Organisationsrichtlinie im Probelaufmodus erstellen

Auf dieser Seite erfahren Sie, wie Sie eine Organisationsrichtlinie im Modus „Probelauf“ verwenden, um zu sehen, wie sich eine Richtlinienänderung auf Ihre Workflows auswirken würde, bevor sie erzwungen wird.

Eine Organisationsrichtlinie im Probelaufmodus wird ähnlich wie andere Organisationsrichtlinien erstellt und erzwungen. Verstöße gegen die Richtlinie werden in das Audit-Log protokolliert, die betreffenden Aktionen werden jedoch nicht abgelehnt.

Hinweise

Wenn Sie eine Organisationsrichtlinie im Testmodus verwenden möchten, muss die Abrechnung für Ihr Google Cloud -Projekt aktiviert sein. Informationen dazu, wie Sie prüfen, ob die Abrechnung für ein Projekt aktiviert ist, finden Sie unter Abrechnungsstatus Ihrer Projekte prüfen.

Weitere Informationen zu Organisationsrichtlinien und -einschränkungen und ihrer Funktionsweise finden Sie unter Einführung in den Organisationsrichtliniendienst.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten von Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Verwaltung von Organisationsrichtlinien erforderlich:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Beschränkungen

Die folgenden Einschränkungen für Organisationsrichtlinien können in Probelauf-Organisationsrichtlinien verwendet werden:

Der Versuch, eine Organisationsrichtlinie im Modus „Probelauf“ mit einer anderen Einschränkung zu erstellen, führt zu einem Fehler.

Organisationsrichtlinie im Probelaufmodus erstellen

Listeneinschränkungen

Sie können eine Organisationsrichtlinie im Modus „Drittanbieter-Richtlinien simulieren“ für eine Listeneinschränkung mit der Google Cloud Console oder der Google Cloud CLI erstellen. In den folgenden Beispielen wird gezeigt, wie Sie eine Organisationsrichtlinie im Modus „Drittanbieter-Richtlinien simulieren“ erstellen, um die Auswirkungen der Listeneinschränkung gcp.restrictServiceUsage zu prüfen.

Console

  1. Rufen Sie in der Google Cloud -Konsole die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung Ressourcendienstnutzung einschränken aus der Liste aus.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie verwalten.

  6. Wählen Sie auf der Seite Richtlinie für den Testlauf bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  7. Klicken Sie unter Richtlinienerzwingung auf Ersetzen.

  8. Klicken Sie auf Regel hinzufügen.

  9. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert aus.

  10. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  11. Geben Sie im Feld Benutzerdefinierte Werte compute.googleapis.com ein und klicken Sie dann auf Fertig.

  12. Wenn dies eine benutzerdefinierte Einschränkung ist, können Sie auf Änderungen testen klicken, um die Auswirkungen dieser Organisationsrichtlinie zu simulieren. Weitere Informationen finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.

  13. Wenn Sie die Organisationsrichtlinie im Probelaufmodus erzwingen möchten, klicken Sie auf Probelaufrichtlinie festlegen. Sie können die Live-Richtlinie auch festlegen, indem Sie auf Richtlinie festlegen klicken.

Sie können den Status Ihrer Organisationsrichtlinie im Modus „Probelauf“ auf dem Tab Probelauf einer Einschränkung der Organisationsrichtlinie prüfen.

Bei Projekten, auf die eine Organisationsrichtlinie im Modus „Probelauf“ angewendet wird, können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungsprotokolle ansehen klicken. Für diese Organisationsrichtlinie werden in den Audit-Logs Verstöße angezeigt, als würde die Einschränkung Ressourcendienstnutzung einschränken erzwungen, um compute.googleapis.com abzulehnen.

gcloud

Wenn Sie eine Organisationsrichtlinie im Modus „Drittanbieter-Richtlinien simulieren“ erstellen möchten, erstellen Sie eine YAML-Datei, in der die Einschränkung mit dryRunSpec definiert wird. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
  dryRunSpec:
    rules:
    - values:
        deniedValues:
        - compute.googleapis.com

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Mit dieser Organisationsrichtlinie wird die Einschränkung gcp.restrictServiceUsage nicht erzwungen, in den Audit-Logs werden jedoch Verstöße angezeigt, als wäre dies der Fall.

Sie können eine Live-Organisationsrichtlinie und eine Organisationsrichtlinie für den Testlauf in derselben YAML-Datei festlegen, wenn Sie sowohl spec als auch dryRunSpec definieren. Beispiel:

name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
spec:
  rules:
  - values:
      allowedValues:
      - container.googleapis.com

dryRunSpec:
  rules:
  - values:
      allowedValues:
      - compute.googleapis.com
      - appengine.googleapis.com

Verwenden Sie den Befehl org-policies set policy, um eine Organisationsrichtlinie im Modus „Probelauf“ zu erzwingen. Verwenden Sie das Flag --update-mask, um eine vorhandene Organisationsrichtlinie im Modus „Probelauf“ mit neuen Einschränkungen zu aktualisieren. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=UPDATE_MASK

Ersetzen Sie Folgendes:

  • POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie.

  • UPDATE_MASK mit spec, um nur die Live-Richtlinie zu aktualisieren, oder dryRunSpec, um nur die Organisationsrichtlinie im Modus „Testlauf“ zu aktualisieren. Sie können * auch verwenden, um sowohl das Feld spec als auch das Feld dryRunSpec zu aktualisieren. Wenn dieses Feld beim Aktualisieren einer vorhandenen Organisationsrichtlinie nicht festgelegt ist, führt dieser Befehl zu einem Fehler und die Organisationsrichtlinie wird nicht aktualisiert.

Sie können mit dem Befehl org-policies describe prüfen, ob die Organisationsrichtlinie im Modus „Probelauf“ festgelegt ist. Das Feld dryRunSpec wird nur angezeigt, wenn es in der Organisationsrichtlinie vorhanden ist.

Mit dieser Organisationsrichtlinie wird die Einschränkung gcp.restrictServiceUsage erzwungen, sodass nur container.googleapis.com zulässig ist. In den Audit-Logs werden jedoch auch Verstöße gegen compute.googleapis.com und appengine.googleapis.com angezeigt.

Boolesche Einschränkungen

Sie können eine Organisationsrichtlinie im Modus „Drittanbieter-Richtlinien simulieren“ für eine boolesche Einschränkung mithilfe der Google Cloud Console oder der Google Cloud CLI erstellen. In den folgenden Beispielen wird gezeigt, wie Sie eine Organisationsrichtlinie im Testmodus erstellen, mit der die Auswirkungen einer booleschen benutzerdefinierten Organisationsrichtlinie geprüft werden.

Console

  1. Rufen Sie in der Google Cloud -Konsole die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie auf der Seite Organisationsrichtlinien die benutzerdefinierte Organisationsrichtlinie aus der Liste aus, die Sie erzwingen möchten.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie verwalten.

  6. Wählen Sie auf der Seite Richtlinie für den Testlauf bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  7. Klicken Sie auf Regel hinzufügen.

  8. Wählen Sie unter Erzwingung die Option An aus und klicken Sie dann auf Fertig.

  9. Wenn Sie die Organisationsrichtlinie im Probelaufmodus erzwingen möchten, klicken Sie auf Probelaufrichtlinie festlegen. Sobald Sie festgestellt haben, dass die Organisationsrichtlinie im Modus „Probelauf“ wie beabsichtigt funktioniert, können Sie die Live-Richtlinie festlegen, indem Sie auf Richtlinie festlegen klicken.

Sie können den Status Ihrer Organisationsrichtlinie im Modus „Probelauf“ auf dem Tab Probelauf einer Einschränkung der Organisationsrichtlinie prüfen.

Bei Projekten, auf die eine Organisationsrichtlinie im Modus „Probelauf“ angewendet wird, können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungsprotokolle ansehen klicken. Für diese Organisationsrichtlinie werden in den Audit-Logs Verstöße angezeigt, als würde die benutzerdefinierte Organisationsrichtlinie erzwungen.

gcloud

Wenn Sie eine Organisationsrichtlinie im Modus „Drittanbieter-Richtlinien simulieren“ erstellen möchten, erstellen Sie eine YAML-Datei, in der die Einschränkung mit dryRunSpec definiert wird. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
  dryRunSpec:
    rules:
    - enforce: true

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

  • CONSTRAINT_NAME durch den Namen der benutzerdefinierten Einschränkung. Beispiel: custom.disableGkeAutoUpgrade.

Diese Organisationsrichtlinie erzwingt die benutzerdefinierte Einschränkung nicht, in den Prüfprotokollen werden jedoch Verstöße angezeigt, als wäre dies der Fall.

Sie können eine aktive Organisationsrichtlinie und eine Organisationsrichtlinie im Modus „Drittanbieter-Analyse“ in derselben YAML-Datei festlegen, wenn Sie sowohl spec als auch dryRunSpec definieren. Beispiel:

name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: false

dryRunSpec:
  rules:
  - enforce: true

Verwenden Sie den Befehl org-policies set policy, um eine Organisationsrichtlinie im Modus „Probelauf“ zu erzwingen. Verwenden Sie das Flag --update-mask, um eine vorhandene Organisationsrichtlinie im Modus „Probelauf“ mit neuen Einschränkungen zu aktualisieren. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=UPDATE_MASK

Ersetzen Sie Folgendes:

  • POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie.

  • UPDATE_MASK mit spec, um nur die Live-Richtlinie zu aktualisieren, oder dryRunSpec, um nur die Organisationsrichtlinie im Modus „Testlauf“ zu aktualisieren. Sie können * auch verwenden, um sowohl das Feld spec als auch das Feld dryRunSpec zu aktualisieren. Wenn dieses Feld beim Aktualisieren einer vorhandenen Organisationsrichtlinie nicht festgelegt ist, führt dieser Befehl zu einem Fehler und die Organisationsrichtlinie wird nicht aktualisiert.

Sie können mit dem Befehl org-policies describe prüfen, ob eine Organisationsrichtlinie im Modus „Probelauf“ festgelegt ist. Das Feld dryRunSpec wird nur angezeigt, wenn es in der Organisationsrichtlinie vorhanden ist.

Diese Organisationsrichtlinie erzwingt die benutzerdefinierte Einschränkung nicht. Die Prüfprotokolle zeigen jedoch Verstöße gegen die benutzerdefinierte Einschränkung an.

Organisationsrichtlinie im Probelaufmodus aus einer Live-Richtlinie erstellen

Sie können eine vorhandene Organisationsrichtlinie als Ausgangspunkt für eine Organisationsrichtlinie im Modus „Probelauf“ verwenden. So können Sie sehen, welche Auswirkungen eine Änderung an Ihrer vorhandenen Richtlinie auf Ihre Umgebung hat.

Sie können eine Organisationsrichtlinie im Modus „Drittanbieter-Richtlinien simulieren“ auf der Grundlage einer vorhandenen Richtlinie mit der Google Cloud Console oder der Google Cloud CLI erstellen.

Console

  1. Rufen Sie in der Google Cloud -Konsole die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl eine Ressource aus, für die bereits die Einschränkung Ressourcendienstnutzung einschränken konfiguriert ist.

  3. Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung Ressourcendienstnutzung einschränken aus der Liste aus.

  4. Wähle den Tab Livestreams aus.

  5. Klicken Sie auf Richtlinie verwalten.

  6. Klicken Sie auf Regel hinzufügen.

  7. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert aus.

  8. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  9. Geben Sie in das Feld Benutzerdefinierte Werte appengine.googleapis.com ein.

  10. Klicken Sie auf Fertig und dann auf Richtlinie für den Testlauf festlegen.

gcloud

Wenn Sie eine Organisationsrichtlinie im Simulationsmodus anhand einer vorhandenen aktiven Organisationsrichtlinie erstellen möchten, rufen Sie mit dem Befehl org-policies describe die aktuelle Richtlinie für die Ressource ab. Beispiel:

gcloud org-policies describe gcp.restrictServiceUsage \
  --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch die Projekt-ID oder Projektnummer des Projekts, in dem diese Organisationsrichtlinie konfiguriert ist.

Die Ausgabe sollte in etwa so aussehen:

  name: projects/123456789012/policies/gcp.restrictServiceUsage
  spec:
    etag: CJy93KEGEKCJw/QB
    rules:
    - values:
        allowedValues:
        - compute.googleapis.com
  updateTime: '2023-04-12T21:11:56.512804Z'

Kopieren Sie die Ausgabe dieses Befehls in eine temporäre Datei. Bearbeiten Sie diese Datei, um die Felder etag und updateTime zu entfernen und das Feld spec in dryRunSpec zu ändern. Nehmen Sie alle Änderungen an der Einschränkungskonfiguration vor, die Sie in Ihrer Organisationsrichtlinie im Modus „Probelauf“ testen möchten.

Die fertige YAML-Datei sollte in etwa so aussehen:

  name: projects/123456789012/policies/gcp.restrictServiceUsage
  dryRunSpec:
    rules:
    - values:
        allowedValues:
        - compute.googleapis.com
        - appengine.googleapis.com

Wenn Sie die Organisationsrichtlinie im Probelaufmodus erzwingen möchten, verwenden Sie org-policies set policy mit dem Flag --update-mask. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=dryRunSpec

Ersetzen Sie POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer temporären Organisationsrichtlinie.

Organisationsrichtlinie im Probelaufmodus löschen

Sie können eine Organisationsrichtlinie im Simulationsmodus mit der Google Cloud Console oder der Google Cloud CLI löschen.

Console

  1. Rufen Sie in der Google Cloud -Konsole die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung Ressourcendienstnutzung einschränken aus der Liste aus.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie löschen.

gcloud

Wenn Sie eine Organisationsrichtlinie im Modus „Probelauf“ löschen möchten, erstellen Sie eine YAML-Datei, in der die Organisationsrichtlinie ohne eine Spezifikation für den Probelauf definiert ist. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
  spec:
    rules:
    - values:
        allowedValues:
        - container.googleapis.com

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Verwenden Sie dann den Befehl org-policies set policy mit dem Flag --update-mask, wobei dryRunSpec festgelegt ist. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=dryRunSpec

Dadurch wird die vorhandene Organisationsrichtlinie aktualisiert, um die Spezifikation für den Testlauf zu entfernen. Der Live-Teil der Spezifikation wird ignoriert.

Wenn Sie sowohl Live-Organisationsrichtlinien als auch Organisationsrichtlinien im Testmodus gleichzeitig löschen möchten, verwenden Sie den Befehl org-policies delete. Beispiel:

gcloud org-policies delete CONSTRAINT_NAME \
  --RESOURCE_TYPE=RESOURCE_ID

Ersetzen Sie Folgendes:

  • CONSTRAINT_NAME durch den Namen der Einschränkung, die Sie löschen möchten. Beispiel: gcp.restrictServiceUsage.

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Effektive Bewertung von Organisationsrichtlinien im Probelaufmodus

Organisationsrichtlinien im Simulationsmodus werden ähnlich wie andere Organisationsrichtlinien übernommen. Wenn im Simulationsmodus eine Organisationsrichtlinie für eine Organisationsressource festgelegt wird, wird sie von allen untergeordneten Ressourcen übernommen, sofern sie nicht auf einer niedrigeren Ebene in der Hierarchie überschrieben wird.

Die Bewertung der wirksamen Richtlinie zeigt das Ergebnis der Organisationsrichtlinien, die für diese Ressource zusammengeführt wurden. Anpassungen an der aktiven Organisationsrichtlinie werden daher in der wirksamen Organisationsrichtlinie im Probelaufmodus berücksichtigt, wenn die Richtlinie für den Probelaufmodus übernommen und nicht lokal festgelegt wird.

Wenn Sie die aktive Organisationsrichtlinie eines Projekts ändern, wird auch die geltende Organisationsrichtlinie im Probelaufmodus geändert.

Angenommen, Sie haben eine Organisationsressource Organization A mit einer aktiven Organisationsrichtlinie, die auf enforced: false festgelegt ist, und eine Organisationsrichtlinie im Modus „Testlauf“, die auf enforced: true festgelegt ist. Bei einer untergeordneten Ressource, Folder B, wird die Live-Organisationsrichtlinie ebenfalls auf enforced: false festgelegt und die Organisationsrichtlinie wird im Modus „Probelauf“ übernommen. Bei Folder B bedeutet die festgelegte Live-Richtlinie, dass die effektive Richtlinienbewertung der Organisationsrichtlinie im Probelaufmodus ebenfalls enforce: false ist. Dadurch wird die Organisationsrichtlinie im Probelaufmodus überschrieben, die in der übergeordneten Organisation festgelegt wurde.

Eine untergeordnete Ressource von Folder B, Project X, legt die Live-Richtlinie auf enforced: true fest. Ähnlich wie bei Folder B ist die effektive Auswertung der Organisationsrichtlinie im Modus „Probelauf“ für Project X enforced: true, da die Live-Richtlinie festgelegt ist.

Eine weitere untergeordnete Ressource von Folder B, Project Y, legt die Organisationsrichtlinie im Simulationsmodus auf enforced: true fest. Die Organisationsrichtlinie wird von der übergeordneten Ressource übernommen. Die effektive Bewertung ist daher enforced: false für die Live-Richtlinie und enforced: true für die Organisationsrichtlinie im Modus „Durchlauf“.

Ressource Live-Organisationsrichtlinie festlegen Geltende aktive Organisationsrichtlinie Organisationsrichtlinie im Probelaufmodus festlegen Effektive Organisationsrichtlinie im Probelaufmodus
Organisation A enforced: false enforced: false enforced: true enforced: true
Ordner B enforced: false enforced: false Keine enforced: false
Ordner C Keine enforced: false Keine enforced: true
Project X enforced: true enforced: true Keine enforced: true
Projekt Y Keine enforced: false enforced: true enforced: true

Auswirkungen einer Organisationsrichtlinie im Probelaufmodus analysieren

Eine Organisationsrichtlinie im Probelaufmodus blockiert bei der Erzwingung keine Vorgänge. Die Auswirkungen Ihrer Organisationsrichtlinie können Sie in den Audit-Logs für Organisationsrichtlinien sehen.

Audit-Logs für Organisationsrichtlinien für aktive Organisationsrichtlinien und Organisationsrichtlinien im Modus „Probelauf“ werden generiert, je nachdem, ob der Vorgang von den für die jeweilige Ressource erzwungenen Richtlinien erlaubt oder abgelehnt wird. In der folgenden Tabelle werden die Situationen beschrieben, in denen ein Audit-Log für Organisationsrichtlinien generiert wird:

Live-Organisationsrichtlinie Organisationsrichtlinie im Probelaufmodus Audit-Log generiert
Zulassen Zulassen Nein
Zulassen Ablehnen Audit-Log nur im Modus „Probelauf“
Ablehnen Zulassen Audit-Log im Live- und im Simulationsmodus
Ablehnen Ablehnen Audit-Log im Live- und im Simulationsmodus

Verstöße gegen Organisationsrichtlinien im Probelaufmodus werden in den Audit-Logs zusammen mit Verstößen im Live-Modus angezeigt. Beispiel:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "status": {
      "code": 7,
      "message": "PERMISSION_DENIED"
    },
    "authenticationInfo": {},
    "requestMetadata": {
      "callerIp": "1.2.3.4",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "appengine.googleapis.com",
    "methodName": "google.api.appengine.v1.appengine.apps.services.get",
    "resourceName": "projects/sur-project-test-3",
    "metadata": {
      "constraint": "constraints/gcp.restrictServiceUsage",
      "checkedValue": "appengine.googleapis.com",
      "liveResult": "ALLOWED",
      "@type": "type.googleapis.com/google.cloud.audit.OrgPolicyDryRunAuditMetadata",
      "dryRunResult": "DENIED"
    }
  },
  "insertId": "1f2bvoxcmg1",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "sur-project-test-3",
      "service": "appengine.googleapis.com",
      "method": "google.api.appengine.v1.appengine.apps.services.get"
    }
  },
  "timestamp": "2022-06-16T19:42:58.244990928Z",
  "severity": "WARNING",
  "logName": "projects/sur-project-test-3/logs/cloudaudit.googleapis.com%2Fpolicy",
  "receiveTimestamp": "2022-06-16T19:42:59.572025716Z"
}

Mit dem Log-Explorer können Sie im Modus „Trockenlauf“ nur Verstöße gegen die Richtlinien Ihrer Organisation abfragen.

Console

In der Google Cloud -Console können Sie mit dem Log-Explorer die Audit-Logeinträge für Ihr Google Cloud -Projekt, Ihren Ordner oder Ihre Organisation abrufen:

  1. Rufen Sie in der Google Cloud -Console die Seite Logging> Log-Explorer auf.

    Zum Log-Explorer

  2. Wählen Sie ein vorhandenes Google Cloud -Projekt, einen Ordner oder eine Organisation aus.

  3. Führen Sie im Bereich Query Builder folgende Schritte aus:

    • Wählen Sie unter Ressourcentyp die Google Cloud -Ressource aus, deren Audit-Logs angezeigt werden sollen.

    • Wählen Sie unter Logname den Audit-Logtyp policy aus.

    • Geben Sie im Bereich Abfrage Folgendes ein: protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED"

    Wenn beim Aufrufen von Logs im Log-Explorer Probleme auftreten, lesen Sie die Informationen zur Fehlerbehebung.

    Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.

gcloud

Die Google Cloud CLI bietet eine Befehlszeile für die Logging API. Geben Sie in jedem Lognamen eine gültige Ressourcenkennung an. Wenn die Abfrage beispielsweise eine Projekt-ID enthält, muss sich die von Ihnen angegebene Projekt-ID auf den aktuell ausgewählten Projektnamen beziehen.

Führen Sie den folgenden Befehl aus, um Audit-Logeinträge für Verstöße gegen Organisationsrichtlinien im Simulationsmodus zu lesen:

gcloud logging read protoPayload.metadata.dryRunResult = "DENIED" AND \
      protoPayload.metadata.liveResult = "ALLOWED" \
    --RESOURCE_TYPE=RESOURCE_ID \

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organization, folder oder project.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Fügen Sie Ihrem Befehl das Flag --freshness hinzu, um Logs zu lesen, die älter als ein Tag sind.

Weitere Informationen zur Verwendung der gcloud CLI erhalten Sie unter gcloud logging read.

Wenn Sie viele Projekte in Ihrer Organisation haben, können Sie mithilfe von aggregierten Senken die Einträge aus den Audit-Logs aller Projekte in Ihrer Organisation zusammenfassen und an eine BigQuery-Tabelle weiterleiten. Weitere Informationen zum Erstellen aggregierter Senken finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten.

Nächste Schritte

Weitere Informationen zum Erstellen und Verwalten von Einschränkungen für Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.