Organisationsrichtlinie im Probelaufmodus erstellen

Auf dieser Seite wird beschrieben, wie Sie mit einer Organisationsrichtlinie im Probelaufmodus überwachen, wie sich eine Richtlinienänderung auf Ihre Workflows auswirken würde, bevor sie erzwungen wird.

Eine Organisationsrichtlinie im Probelaufmodus wird ähnlich wie andere Organisationsrichtlinien erstellt und erzwungen. Verstöße gegen die Richtlinie werden in Audit-Logs protokolliert, aber die entsprechenden Aktionen werden nicht abgelehnt.

Hinweise

Wenn Sie eine Organisationsrichtlinie im Probelaufmodus verwenden möchten, muss die Abrechnung für Ihr Google Cloud-Projekt aktiviert sein. Wie Sie prüfen, ob die Abrechnung für ein Projekt aktiviert ist, erfahren Sie unter Abrechnungsstatus Ihrer Projekte prüfen.

Weitere Informationen zu Organisationsrichtlinien und Einschränkungen und ihrer Funktionsweise finden Sie unter Einführung in den Organisationsrichtliniendienst.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten von Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Organisationsrichtlinien zu verwalten:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Beschränkungen

Die einzigen Einschränkungen für Organisationsrichtlinien, die in Probelauf-Organisationsrichtlinien verwendet werden können, sind:

Der Versuch, eine Organisationsrichtlinie im Probelaufmodus mit einer anderen Einschränkung zu erstellen, führt zu einem Fehler.

Organisationsrichtlinie im Probelaufmodus erstellen

Listeneinschränkungen

Sie können eine Organisationsrichtlinie im Probelaufmodus für eine Listeneinschränkung mithilfe der Google Cloud Console oder der Google Cloud CLI erstellen. In den folgenden Beispielen wird gezeigt, wie Sie eine Organisationsrichtlinie im Probelaufmodus erstellen, die die Auswirkungen der Listeneinschränkung gcp.restrictServiceUsage prüft.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie in der Liste auf der Seite Organisationsrichtlinien die Einschränkung Ressourcendienstnutzung einschränken aus.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie verwalten.

  6. Wählen Sie auf der Seite Probelaufrichtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  7. Klicken Sie unter Richtlinienerzwingung auf Ersetzen.

  8. Klicken Sie auf Regel hinzufügen.

  9. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert aus.

  10. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  11. Geben Sie im Feld Benutzerdefinierte Werte compute.googleapis.com ein und klicken Sie dann auf Fertig.

  12. Wenn es sich um eine benutzerdefinierte Einschränkung handelt, können Sie auf Änderungen testen klicken, um die Auswirkungen dieser Organisationsrichtlinie zu simulieren. Weitere Informationen finden Sie unter Änderungen an Organisationsrichtlinien mit Policy Simulator testen.

  13. Klicken Sie auf Probelaufrichtlinie festlegen, um die Organisationsrichtlinie im Probelaufmodus zu erzwingen. Sie können die Live-Richtlinie auch festlegen, indem Sie auf Richtlinie festlegen klicken.

Sie können den Status Ihrer Organisationsrichtlinie im Probelaufmodus prüfen. Rufen Sie dazu den Tab Probelauf einer Einschränkung der Organisationsrichtlinie auf.

Bei Projekten, auf die eine Organisationsrichtlinie im Probelaufmodus angewendet wurde, können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungslogs ansehen klicken. Für diese Organisationsrichtlinie werden in den Audit-Logs Verstöße so angezeigt, als ob die Einschränkung Ressourcendienstnutzung einschränken erzwungen wird, um compute.googleapis.com abzulehnen.

gcloud

Wenn Sie eine Organisationsrichtlinie im Probelaufmodus erstellen möchten, erstellen Sie eine YAML-Datei, in der die Einschränkung mit dryRunSpec definiert wird. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
  dryRunSpec:
    rules:
      values:
        denied_values:
        - compute.googleapis.com

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID durch Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach dem in RESOURCE_TYPE angegebenen Ressourcentyp.

Diese Organisationsrichtlinie erzwingt die Einschränkung gcp.restrictServiceUsage nicht, aber in den Audit-Logs werden Verstöße so angezeigt.

Sie können in derselben YAML-Datei eine Live-Organisationsrichtlinie und eine Probelauf-Organisationsrichtlinie festlegen, wenn Sie sowohl spec als auch dryRunSpec definieren. Beispiel:

name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
spec:
  rules:
  - values:
    allowedValues:
    - container.googleapis.com

dryRunSpec:
  rules:
    values:
      allowedValues:
      - compute.googleapis.com
      - appengine.googleapis.com

Verwenden Sie den Befehl org-policies set policy, um eine Organisationsrichtlinie im Probelaufmodus zu erzwingen. Verwenden Sie das Flag --update-mask, um eine vorhandene Organisationsrichtlinie im Probelaufmodus mit neuen Einschränkungen zu aktualisieren. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=UPDATE_MASK

Ersetzen Sie Folgendes:

  • POLICY_PATH durch den vollständigen Pfad zur YAML-Datei für Organisationsrichtlinien.

  • UPDATE_MASK mit spec, um nur die Live-Richtlinie zu aktualisieren, oder dryRunSpec, um die Organisationsrichtlinie nur im Probelaufmodus zu aktualisieren. Sie können auch * verwenden, um die Felder spec und dryRunSpec zu aktualisieren. Wenn dieses Feld beim Aktualisieren einer vorhandenen Organisationsrichtlinie nicht festgelegt ist, führt dieser Befehl zu einem Fehler und die Organisationsrichtlinie wird nicht aktualisiert.

Mit dem Befehl org-policies describe können Sie prüfen, ob die Organisationsrichtlinie im Probelaufmodus festgelegt ist. Das Feld dryRunSpec wird nur angezeigt, wenn es in der Organisationsrichtlinie vorhanden ist.

Die obige Organisationsrichtlinie würde die Einschränkung gcp.restrictServiceUsage erzwingen, sodass nur container.googleapis.com zulässig ist. Die Audit-Logs zeigen jedoch auch Verstöße gegen compute.googleapis.com und appengine.googleapis.com auf.

Boolesche Einschränkungen

Sie können eine Organisationsrichtlinie im Probelaufmodus für eine boolesche Einschränkung über die Google Cloud Console oder die Google Cloud CLI erstellen. In den folgenden Beispielen wird gezeigt, wie Sie eine Organisationsrichtlinie im Probelaufmodus erstellen, die die Auswirkungen einer booleschen benutzerdefinierten Organisationsrichtlinie prüft.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie aus der Liste auf der Seite Organisationsrichtlinien die benutzerdefinierte Organisationsrichtlinie aus, die Sie erzwingen möchten.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie verwalten.

  6. Wählen Sie auf der Seite Probelaufrichtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  7. Klicken Sie auf Regel hinzufügen.

  8. Wählen Sie unter Erzwingung die Option Ein aus und klicken Sie dann auf Fertig.

  9. Klicken Sie auf Probelaufrichtlinie festlegen, um die Organisationsrichtlinie im Probelaufmodus zu erzwingen. Nachdem Sie bestätigt haben, dass die Organisationsrichtlinie im Probelaufmodus wie vorgesehen funktioniert, können Sie die Live-Richtlinie festlegen. Klicken Sie dazu auf Richtlinie festlegen.

Sie können den Status Ihrer Organisationsrichtlinie im Probelaufmodus prüfen. Rufen Sie dazu den Tab Probelauf einer Einschränkung der Organisationsrichtlinie auf.

Bei Projekten, auf die eine Organisationsrichtlinie im Probelaufmodus angewendet wurde, können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungslogs ansehen klicken. Für diese Organisationsrichtlinie werden in den Audit-Logs Verstöße so angezeigt, als ob die benutzerdefinierte Organisationsrichtlinie erzwungen wird.

gcloud

Wenn Sie eine Organisationsrichtlinie im Probelaufmodus erstellen möchten, erstellen Sie eine YAML-Datei, in der die Einschränkung mit dryRunSpec definiert wird. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
  dryRunSpec:
    rules:
    - enforce: true

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID durch Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach dem in RESOURCE_TYPE angegebenen Ressourcentyp.

  • CONSTRAINT_NAME durch den Namen der benutzerdefinierten Einschränkung. Beispiel: custom.disableGkeAutoUpgrade.

Diese Organisationsrichtlinie erzwingt die benutzerdefinierte Einschränkung nicht, aber in den Audit-Logs werden Verstöße so angezeigt.

Sie können eine aktive Organisationsrichtlinie und eine Organisationsrichtlinie im Probelaufmodus in derselben YAML-Datei festlegen, wenn Sie sowohl spec als auch dryRunSpec definieren. Beispiel:

name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: false

dryRunSpec:
  rules:
  - enforce: true

Verwenden Sie den Befehl org-policies set policy, um eine Organisationsrichtlinie im Probelaufmodus zu erzwingen. Verwenden Sie das Flag --update-mask, um eine vorhandene Organisationsrichtlinie im Probelaufmodus mit neuen Einschränkungen zu aktualisieren. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=UPDATE_MASK

Ersetzen Sie Folgendes:

  • POLICY_PATH durch den vollständigen Pfad zur YAML-Datei für Organisationsrichtlinien.

  • UPDATE_MASK mit spec, um nur die Live-Richtlinie zu aktualisieren, oder dryRunSpec, um die Organisationsrichtlinie nur im Probelaufmodus zu aktualisieren. Sie können auch * verwenden, um die Felder spec und dryRunSpec zu aktualisieren. Wenn dieses Feld beim Aktualisieren einer vorhandenen Organisationsrichtlinie nicht festgelegt ist, führt dieser Befehl zu einem Fehler und die Organisationsrichtlinie wird nicht aktualisiert.

Mit dem Befehl org-policies describe können Sie prüfen, ob eine Organisationsrichtlinie im Probelaufmodus festgelegt wurde. Das Feld dryRunSpec wird nur angezeigt, wenn es in der Organisationsrichtlinie vorhanden ist.

Diese Organisationsrichtlinie erzwingt die benutzerdefinierte Einschränkung nicht. In den Audit-Logs werden jedoch Verstöße gegen die benutzerdefinierte Einschränkung angezeigt.

Organisationsrichtlinie im Probelaufmodus aus einer Live-Richtlinie erstellen

Sie können eine vorhandene Organisationsrichtlinie als Ausgangspunkt für eine Organisationsrichtlinie im Probelaufmodus verwenden. So können Sie feststellen, wie sich eine Änderung der vorhandenen Richtlinie auf Ihre Umgebung auswirken würde.

Sie können mit der Google Cloud Console oder der Google Cloud CLI eine Organisationsrichtlinie im Probelaufmodus anhand einer vorhandenen Richtlinie erstellen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl eine Ressource aus, für die die Einschränkung Ressourcendienstnutzung einschränken bereits konfiguriert ist.

  3. Wählen Sie in der Liste auf der Seite Organisationsrichtlinien die Einschränkung Ressourcendienstnutzung einschränken aus.

  4. Wähle den Tab Livestreams aus.

  5. Klicken Sie auf Richtlinie verwalten.

  6. Klicken Sie auf Regel hinzufügen.

  7. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert aus.

  8. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  9. Geben Sie im Feld Benutzerdefinierte Werte den Wert appengine.googleapis.com ein.

  10. Klicken Sie auf Fertig und dann auf Probelaufrichtlinie festlegen.

gcloud

Wenn Sie eine Organisationsrichtlinie im Probelaufmodus anhand einer vorhandenen Live-Organisationsrichtlinie erstellen möchten, rufen Sie mit dem Befehl org-policies describe die aktuelle Richtlinie für die Ressource ab. Beispiel:

gcloud org-policies describe gcp.restrictServiceUsage \
  --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch die Projekt-ID oder Projektnummer des Projekts, in dem diese Organisationsrichtlinie konfiguriert ist.

Die Ausgabe sollte in etwa so aussehen:

  name: projects/123456789012/policies/gcp.restrictServiceUsage
  spec:
    etag: CJy93KEGEKCJw/QB
    rules:
    - values:
        allowedValues:
        - compute.googleapis.com
  updateTime: '2023-04-12T21:11:56.512804Z'

Kopieren Sie die Ausgabe dieses Befehls in eine temporäre Datei. Bearbeiten Sie diese Datei, um die Felder etag und updateTime zu entfernen, und ändern Sie das Feld spec in dryRunSpec. Nehmen Sie alle Änderungen an der Einschränkungskonfiguration vor, die Sie in Ihrer Organisationsrichtlinie im Probelaufmodus testen möchten.

Die fertige YAML-Datei sollte in etwa so aussehen:

  name: projects/123456789012/policies/gcp.restrictServiceUsage
  dryRunSpec:
    rules:
      values:
        allowedValues:
        - compute.googleapis.com
        - appengine.googleapis.com

Verwenden Sie org-policies set policy mit dem Flag --update-mask, um die Organisationsrichtlinie im Probelaufmodus zu erzwingen. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=dryRunSpec

Ersetzen Sie POLICY_PATH durch den vollständigen Pfad zur temporären YAML-Datei der Organisationsrichtlinie.

Organisationsrichtlinie im Probelaufmodus löschen

Sie können eine Organisationsrichtlinie im Probelaufmodus über die Google Cloud Console oder die Google Cloud CLI löschen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie in der Liste auf der Seite Organisationsrichtlinien die Einschränkung Ressourcendienstnutzung einschränken aus.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie löschen.

gcloud

Wenn Sie eine Organisationsrichtlinie im Probelaufmodus löschen möchten, erstellen Sie eine YAML-Datei, in der die Organisationsrichtlinie ohne Probelaufspezifikation definiert ist. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
  spec:
    rules:
    - values:
      allowedValues:
      - container.googleapis.com

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID durch Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach dem in RESOURCE_TYPE angegebenen Ressourcentyp.

Verwenden Sie dann den Befehl org-policies set policy, wobei das Flag --update-mask auf dryRunSpec gesetzt ist. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=dryRunSpec

Dadurch wird die vorhandene Organisationsrichtlinie so aktualisiert, dass die Probelaufspezifikation entfernt wird. Der Live-Teil der Spezifikation wird ignoriert.

Verwenden Sie den Befehl org-policies delete, um sowohl Live-Organisationsrichtlinien als auch Organisationsrichtlinien im Probelaufmodus gleichzeitig zu löschen. Beispiel:

gcloud org-policies delete CONSTRAINT_NAME \
  --RESOURCE_TYPE=RESOURCE_ID

Ersetzen Sie Folgendes:

  • CONSTRAINT_NAME durch den Namen der Einschränkung, die Sie löschen möchten. Beispiel: gcp.restrictServiceUsage.

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID durch Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach dem in RESOURCE_TYPE angegebenen Ressourcentyp.

Effektive Bewertung von Organisationsrichtlinien im Probelaufmodus

Organisationsrichtlinien im Probelaufmodus werden ähnlich wie andere Organisationsrichtlinien übernommen. Wenn eine Organisationsrichtlinie im Probelaufmodus für eine Organisationsressource festgelegt ist, wird sie von allen untergeordneten Ressourcen übernommen, sofern sie nicht auf einer niedrigeren Hierarchieebene überschrieben wird.

Eine effektive Richtlinienbewertung zeigt das Ergebnis der Organisationsrichtlinien, die in dieser Ressource zusammengeführt wurden. Daher werden Anpassungen an der Live-Organisationsrichtlinie im Probelaufmodus in der geltenden Organisationsrichtlinie widergespiegelt, wenn die Richtlinie für den Probelaufmodus übernommen und nicht lokal festgelegt wird.

Wenn Sie die Live-Organisationsrichtlinie eines Projekts ändern, wird auch die geltende Organisationsrichtlinie im Probelaufmodus geändert.

Angenommen, die Organisationsressource Organization A ist mit der Live-Organisationsrichtlinie enforced: false und einer Organisationsrichtlinie im Probelaufmodus auf enforced: true festgelegt. Die untergeordnete Ressource Folder B legt ebenfalls die Live-Organisationsrichtlinie auf enforced: false fest und übernimmt die Organisationsrichtlinie im Probelaufmodus. Unter Folder B bedeutet die festgelegte Live-Richtlinie, dass die effektive Richtlinienauswertung der Organisationsrichtlinie im Probelaufmodus ebenfalls enforce: false ist. Damit wird die Organisationsrichtlinie im Probelaufmodus der übergeordneten Organisation überschrieben.

Eine untergeordnete Ressource von Folder B, Project X, legt die Live-Richtlinie auf enforced: true fest. Ähnlich wie beim Verhalten unter Folder B ist die effektive Auswertung der Organisationsrichtlinie im Probelaufmodus für Project X enforced: true, da die Live-Richtlinie festgelegt ist.

Eine weitere untergeordnete Ressource von Folder B, Project Y, legt die Organisationsrichtlinie im Probelaufmodus auf enforced: true fest. Dabei wird die Organisationsrichtlinie von der übergeordneten Ressource übernommen. Daher ist die effektive Bewertung enforced: false für die Live-Richtlinie und enforced: true für die Organisationsrichtlinie im Probelaufmodus.

Ressource Live-Organisationsrichtlinie festlegen Geltende Live-Organisationsrichtlinie Organisationsrichtlinie im Probelaufmodus festlegen Effektive Organisationsrichtlinie im Probelaufmodus
Organisation A enforced: false enforced: false enforced: true enforced: true
Ordner B enforced: false enforced: false Ohne enforced: false
Ordner C Ohne enforced: false Ohne enforced: true
Projekt X enforced: true enforced: true Ohne enforced: true
Projekt Y Ohne enforced: false enforced: true enforced: true

Auswirkungen einer Organisationsrichtlinie im Probelaufmodus analysieren

Eine Organisationsrichtlinie im Probelaufmodus blockiert keine Vorgänge, wenn sie erzwungen wird. In den Audit-Logs für Organisationsrichtlinien können Sie die Auswirkungen Ihrer Organisationsrichtlinie sehen.

Audit-Logs zu Organisationsrichtlinien für aktive Organisationsrichtlinien und Organisationsrichtlinien im Probelaufmodus werden abhängig davon generiert, ob der Vorgang durch die für die jeweilige Ressource erzwungenen Richtlinien zugelassen oder abgelehnt wird. In der folgenden Tabelle werden die Situationen beschrieben, in denen ein Audit-Log für Organisationsrichtlinien generiert wird:

Live-Organisationsrichtlinie Organisationsrichtlinie im Probelaufmodus Audit-Log generiert
Zulassen Zulassen Nein
Zulassen Ablehnen Audit-Log nur im Probelaufmodus
Ablehnen Zulassen Audit-Log im Live- und Probelaufmodus
Ablehnen Ablehnen Audit-Log im Live- und Probelaufmodus

Verstöße gegen Organisationsrichtlinien im Probelaufmodus werden in den Audit-Logs neben den Verstößen im Live-Modus angezeigt. Beispiel:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "status": {
      "code": 7,
      "message": "PERMISSION_DENIED"
    },
    "authenticationInfo": {},
    "requestMetadata": {
      "callerIp": "1.2.3.4",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "appengine.googleapis.com",
    "methodName": "google.api.appengine.v1.appengine.apps.services.get",
    "resourceName": "projects/sur-project-test-3",
    "metadata": {
      "constraint": "constraints/gcp.restrictServiceUsage",
      "checkedValue": "appengine.googleapis.com",
      "liveResult": "ALLOWED",
      "@type": "type.googleapis.com/google.cloud.audit.OrgPolicyDryRunAuditMetadata",
      "dryRunResult": "DENIED"
    }
  },
  "insertId": "1f2bvoxcmg1",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "sur-project-test-3",
      "service": "appengine.googleapis.com",
      "method": "google.api.appengine.v1.appengine.apps.services.get"
    }
  },
  "timestamp": "2022-06-16T19:42:58.244990928Z",
  "severity": "WARNING",
  "logName": "projects/sur-project-test-3/logs/cloudaudit.googleapis.com%2Fpolicy",
  "receiveTimestamp": "2022-06-16T19:42:59.572025716Z"
}

Sie können den Log-Explorer verwenden, um bei Verstößen im Probelaufmodus nur Organisationsrichtlinien abzufragen.

Console

In der Google Cloud Console können Sie mit dem Log-Explorer die Audit-Logeinträge für Ihr Google Cloud-Projekt, Ihren Ordner oder Ihre Organisation abrufen:

  1. Rufen Sie in der Google Cloud Console die Seite Logging > Log-Explorer auf.

    Zum Log-Explorer

  2. Wählen Sie ein vorhandenes Google Cloud-Projekt, einen Ordner oder eine Organisation aus.

  3. Führen Sie im Bereich Query Builder folgende Schritte aus:

    • Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit-Logs angezeigt werden sollen.

    • Wählen Sie unter Logname den Audit-Logtyp Richtlinie aus.

    • Geben Sie im Bereich Query (Abfrage) Folgendes ein: protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED"

    Wenn beim Aufrufen von Logs im Log-Explorer Probleme auftreten, lesen Sie die Informationen zur Fehlerbehebung.

    Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.

gcloud

Die Google Cloud CLI bietet eine Befehlszeile für die Logging API. Geben Sie in jedem Lognamen eine gültige Ressourcenkennung an. Wenn Ihre Abfrage beispielsweise eine Projekt-ID enthält, muss sich die von Ihnen angegebene Projekt-ID auf den aktuell ausgewählten Projektnamen beziehen.

Führen Sie den folgenden Befehl aus, um Audit-Logeinträge für die Organisationsrichtlinie im Probelaufmodus zu lesen:

gcloud logging read protoPayload.metadata.dryRunResult = "DENIED" AND \
      protoPayload.metadata.liveResult = "ALLOWED" \
    --RESOURCE_TYPE=RESOURCE_ID \

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organization, folder oder project.

  • RESOURCE_ID durch Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach dem in RESOURCE_TYPE angegebenen Ressourcentyp.

Fügen Sie dem Befehl das Flag --freshness hinzu, um Logs zu lesen, die älter als einen Tag sind.

Weitere Informationen zur Verwendung der gcloud CLI erhalten Sie unter gcloud logging read.

Wenn sich in Ihrer Organisation viele Projekte befinden, können Sie mit aggregierten Senken die Audit-Logeinträge aus allen Projekten in Ihrer Organisation aggregieren und an eine BigQuery-Tabelle weiterleiten. Weitere Informationen zum Erstellen aggregierter Senken finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten.

Nächste Schritte

Weitere Informationen zum Erstellen und Verwalten von Einschränkungen für Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.