Auf dieser Seite wird beschrieben, wie Sie mit einer Organisationsrichtlinie im Probelaufmodus überwachen, wie sich eine Richtlinienänderung auf Ihre Workflows auswirken würde, bevor sie erzwungen wird.
Eine Organisationsrichtlinie im Probelaufmodus wird ähnlich wie andere Organisationsrichtlinien erstellt und erzwungen. Verstöße gegen die Richtlinie werden in Audit-Logs protokolliert, aber die entsprechenden Aktionen werden nicht abgelehnt.
Hinweise
Wenn Sie eine Organisationsrichtlinie im Probelaufmodus verwenden möchten, muss die Abrechnung für Ihr Google Cloud-Projekt aktiviert sein. Wie Sie prüfen, ob die Abrechnung für ein Projekt aktiviert ist, erfahren Sie unter Abrechnungsstatus Ihrer Projekte prüfen.
Weitere Informationen zu Organisationsrichtlinien und Einschränkungen und ihrer Funktionsweise finden Sie unter Einführung in den Organisationsrichtliniendienst.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin
) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten von Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um Organisationsrichtlinien zu verwalten:
-
orgpolicy.constraints.list
-
orgpolicy.policies.create
-
orgpolicy.policies.delete
-
orgpolicy.policies.list
-
orgpolicy.policies.update
-
orgpolicy.policy.get
-
orgpolicy.policy.set
Möglicherweise können Sie diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Beschränkungen
Die einzigen Einschränkungen für Organisationsrichtlinien, die in Probelauf-Organisationsrichtlinien verwendet werden können, sind:
- Nutzung von Ressourcendiensten einschränken
- TLS-Versionen einschränken
- Benutzerdefinierte Einschränkungen
Der Versuch, eine Organisationsrichtlinie im Probelaufmodus mit einer anderen Einschränkung zu erstellen, führt zu einem Fehler.
Organisationsrichtlinie im Probelaufmodus erstellen
Listeneinschränkungen
Sie können eine Organisationsrichtlinie im Probelaufmodus für eine Listeneinschränkung mithilfe der Google Cloud Console oder der Google Cloud CLI erstellen. In den folgenden Beispielen wird gezeigt, wie Sie eine Organisationsrichtlinie im Probelaufmodus erstellen, die die Auswirkungen der Listeneinschränkung gcp.restrictServiceUsage
prüft.
Console
Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.
Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.
Wählen Sie in der Liste auf der Seite Organisationsrichtlinien die Einschränkung Ressourcendienstnutzung einschränken aus.
Wählen Sie den Tab Probelauf aus.
Klicken Sie auf Probelaufrichtlinie verwalten.
Wählen Sie auf der Seite Probelaufrichtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.
Klicken Sie unter Richtlinienerzwingung auf Ersetzen.
Klicken Sie auf Regel hinzufügen.
Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert aus.
Wählen Sie unter Richtlinientyp die Option Ablehnen aus.
Geben Sie im Feld Benutzerdefinierte Werte
compute.googleapis.com
ein und klicken Sie dann auf Fertig.Wenn es sich um eine benutzerdefinierte Einschränkung handelt, können Sie auf Änderungen testen klicken, um die Auswirkungen dieser Organisationsrichtlinie zu simulieren. Weitere Informationen finden Sie unter Änderungen an Organisationsrichtlinien mit Policy Simulator testen.
Klicken Sie auf Probelaufrichtlinie festlegen, um die Organisationsrichtlinie im Probelaufmodus zu erzwingen. Sie können die Live-Richtlinie auch festlegen, indem Sie auf Richtlinie festlegen klicken.
Sie können den Status Ihrer Organisationsrichtlinie im Probelaufmodus prüfen. Rufen Sie dazu den Tab Probelauf einer Einschränkung der Organisationsrichtlinie auf.
Bei Projekten, auf die eine Organisationsrichtlinie im Probelaufmodus angewendet wurde, können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungslogs ansehen klicken. Für diese Organisationsrichtlinie werden in den Audit-Logs Verstöße so angezeigt, als ob die Einschränkung Ressourcendienstnutzung einschränken erzwungen wird, um compute.googleapis.com
abzulehnen.
gcloud
Wenn Sie eine Organisationsrichtlinie im Probelaufmodus erstellen möchten, erstellen Sie eine YAML-Datei, in der die Einschränkung mit dryRunSpec
definiert wird. Beispiel:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage dryRunSpec: rules: values: denied_values: - compute.googleapis.com
Ersetzen Sie Folgendes:
RESOURCE_TYPE
mitorganizations
,folders
oderprojects
.RESOURCE_ID
durch Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach dem inRESOURCE_TYPE
angegebenen Ressourcentyp.
Diese Organisationsrichtlinie erzwingt die Einschränkung gcp.restrictServiceUsage
nicht, aber in den Audit-Logs werden Verstöße so angezeigt.
Sie können in derselben YAML-Datei eine Live-Organisationsrichtlinie und eine Probelauf-Organisationsrichtlinie festlegen, wenn Sie sowohl spec
als auch dryRunSpec
definieren. Beispiel:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage spec: rules: - values: allowedValues: - container.googleapis.com dryRunSpec: rules: values: allowedValues: - compute.googleapis.com - appengine.googleapis.com
Verwenden Sie den Befehl org-policies set policy
, um eine Organisationsrichtlinie im Probelaufmodus zu erzwingen. Verwenden Sie das Flag --update-mask
, um eine vorhandene Organisationsrichtlinie im Probelaufmodus mit neuen Einschränkungen zu aktualisieren. Beispiel:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=UPDATE_MASK
Ersetzen Sie Folgendes:
POLICY_PATH
durch den vollständigen Pfad zur YAML-Datei für Organisationsrichtlinien.UPDATE_MASK
mitspec
, um nur die Live-Richtlinie zu aktualisieren, oderdryRunSpec
, um die Organisationsrichtlinie nur im Probelaufmodus zu aktualisieren. Sie können auch*
verwenden, um die Felderspec
unddryRunSpec
zu aktualisieren. Wenn dieses Feld beim Aktualisieren einer vorhandenen Organisationsrichtlinie nicht festgelegt ist, führt dieser Befehl zu einem Fehler und die Organisationsrichtlinie wird nicht aktualisiert.
Mit dem Befehl org-policies describe
können Sie prüfen, ob die Organisationsrichtlinie im Probelaufmodus festgelegt ist. Das Feld dryRunSpec
wird nur angezeigt, wenn es in der Organisationsrichtlinie vorhanden ist.
Die obige Organisationsrichtlinie würde die Einschränkung gcp.restrictServiceUsage
erzwingen, sodass nur container.googleapis.com
zulässig ist. Die Audit-Logs zeigen jedoch auch Verstöße gegen compute.googleapis.com
und appengine.googleapis.com
auf.
Boolesche Einschränkungen
Sie können eine Organisationsrichtlinie im Probelaufmodus für eine boolesche Einschränkung über die Google Cloud Console oder die Google Cloud CLI erstellen. In den folgenden Beispielen wird gezeigt, wie Sie eine Organisationsrichtlinie im Probelaufmodus erstellen, die die Auswirkungen einer booleschen benutzerdefinierten Organisationsrichtlinie prüft.
Console
Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.
Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.
Wählen Sie aus der Liste auf der Seite Organisationsrichtlinien die benutzerdefinierte Organisationsrichtlinie aus, die Sie erzwingen möchten.
Wählen Sie den Tab Probelauf aus.
Klicken Sie auf Probelaufrichtlinie verwalten.
Wählen Sie auf der Seite Probelaufrichtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.
Klicken Sie auf Regel hinzufügen.
Wählen Sie unter Erzwingung die Option Ein aus und klicken Sie dann auf Fertig.
Klicken Sie auf Probelaufrichtlinie festlegen, um die Organisationsrichtlinie im Probelaufmodus zu erzwingen. Nachdem Sie bestätigt haben, dass die Organisationsrichtlinie im Probelaufmodus wie vorgesehen funktioniert, können Sie die Live-Richtlinie festlegen. Klicken Sie dazu auf Richtlinie festlegen.
Sie können den Status Ihrer Organisationsrichtlinie im Probelaufmodus prüfen. Rufen Sie dazu den Tab Probelauf einer Einschränkung der Organisationsrichtlinie auf.
Bei Projekten, auf die eine Organisationsrichtlinie im Probelaufmodus angewendet wurde, können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungslogs ansehen klicken. Für diese Organisationsrichtlinie werden in den Audit-Logs Verstöße so angezeigt, als ob die benutzerdefinierte Organisationsrichtlinie erzwungen wird.
gcloud
Wenn Sie eine Organisationsrichtlinie im Probelaufmodus erstellen möchten, erstellen Sie eine YAML-Datei, in der die Einschränkung mit dryRunSpec
definiert wird. Beispiel:
name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME dryRunSpec: rules: - enforce: true
Ersetzen Sie Folgendes:
RESOURCE_TYPE
mitorganizations
,folders
oderprojects
.RESOURCE_ID
durch Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach dem inRESOURCE_TYPE
angegebenen Ressourcentyp.CONSTRAINT_NAME
durch den Namen der benutzerdefinierten Einschränkung. Beispiel:custom.disableGkeAutoUpgrade
.
Diese Organisationsrichtlinie erzwingt die benutzerdefinierte Einschränkung nicht, aber in den Audit-Logs werden Verstöße so angezeigt.
Sie können eine aktive Organisationsrichtlinie und eine Organisationsrichtlinie im Probelaufmodus in derselben YAML-Datei festlegen, wenn Sie sowohl spec
als auch dryRunSpec
definieren. Beispiel:
name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: false dryRunSpec: rules: - enforce: true
Verwenden Sie den Befehl org-policies set policy
, um eine Organisationsrichtlinie im Probelaufmodus zu erzwingen. Verwenden Sie das Flag --update-mask
, um eine vorhandene Organisationsrichtlinie im Probelaufmodus mit neuen Einschränkungen zu aktualisieren. Beispiel:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=UPDATE_MASK
Ersetzen Sie Folgendes:
POLICY_PATH
durch den vollständigen Pfad zur YAML-Datei für Organisationsrichtlinien.UPDATE_MASK
mitspec
, um nur die Live-Richtlinie zu aktualisieren, oderdryRunSpec
, um die Organisationsrichtlinie nur im Probelaufmodus zu aktualisieren. Sie können auch*
verwenden, um die Felderspec
unddryRunSpec
zu aktualisieren. Wenn dieses Feld beim Aktualisieren einer vorhandenen Organisationsrichtlinie nicht festgelegt ist, führt dieser Befehl zu einem Fehler und die Organisationsrichtlinie wird nicht aktualisiert.
Mit dem Befehl org-policies describe
können Sie prüfen, ob eine Organisationsrichtlinie im Probelaufmodus festgelegt wurde. Das Feld dryRunSpec
wird nur angezeigt, wenn es in der Organisationsrichtlinie vorhanden ist.
Diese Organisationsrichtlinie erzwingt die benutzerdefinierte Einschränkung nicht. In den Audit-Logs werden jedoch Verstöße gegen die benutzerdefinierte Einschränkung angezeigt.
Organisationsrichtlinie im Probelaufmodus aus einer Live-Richtlinie erstellen
Sie können eine vorhandene Organisationsrichtlinie als Ausgangspunkt für eine Organisationsrichtlinie im Probelaufmodus verwenden. So können Sie feststellen, wie sich eine Änderung der vorhandenen Richtlinie auf Ihre Umgebung auswirken würde.
Sie können mit der Google Cloud Console oder der Google Cloud CLI eine Organisationsrichtlinie im Probelaufmodus anhand einer vorhandenen Richtlinie erstellen.
Console
Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.
Wählen Sie in der Projektauswahl eine Ressource aus, für die die Einschränkung Ressourcendienstnutzung einschränken bereits konfiguriert ist.
Wählen Sie in der Liste auf der Seite Organisationsrichtlinien die Einschränkung Ressourcendienstnutzung einschränken aus.
Wähle den Tab Livestreams aus.
Klicken Sie auf Richtlinie verwalten.
Klicken Sie auf Regel hinzufügen.
Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert aus.
Wählen Sie unter Richtlinientyp die Option Ablehnen aus.
Geben Sie im Feld Benutzerdefinierte Werte den Wert
appengine.googleapis.com
ein.Klicken Sie auf Fertig und dann auf Probelaufrichtlinie festlegen.
gcloud
Wenn Sie eine Organisationsrichtlinie im Probelaufmodus anhand einer vorhandenen Live-Organisationsrichtlinie erstellen möchten, rufen Sie mit dem Befehl org-policies describe
die aktuelle Richtlinie für die Ressource ab. Beispiel:
gcloud org-policies describe gcp.restrictServiceUsage \ --project=PROJECT_ID
Ersetzen Sie PROJECT_ID
durch die Projekt-ID oder Projektnummer des Projekts, in dem diese Organisationsrichtlinie konfiguriert ist.
Die Ausgabe sollte in etwa so aussehen:
name: projects/123456789012/policies/gcp.restrictServiceUsage spec: etag: CJy93KEGEKCJw/QB rules: - values: allowedValues: - compute.googleapis.com updateTime: '2023-04-12T21:11:56.512804Z'
Kopieren Sie die Ausgabe dieses Befehls in eine temporäre Datei. Bearbeiten Sie diese Datei, um die Felder etag
und updateTime
zu entfernen, und ändern Sie das Feld spec
in dryRunSpec
. Nehmen Sie alle Änderungen an der Einschränkungskonfiguration vor, die Sie in Ihrer Organisationsrichtlinie im Probelaufmodus testen möchten.
Die fertige YAML-Datei sollte in etwa so aussehen:
name: projects/123456789012/policies/gcp.restrictServiceUsage dryRunSpec: rules: values: allowedValues: - compute.googleapis.com - appengine.googleapis.com
Verwenden Sie org-policies set policy
mit dem Flag --update-mask
, um die Organisationsrichtlinie im Probelaufmodus zu erzwingen. Beispiel:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
Ersetzen Sie POLICY_PATH
durch den vollständigen Pfad zur temporären YAML-Datei der Organisationsrichtlinie.
Organisationsrichtlinie im Probelaufmodus löschen
Sie können eine Organisationsrichtlinie im Probelaufmodus über die Google Cloud Console oder die Google Cloud CLI löschen.
Console
Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.
Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.
Wählen Sie in der Liste auf der Seite Organisationsrichtlinien die Einschränkung Ressourcendienstnutzung einschränken aus.
Wählen Sie den Tab Probelauf aus.
Klicken Sie auf Probelaufrichtlinie löschen.
gcloud
Wenn Sie eine Organisationsrichtlinie im Probelaufmodus löschen möchten, erstellen Sie eine YAML-Datei, in der die Organisationsrichtlinie ohne Probelaufspezifikation definiert ist. Beispiel:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage spec: rules: - values: allowedValues: - container.googleapis.com
Ersetzen Sie Folgendes:
RESOURCE_TYPE
mitorganizations
,folders
oderprojects
.RESOURCE_ID
durch Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach dem inRESOURCE_TYPE
angegebenen Ressourcentyp.
Verwenden Sie dann den Befehl org-policies set policy
, wobei das Flag --update-mask
auf dryRunSpec
gesetzt ist. Beispiel:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
Dadurch wird die vorhandene Organisationsrichtlinie so aktualisiert, dass die Probelaufspezifikation entfernt wird. Der Live-Teil der Spezifikation wird ignoriert.
Verwenden Sie den Befehl org-policies delete
, um sowohl Live-Organisationsrichtlinien als auch Organisationsrichtlinien im Probelaufmodus gleichzeitig zu löschen. Beispiel:
gcloud org-policies delete CONSTRAINT_NAME \ --RESOURCE_TYPE=RESOURCE_ID
Ersetzen Sie Folgendes:
CONSTRAINT_NAME
durch den Namen der Einschränkung, die Sie löschen möchten. Beispiel:gcp.restrictServiceUsage
.RESOURCE_TYPE
mitorganizations
,folders
oderprojects
.RESOURCE_ID
durch Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach dem inRESOURCE_TYPE
angegebenen Ressourcentyp.
Effektive Bewertung von Organisationsrichtlinien im Probelaufmodus
Organisationsrichtlinien im Probelaufmodus werden ähnlich wie andere Organisationsrichtlinien übernommen. Wenn eine Organisationsrichtlinie im Probelaufmodus für eine Organisationsressource festgelegt ist, wird sie von allen untergeordneten Ressourcen übernommen, sofern sie nicht auf einer niedrigeren Hierarchieebene überschrieben wird.
Eine effektive Richtlinienbewertung zeigt das Ergebnis der Organisationsrichtlinien, die in dieser Ressource zusammengeführt wurden. Daher werden Anpassungen an der Live-Organisationsrichtlinie im Probelaufmodus in der geltenden Organisationsrichtlinie widergespiegelt, wenn die Richtlinie für den Probelaufmodus übernommen und nicht lokal festgelegt wird.
Angenommen, die Organisationsressource Organization A
ist mit der Live-Organisationsrichtlinie enforced: false
und einer Organisationsrichtlinie im Probelaufmodus auf enforced: true
festgelegt. Die untergeordnete Ressource Folder B
legt ebenfalls die Live-Organisationsrichtlinie auf enforced: false
fest und übernimmt die Organisationsrichtlinie im Probelaufmodus. Unter Folder B
bedeutet die festgelegte Live-Richtlinie, dass die effektive Richtlinienauswertung der Organisationsrichtlinie im Probelaufmodus ebenfalls enforce: false
ist. Damit wird die Organisationsrichtlinie im Probelaufmodus der übergeordneten Organisation überschrieben.
Eine untergeordnete Ressource von Folder B
, Project X
, legt die Live-Richtlinie auf enforced: true
fest. Ähnlich wie beim Verhalten unter Folder B
ist die effektive Auswertung der Organisationsrichtlinie im Probelaufmodus für Project X
enforced: true
, da die Live-Richtlinie festgelegt ist.
Eine weitere untergeordnete Ressource von Folder B
, Project Y
, legt die Organisationsrichtlinie im Probelaufmodus auf enforced: true
fest. Dabei wird die Organisationsrichtlinie von der übergeordneten Ressource übernommen. Daher ist die effektive Bewertung enforced: false
für die Live-Richtlinie und enforced: true
für die Organisationsrichtlinie im Probelaufmodus.
Ressource | Live-Organisationsrichtlinie festlegen | Geltende Live-Organisationsrichtlinie | Organisationsrichtlinie im Probelaufmodus festlegen | Effektive Organisationsrichtlinie im Probelaufmodus |
---|---|---|---|---|
Organisation A | enforced: false |
enforced: false |
enforced: true |
enforced: true |
Ordner B | enforced: false |
enforced: false |
Ohne | enforced: false |
Ordner C | Ohne | enforced: false |
Ohne | enforced: true |
Projekt X | enforced: true |
enforced: true |
Ohne | enforced: true |
Projekt Y | Ohne | enforced: false |
enforced: true |
enforced: true |
Auswirkungen einer Organisationsrichtlinie im Probelaufmodus analysieren
Eine Organisationsrichtlinie im Probelaufmodus blockiert keine Vorgänge, wenn sie erzwungen wird. In den Audit-Logs für Organisationsrichtlinien können Sie die Auswirkungen Ihrer Organisationsrichtlinie sehen.
Audit-Logs zu Organisationsrichtlinien für aktive Organisationsrichtlinien und Organisationsrichtlinien im Probelaufmodus werden abhängig davon generiert, ob der Vorgang durch die für die jeweilige Ressource erzwungenen Richtlinien zugelassen oder abgelehnt wird. In der folgenden Tabelle werden die Situationen beschrieben, in denen ein Audit-Log für Organisationsrichtlinien generiert wird:
Live-Organisationsrichtlinie | Organisationsrichtlinie im Probelaufmodus | Audit-Log generiert |
---|---|---|
Zulassen | Zulassen | Nein |
Zulassen | Ablehnen | Audit-Log nur im Probelaufmodus |
Ablehnen | Zulassen | Audit-Log im Live- und Probelaufmodus |
Ablehnen | Ablehnen | Audit-Log im Live- und Probelaufmodus |
Verstöße gegen Organisationsrichtlinien im Probelaufmodus werden in den Audit-Logs neben den Verstößen im Live-Modus angezeigt. Beispiel:
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"status": {
"code": 7,
"message": "PERMISSION_DENIED"
},
"authenticationInfo": {},
"requestMetadata": {
"callerIp": "1.2.3.4",
"requestAttributes": {},
"destinationAttributes": {}
},
"serviceName": "appengine.googleapis.com",
"methodName": "google.api.appengine.v1.appengine.apps.services.get",
"resourceName": "projects/sur-project-test-3",
"metadata": {
"constraint": "constraints/gcp.restrictServiceUsage",
"checkedValue": "appengine.googleapis.com",
"liveResult": "ALLOWED",
"@type": "type.googleapis.com/google.cloud.audit.OrgPolicyDryRunAuditMetadata",
"dryRunResult": "DENIED"
}
},
"insertId": "1f2bvoxcmg1",
"resource": {
"type": "audited_resource",
"labels": {
"project_id": "sur-project-test-3",
"service": "appengine.googleapis.com",
"method": "google.api.appengine.v1.appengine.apps.services.get"
}
},
"timestamp": "2022-06-16T19:42:58.244990928Z",
"severity": "WARNING",
"logName": "projects/sur-project-test-3/logs/cloudaudit.googleapis.com%2Fpolicy",
"receiveTimestamp": "2022-06-16T19:42:59.572025716Z"
}
Sie können den Log-Explorer verwenden, um bei Verstößen im Probelaufmodus nur Organisationsrichtlinien abzufragen.
Console
In der Google Cloud Console können Sie mit dem Log-Explorer die Audit-Logeinträge für Ihr Google Cloud-Projekt, Ihren Ordner oder Ihre Organisation abrufen:
Rufen Sie in der Google Cloud Console die Seite Logging > Log-Explorer auf.
Wählen Sie ein vorhandenes Google Cloud-Projekt, einen Ordner oder eine Organisation aus.
Führen Sie im Bereich Query Builder folgende Schritte aus:
Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit-Logs angezeigt werden sollen.
Wählen Sie unter Logname den Audit-Logtyp Richtlinie aus.
Geben Sie im Bereich Query (Abfrage) Folgendes ein:
protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED"
Wenn beim Aufrufen von Logs im Log-Explorer Probleme auftreten, lesen Sie die Informationen zur Fehlerbehebung.
Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.
gcloud
Die Google Cloud CLI bietet eine Befehlszeile für die Logging API. Geben Sie in jedem Lognamen eine gültige Ressourcenkennung an. Wenn Ihre Abfrage beispielsweise eine Projekt-ID enthält, muss sich die von Ihnen angegebene Projekt-ID auf den aktuell ausgewählten Projektnamen beziehen.
Führen Sie den folgenden Befehl aus, um Audit-Logeinträge für die Organisationsrichtlinie im Probelaufmodus zu lesen:
gcloud logging read protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED" \ --RESOURCE_TYPE=RESOURCE_ID \
Ersetzen Sie Folgendes:
RESOURCE_TYPE
mitorganization
,folder
oderproject
.RESOURCE_ID
durch Ihre Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach dem inRESOURCE_TYPE
angegebenen Ressourcentyp.
Fügen Sie dem Befehl das Flag --freshness
hinzu, um Logs zu lesen, die älter als einen Tag sind.
Weitere Informationen zur Verwendung der gcloud CLI erhalten Sie unter gcloud logging read
.
Wenn sich in Ihrer Organisation viele Projekte befinden, können Sie mit aggregierten Senken die Audit-Logeinträge aus allen Projekten in Ihrer Organisation aggregieren und an eine BigQuery-Tabelle weiterleiten. Weitere Informationen zum Erstellen aggregierter Senken finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten.
Nächste Schritte
Weitere Informationen zum Erstellen und Verwalten von Einschränkungen für Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.