metadata.dryRunResult = "DENIED" AND \
      protoPayload.metadata.liveResult = "ALLOWED" \
    --RESOURCE_TYPE=RESOURCE_ID \

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organization, folder oder project.

  • RESOURCE_ID durch Ihre Organisations-ID, Ihren Ordner ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp in RESOURCE_TYPE angegeben.

Fügen Sie dem Befehl das Flag --freshness hinzu, um Logs zu lesen, die mehr als 1 Tag alt.

Weitere Informationen zur Verwendung der gcloud CLI erhalten Sie unter gcloud logging read.

Wenn in Ihrer Organisation viele Projekte vorhanden sind, können Sie aggregierte Senken verwenden zum Aggregieren und Weiterleiten der Audit-Logeinträge aus allen Projekten in Ihrem Organisation in eine BigQuery-Tabelle. Weitere Informationen zum Erstellen aggregierte Senken, siehe Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten

Nächste Schritte

Weitere Informationen zum Erstellen und Verwalten von Einschränkungen für Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.