Auf dieser Seite erfahren Sie, wie Sie eine Organisationsrichtlinie im Modus „Dry Run“ verwenden, um zu prüfen, wie sich eine Richtlinienänderung auf Ihre Workflows auswirken würde, bevor sie erzwungen wird.
Eine Organisationsrichtlinie im Probelaufmodus wird ähnlich erstellt und erzwungen wie anderen Organisationsrichtlinien und Richtlinienverstößen protokolliert, dass die entsprechenden Maßnahmen nicht abgelehnt werden.
Hinweise
Wenn Sie eine Organisationsrichtlinie im Probelaufmodus verwenden möchten, müssen Sie die Abrechnung für Ihr Google Cloud-Projekt. Informationen zum Prüfen, ob die Abrechnung aktiviert ist Informationen zu einem Projekt finden Sie unter Abrechnungsstatus von Projekten prüfen.
Weitere Informationen dazu, was Organisationsrichtlinien und -einschränkungen sind und Einführung in den Organisationsrichtliniendienst.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin
) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten von Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind zum Verwalten von Organisationsrichtlinien erforderlich:
-
orgpolicy.constraints.list
-
orgpolicy.policies.create
-
orgpolicy.policies.delete
-
orgpolicy.policies.list
-
orgpolicy.policies.update
-
orgpolicy.policy.get
-
orgpolicy.policy.set
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Beschränkungen
Die einzigen Einschränkungen für Organisationsrichtlinien, die im Probelauf verwendet werden können Organisationsrichtlinien:
- Nutzung von Ressourcendiensten einschränken
- TLS-Versionen einschränken
- Benutzerdefinierte Einschränkungen
Sie versuchen, eine Organisationsrichtlinie im Probelaufmodus mit einer anderen führt zu einem Fehler.
Organisationsrichtlinie im Probelaufmodus erstellen
Listeneinschränkungen
Sie können eine Organisationsrichtlinie im Probelaufmodus für eine Listeneinschränkung erstellen
über die Google Cloud Console
oder die Google Cloud CLI. Die folgenden Beispiele
zeigen, wie Sie eine Organisationsrichtlinie im Probelaufmodus erstellen, die die
Auswirkung der Listeneinschränkung gcp.restrictServiceUsage
.
Console
Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.
Wählen Sie in der Projektauswahl die Ressource aus, für die Sie festlegen möchten. der Organisationsrichtlinie.
Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung Ressourcendienstnutzung einschränken aus der Liste aus.
Wählen Sie den Tab Probelauf aus.
Klicken Sie auf Probelaufrichtlinie verwalten.
Wählen Sie auf der Seite Probelaufrichtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.
Klicken Sie unter Richtlinienerzwingung auf Ersetzen.
Klicken Sie auf Regel hinzufügen.
Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert aus.
Wählen Sie unter Richtlinientyp die Option Ablehnen aus.
Geben Sie in das Feld Benutzerdefinierte Werte
compute.googleapis.com
ein und dann Klicken Sie auf Fertig.Wenn dies eine benutzerdefinierte Einschränkung ist, können Sie auf Änderungen testen klicken, um die Auswirkungen dieser Organisationsrichtlinie zu simulieren. Weitere Informationen Siehe Änderungen an Organisationsrichtlinien mit Policy Simulator testen.
Um die Organisationsrichtlinie im Probelaufmodus zu erzwingen, klicken Sie auf Probelaufrichtlinie festlegen Sie können die Live-Richtlinie auch festlegen, indem Sie auf Richtlinie festlegen klicken.
Sie können den Status Ihrer Organisationsrichtlinie im Probelaufmodus prüfen, indem Sie rufen Sie den Tab Probelauf einer Einschränkung der Organisationsrichtlinie auf.
Für Projekte, für die eine Organisationsrichtlinie im Probelaufmodus angewendet wird auf
können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungslogs ansehen klicken. Für
diese Organisationsrichtlinie erfüllen, werden Verstöße in den Audit-Logs so angezeigt,
Die Einschränkung Ressourcendienstnutzung einschränken wird zum Ablehnen erzwungen
compute.googleapis.com
gcloud
Um eine Organisationsrichtlinie im Probelaufmodus zu erstellen, erstellen Sie eine YAML-Datei,
definiert die Einschränkung mit dryRunSpec
. Beispiel:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage dryRunSpec: rules: - values: deniedValues: - compute.googleapis.com
Ersetzen Sie Folgendes:
RESOURCE_TYPE
mitorganizations
,folders
, oderprojects
.RESOURCE_ID
durch Ihre Organisations-ID, Ihren Ordner ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp inRESOURCE_TYPE
angegeben.
Diese Organisationsrichtlinie erzwingt die gcp.restrictServiceUsage
nicht
Einschränkung, aber in den Audit-Logs werden Verstöße so angezeigt.
Sie können eine aktive Organisationsrichtlinie und eine Organisationsrichtlinie für einen Probelauf festlegen
in derselben YAML-Datei, wenn Sie sowohl spec
als auch dryRunSpec
definieren. Beispiel:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage spec: rules: - values: allowedValues: - container.googleapis.com dryRunSpec: rules: - values: allowedValues: - compute.googleapis.com - appengine.googleapis.com
Verwenden Sie zum Erzwingen einer Organisationsrichtlinie im Probelaufmodus die Methode
org-policies set policy
-Befehl. Vorhandene Organisationsrichtlinie aktualisieren
im Probelaufmodus mit neuen Einschränkungen verwenden Sie das Flag --update-mask
. Beispiel:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=UPDATE_MASK
Ersetzen Sie Folgendes:
POLICY_PATH
durch den vollständigen Pfad zu Ihrem YAML-Datei für Organisationsrichtlinien.UPDATE_MASK
mitspec
, um nur die Live-Richtlinie zu aktualisieren, oderdryRunSpec
, um nur die Organisationsrichtlinie im Modus „Testlauf“ zu aktualisieren. Sie können*
auch verwenden, um sowohl das Feldspec
als auch das FelddryRunSpec
zu aktualisieren. Wenn dieses Feld beim Aktualisieren eines vorhandenen Organisationsrichtlinie erstellt, führt dieser Befehl zu einem Fehler und der Organisationsrichtlinie nicht aktualisiert.
Sie können prüfen, ob die Organisationsrichtlinie im Probelaufmodus festgelegt ist. Verwenden Sie dazu den Befehl
den Befehl org-policies describe
. Das Feld dryRunSpec
wird nur angezeigt, wenn es in der Organisationsrichtlinie vorhanden ist.
Diese Organisationsrichtlinie würde die gcp.restrictServiceUsage
erzwingen
, sodass nur container.googleapis.com
zulässig ist. In den Audit-Logs werden jedoch auch Verstöße gegen compute.googleapis.com
und appengine.googleapis.com
angezeigt.
Boolesche Einschränkungen
Sie können eine Organisationsrichtlinie im Probelaufmodus für eine boolesche Einschränkung erstellen über die Google Cloud Console oder die Google Cloud CLI. In den folgenden Beispielen wird gezeigt, wie Sie eine Organisationsrichtlinie im Modus „Drittanbieter-Richtlinien prüfen“ erstellen, um die Auswirkungen einer booleschen benutzerdefinierten Organisationsrichtlinie zu prüfen.
Console
Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.
Wählen Sie in der Projektauswahl die Ressource aus, für die Sie festlegen möchten. der Organisationsrichtlinie.
Wählen Sie aus der Liste die benutzerdefinierte Organisationsrichtlinie aus, die Sie erzwingen möchten auf der Seite Organisationsrichtlinien.
Wählen Sie den Tab Probelauf aus.
Klicken Sie auf Probelaufrichtlinie verwalten.
Wählen Sie auf der Seite Richtlinie für den Testlauf bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.
Klicken Sie auf Regel hinzufügen.
Wählen Sie unter Erzwingung die Option Ein aus und klicken Sie dann auf Fertig.
Um die Organisationsrichtlinie im Probelaufmodus zu erzwingen, klicken Sie auf Probelaufrichtlinie festlegen Nachdem Sie überprüft haben, wie vorgesehen funktioniert. Sie können die Live-Richtlinie festlegen, Richtlinie festlegen:
Sie können den Status Ihrer Organisationsrichtlinie im Probelaufmodus prüfen, indem Sie rufen Sie den Tab Probelauf einer Einschränkung der Organisationsrichtlinie auf.
Für Projekte, für die eine Organisationsrichtlinie im Probelaufmodus angewendet wird auf können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungslogs ansehen klicken. Für diese Organisationsrichtlinie werden in den Audit-Logs Verstöße angezeigt, als ob die benutzerdefinierte Organisationsrichtlinie erzwungen würde.
gcloud
Um eine Organisationsrichtlinie im Probelaufmodus zu erstellen, erstellen Sie eine YAML-Datei,
definiert die Einschränkung mit dryRunSpec
. Beispiel:
name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME dryRunSpec: rules: - enforce: true
Ersetzen Sie Folgendes:
RESOURCE_TYPE
mitorganizations
,folders
, oderprojects
.RESOURCE_ID
durch Ihre Organisations-ID, Ihren Ordner ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp inRESOURCE_TYPE
angegeben.CONSTRAINT_NAME
durch den Namen Ihres benutzerdefinierten Einschränkung. Beispiel:custom.disableGkeAutoUpgrade
.
Diese Organisationsrichtlinie erzwingt nicht die benutzerdefinierte Einschränkung, aber die in Audit-Logs werden Verstöße so angezeigt, als wären sie tatsächlich aufgetreten.
Sie können eine aktive Organisationsrichtlinie und eine Organisationsrichtlinie festlegen in
Probelaufmodus in derselben YAML-Datei, wenn Sie sowohl spec
als auch
dryRunSpec
. Beispiel:
name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: false dryRunSpec: rules: - enforce: true
Verwenden Sie zum Erzwingen einer Organisationsrichtlinie im Probelaufmodus die Methode
org-policies set policy
-Befehl. Vorhandene Organisationsrichtlinie aktualisieren
im Probelaufmodus mit neuen Einschränkungen verwenden Sie das Flag --update-mask
. Beispiel:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=UPDATE_MASK
Ersetzen Sie Folgendes:
POLICY_PATH
durch den vollständigen Pfad zu Ihrem YAML-Datei für Organisationsrichtlinien.UPDATE_MASK
mitspec
, um nur den Live-Richtlinie oderdryRunSpec
, um nur die Organisationsrichtlinie in Probelaufmodus. Sie können auch*
verwenden, um sowohlspec
als auchdryRunSpec
-Felder. Wenn dieses Feld beim Aktualisieren eines vorhandenen Organisationsrichtlinie erstellt, führt dieser Befehl zu einem Fehler und der Organisationsrichtlinie nicht aktualisiert.
Sie können mit dem Befehl org-policies describe
prüfen, ob eine Organisationsrichtlinie im Modus „Probelauf“ festgelegt ist. Das Feld dryRunSpec
wird nur angezeigt, wenn es in der Organisationsrichtlinie vorhanden ist.
Diese Organisationsrichtlinie erzwingt die benutzerdefinierte Einschränkung nicht. In den Audit-Logs werden jedoch Verstöße gegen die benutzerdefinierte Einschränkung angezeigt.
Organisationsrichtlinie im Probelaufmodus aus einer Live-Richtlinie erstellen
Sie können eine vorhandene Organisationsrichtlinie als Ausgangspunkt für eine Organisationsrichtlinie im Probelaufmodus. So können Sie herausfinden, auf Ihre Umgebung auswirken würde.
Sie können eine Organisationsrichtlinie im Probelaufmodus basierend auf einer vorhandenen mithilfe der Google Cloud Console oder der Google Cloud CLI.
Console
Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.
Wählen Sie in der Projektauswahl eine Ressource aus, die bereits über Die dafür konfigurierte Einschränkung Ressourcendienstnutzung einschränken
Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung Ressourcendienstnutzung einschränken aus der Liste aus.
Wähle den Tab Livestreams aus.
Klicken Sie auf Richtlinie verwalten.
Klicken Sie auf Regel hinzufügen.
Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert aus.
Wählen Sie unter Richtlinientyp die Option Ablehnen aus.
Geben Sie in das Feld Benutzerdefinierte Werte den Wert
appengine.googleapis.com
ein.Klicken Sie auf Fertig und dann auf Probelaufrichtlinie festlegen.
gcloud
So erstellen Sie eine Organisationsrichtlinie im Probelaufmodus basierend auf einer vorhandenen Live-
Organisationsrichtlinie, rufen Sie die aktuelle Richtlinie für die Ressource mithilfe der
org-policies describe
-Befehl. Beispiel:
gcloud org-policies describe gcp.restrictServiceUsage \ --project=PROJECT_ID
Ersetzen Sie PROJECT_ID
durch die Projekt-ID oder das Projekt.
Nummer des Projekts, in dem diese Organisationsrichtlinie konfiguriert ist.
Die Ausgabe sollte in etwa so aussehen:
name: projects/123456789012/policies/gcp.restrictServiceUsage spec: etag: CJy93KEGEKCJw/QB rules: - values: allowedValues: - compute.googleapis.com updateTime: '2023-04-12T21:11:56.512804Z'
Kopieren Sie die Ausgabe dieses Befehls in eine temporäre Datei. Diese Datei bearbeiten in
entfernen Sie die Felder etag
und updateTime
und ändern Sie das Feld spec
in
dryRunSpec
. Nehmen Sie alle Änderungen an der
die Sie in Ihrer Organisationsrichtlinie im Probelaufmodus testen möchten.
Die fertige YAML-Datei sollte in etwa so aussehen:
name: projects/123456789012/policies/gcp.restrictServiceUsage dryRunSpec: rules: - values: allowedValues: - compute.googleapis.com - appengine.googleapis.com
Wenn Sie die Organisationsrichtlinie im Probelaufmodus erzwingen möchten, verwenden Sie org-policies set policy
mit dem Flag --update-mask
. Beispiel:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
Ersetzen Sie POLICY_PATH
durch den vollständigen Pfad zu Ihrem
temporäre YAML-Datei für Organisationsrichtlinien.
Organisationsrichtlinie im Probelaufmodus löschen
Sie können eine Organisationsrichtlinie im Probelaufmodus mit der Methode Google Cloud Console oder Google Cloud CLI
Console
Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.
Wählen Sie in der Projektauswahl die Ressource aus, für die Sie festlegen möchten. der Organisationsrichtlinie.
Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung Ressourcendienstnutzung einschränken aus der Liste aus.
Wählen Sie den Tab Probelauf aus.
Klicken Sie auf Probelaufrichtlinie löschen.
gcloud
Wenn Sie eine Organisationsrichtlinie im Modus „Probelauf“ löschen möchten, erstellen Sie eine YAML-Datei, in der die Organisationsrichtlinie ohne eine Spezifikation für den Probelauf definiert ist. Beispiel:
name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage spec: rules: - values: allowedValues: - container.googleapis.com
Ersetzen Sie Folgendes:
RESOURCE_TYPE
mitorganizations
,folders
oderprojects
.RESOURCE_ID
durch Ihre Organisations-ID, Ihren Ordner ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp inRESOURCE_TYPE
angegeben.
Verwenden Sie dann den Befehl org-policies set policy
mit dem --update-mask
.
Flag auf dryRunSpec
festgelegt. Beispiel:
gcloud org-policies set-policy POLICY_PATH \ --update-mask=dryRunSpec
Dadurch wird die vorhandene Organisationsrichtlinie aktualisiert und der Probelauf entfernt Spezifikation und ignoriert den Live-Teil der Spezifikation.
So löschen Sie sowohl aktive Organisationsrichtlinien als auch Organisationsrichtlinien in
Probelaufmodus verwenden, verwenden Sie den Befehl org-policies delete
. Beispiel:
gcloud org-policies delete CONSTRAINT_NAME \ --RESOURCE_TYPE=RESOURCE_ID
Ersetzen Sie Folgendes:
CONSTRAINT_NAME
durch den Namen der Einschränkung die Sie löschen möchten. Beispiel:gcp.restrictServiceUsage
.RESOURCE_TYPE
mitorganizations
,folders
oderprojects
.RESOURCE_ID
mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der inRESOURCE_TYPE
angegeben ist.
Effektive Auswertung von Organisationsrichtlinien im Probelaufmodus
Organisationsrichtlinien im Probelaufmodus werden ähnlich wie andere Organisationsrichtlinien. Wenn eine Organisationsrichtlinie im Probelaufmodus für eine Organisationsressource werden, wird sie von allen untergeordneten Ressourcen übernommen, sofern sie die auf einer niedrigeren Ebene in der Hierarchie überschrieben werden.
Eine effektive Richtlinienbewertung zeigt das Ergebnis der Organisationsrichtlinien die auf dieser Ressource zusammengeführt werden. Daher können Anpassungen der Live- die in der geltenden Organisationsrichtlinie widergespiegelt werden, Probelaufmodus, wenn die Richtlinie für den Probelaufmodus übernommen und nicht lokal festgelegt wird.
Angenommen, Sie haben die Organisationsressource Organization A
mit einer aktiven
Organisationsrichtlinie auf enforced: false
festgelegt und eine Organisationsrichtlinie in
Probelaufmodus auf enforced: true
festgelegt. Die untergeordnete Ressource Folder B
legt ebenfalls
die Live-Organisationsrichtlinie auf enforced: false
Organisationsrichtlinie im Probelaufmodus. Unter Folder B
bedeutet die
festgelegte Live-Richtlinie
ist die effektive Richtlinienauswertung der Organisationsrichtlinie im Probelaufmodus
auch enforce: false
, wodurch die Organisationsrichtlinie im Probelaufmodus überschrieben wird, der in
zur übergeordneten Organisation.
Eine untergeordnete Ressource von Folder B
(Project X
) legt die Live-Richtlinie fest auf
enforced: true
Ähnlich wie bei Folder B
kann die effektive
Bewertung der Organisationsrichtlinie im Probelaufmodus für Project X
ist
enforced: true
, da die Live-Richtlinie festgelegt ist.
Eine weitere untergeordnete Ressource von Folder B
, Project Y
, legt die Organisationsrichtlinie fest
im Probelaufmodus auf enforced: true
setzen. Sie übernimmt die Organisationsrichtlinie von
zugehörige übergeordnete Ressource. Daher ist die effektive Bewertung enforced: false
für
die Live-Richtlinie und enforced: true
für die Organisationsrichtlinie im Probelauf
.
Ressource | Live-Organisationsrichtlinie festlegen | Geltende Live-Organisationsrichtlinie | Organisationsrichtlinie im Probelaufmodus festlegen | Effektive Organisationsrichtlinie im Probelaufmodus |
---|---|---|---|---|
Organisation A | enforced: false |
enforced: false |
enforced: true |
enforced: true |
Ordner B | enforced: false |
enforced: false |
Keine | enforced: false |
Ordner C | Keine | enforced: false |
Keine | enforced: true |
Projekt X | enforced: true |
enforced: true |
Keine | enforced: true |
Projekt Y | Keine | enforced: false |
enforced: true |
enforced: true |
Auswirkungen einer Organisationsrichtlinie im Probelaufmodus analysieren
Eine Organisationsrichtlinie im Probelaufmodus blockiert keine Vorgänge, wenn durchgesetzt wird. Die Auswirkungen Ihrer Organisationsrichtlinie können Sie in den Audit-Logs für Organisationsrichtlinien sehen.
Audit-Logs zu Organisationsrichtlinien für Live-Organisationsrichtlinien und -organisation Richtlinien im Probelaufmodus werden basierend darauf generiert, ob der Vorgang zulässig ist durch die für die jeweilige Ressource erzwungenen Richtlinien abgelehnt oder abgelehnt werden. In der folgenden Tabelle beschreibt die Situationen, in denen ein Audit-Log für eine Organisationsrichtlinie generiert wird:
Live-Organisationsrichtlinie | Organisationsrichtlinie im Probelaufmodus | Audit-Log erstellt |
---|---|---|
Zulassen | Zulassen | Nein |
Zulassen | Ablehnen | Audit-Log nur im Probelaufmodus |
Ablehnen | Zulassen | Audit-Log im Live- und Probelaufmodus |
Ablehnen | Ablehnen | Audit-Log im Live- und Probelaufmodus |
Verstöße gegen Organisationsrichtlinien im Probelaufmodus werden neben Verstößen in Live-Modus in den Audit-Logs. Beispiel:
{
"protoPayload": {
"@type": "type.googleapis.com/google.cloud.audit.AuditLog",
"status": {
"code": 7,
"message": "PERMISSION_DENIED"
},
"authenticationInfo": {},
"requestMetadata": {
"callerIp": "1.2.3.4",
"requestAttributes": {},
"destinationAttributes": {}
},
"serviceName": "appengine.googleapis.com",
"methodName": "google.api.appengine.v1.appengine.apps.services.get",
"resourceName": "projects/sur-project-test-3",
"metadata": {
"constraint": "constraints/gcp.restrictServiceUsage",
"checkedValue": "appengine.googleapis.com",
"liveResult": "ALLOWED",
"@type": "type.googleapis.com/google.cloud.audit.OrgPolicyDryRunAuditMetadata",
"dryRunResult": "DENIED"
}
},
"insertId": "1f2bvoxcmg1",
"resource": {
"type": "audited_resource",
"labels": {
"project_id": "sur-project-test-3",
"service": "appengine.googleapis.com",
"method": "google.api.appengine.v1.appengine.apps.services.get"
}
},
"timestamp": "2022-06-16T19:42:58.244990928Z",
"severity": "WARNING",
"logName": "projects/sur-project-test-3/logs/cloudaudit.googleapis.com%2Fpolicy",
"receiveTimestamp": "2022-06-16T19:42:59.572025716Z"
}
Sie können mit dem Log-Explorer nur die Organisationsrichtlinie im Probelauf abfragen Verstöße gegen den Modus.
Console
In der Google Cloud Console können Sie mit dem Log-Explorer die Audit-Logeinträge für Ihr Google Cloud-Projekt, Ihren Ordner oder Ihre Organisation abrufen:
Wechseln Sie in der Google Cloud Console zur Seite Logging > Log-Explorer
Wählen Sie ein vorhandenes Google Cloud-Projekt, einen Ordner oder eine Organisation aus.
Führen Sie im Bereich Query Builder folgende Schritte aus:
Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit-Logs angezeigt werden sollen.
Wählen Sie unter Logname den Audit-Log-Typ Richtlinie aus.
Geben Sie im Bereich Abfrage Folgendes ein:
protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED"
Wenn beim Aufrufen von Protokollen in der Log-Explorer finden Sie in den Informationen zur Fehlerbehebung.
Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.
gcloud
Die Google Cloud CLI bietet eine Befehlszeile für die Logging API. Geben Sie in jedem Lognamen eine gültige Ressourcenkennung an. Wenn Ihre Abfrage beispielsweise eine Projekt-ID enthält, gibt der Die von Ihnen angegebene Projekt-ID muss sich auf die aktuell ausgewählte Projektnamen.
So lesen Sie Audit-Logeinträge für die Organisationsrichtlinie im Probelaufmodus führen Sie den folgenden Befehl aus:
gcloud logging read protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED" \ --RESOURCE_TYPE=RESOURCE_ID \
Ersetzen Sie Folgendes:
RESOURCE_TYPE
mitorganization
,folder
oderproject
.RESOURCE_ID
mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der inRESOURCE_TYPE
angegeben ist.
Fügen Sie Ihrem Befehl das Flag --freshness
hinzu, um Logs zu lesen, die älter als ein Tag sind.
Weitere Informationen zur Verwendung der gcloud CLI erhalten Sie unter gcloud logging read
.
Wenn in Ihrer Organisation viele Projekte vorhanden sind, können Sie aggregierte Senken verwenden zum Aggregieren und Weiterleiten der Audit-Logeinträge aus allen Projekten unter Ihrem Organisation in eine BigQuery-Tabelle. Weitere Informationen zum Erstellen aggregierte Senken, siehe Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten
Nächste Schritte
Weitere Informationen zum Erstellen und Verwalten von Einschränkungen für Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.