Organisationsrichtlinie im Probelaufmodus erstellen

Auf dieser Seite wird gezeigt, wie Sie eine Organisationsrichtlinie im Probelaufmodus zum Überwachen verwenden wie sich eine Richtlinienänderung auf Ihre Workflows auswirken würde, bevor sie erzwungen wird.

Eine Organisationsrichtlinie im Probelaufmodus wird ähnlich wie andere Organisationsrichtlinien erstellt und erzwungen. Verstöße gegen die Richtlinie werden in das Audit-Log protokolliert, die betreffenden Aktionen werden jedoch nicht abgelehnt.

Hinweis

Wenn Sie eine Organisationsrichtlinie im Testmodus verwenden möchten, muss die Abrechnung für Ihr Google Cloud-Projekt aktiviert sein. Informationen dazu, wie Sie prüfen, ob die Abrechnung für ein Projekt aktiviert ist, finden Sie unter Abrechnungsstatus Ihrer Projekte prüfen.

Weitere Informationen zu Organisationsrichtlinien und -einschränkungen und ihrer Funktionsweise finden Sie unter Einführung in den Organisationsrichtliniendienst.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält Berechtigungen zum Verwalten von Organisationsrichtlinien. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Verwaltung von Organisationsrichtlinien erforderlich:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Beschränkungen

Die einzigen Einschränkungen für Organisationsrichtlinien, die im Probelauf verwendet werden können Organisationsrichtlinien:

Sie versuchen, eine Organisationsrichtlinie im Probelaufmodus mit einer anderen führt zu einem Fehler.

Organisationsrichtlinie im Probelaufmodus erstellen

Listeneinschränkungen

Sie können eine Organisationsrichtlinie im Probelaufmodus für eine Listeneinschränkung erstellen über die Google Cloud Console oder die Google Cloud CLI. In den folgenden Beispielen wird gezeigt, wie Sie eine Organisationsrichtlinie im Modus „Drittanbieter-Richtlinien simulieren“ erstellen, um die Auswirkungen der Listeneinschränkung gcp.restrictServiceUsage zu prüfen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie die Organisationsrichtlinie festlegen möchten.

  3. Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung Ressourcendienstnutzung einschränken aus der Liste aus.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie verwalten.

  6. Wählen Sie auf der Seite Richtlinie für den Testlauf bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  7. Klicken Sie unter Richtlinienerzwingung auf Ersetzen.

  8. Klicken Sie auf Regel hinzufügen.

  9. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert aus.

  10. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  11. Geben Sie im Feld Benutzerdefinierte Werte compute.googleapis.com ein und klicken Sie dann auf Fertig.

  12. Wenn dies eine benutzerdefinierte Einschränkung ist, können Sie auf Änderungen testen klicken, um die Auswirkungen dieser Organisationsrichtlinie zu simulieren. Weitere Informationen finden Sie unter Änderungen an Organisationsrichtlinien mit dem Richtliniensimulator testen.

  13. Um die Organisationsrichtlinie im Probelaufmodus zu erzwingen, klicken Sie auf Probelaufrichtlinie festlegen Sie können die Live-Richtlinie auch festlegen, indem Sie auf Richtlinie festlegen:

Sie können den Status Ihrer Organisationsrichtlinie im Modus „Probelauf“ auf dem Tab Probelauf einer Einschränkung der Organisationsrichtlinie prüfen.

Bei Projekten, auf die eine Organisationsrichtlinie im Modus „Probelauf“ angewendet wird, können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungsprotokolle ansehen klicken. Für diese Organisationsrichtlinie erfüllen, werden Verstöße in den Audit-Logs so angezeigt, Die Einschränkung Ressourcendienstnutzung einschränken wird zum Ablehnen erzwungen compute.googleapis.com

gcloud

Um eine Organisationsrichtlinie im Probelaufmodus zu erstellen, erstellen Sie eine YAML-Datei, definiert die Einschränkung mit dryRunSpec. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
  dryRunSpec:
    rules:
    - values:
        deniedValues:
        - compute.googleapis.com

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Mit dieser Organisationsrichtlinie wird die Einschränkung gcp.restrictServiceUsage nicht erzwungen, in den Audit-Logs werden jedoch Verstöße angezeigt, als wäre dies der Fall.

Sie können eine aktive Organisationsrichtlinie und eine Organisationsrichtlinie für einen Probelauf festlegen in derselben YAML-Datei, wenn Sie sowohl spec als auch dryRunSpec definieren. Beispiel:

name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
spec:
  rules:
  - values:
      allowedValues:
      - container.googleapis.com

dryRunSpec:
  rules:
  - values:
      allowedValues:
      - compute.googleapis.com
      - appengine.googleapis.com

Verwenden Sie zum Erzwingen einer Organisationsrichtlinie im Probelaufmodus die Methode org-policies set policy-Befehl. Vorhandene Organisationsrichtlinie aktualisieren im Probelaufmodus mit neuen Einschränkungen verwenden Sie das Flag --update-mask. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=UPDATE_MASK

Ersetzen Sie Folgendes:

  • POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie.

  • UPDATE_MASK mit spec, um nur den Live-Richtlinie oder dryRunSpec, um nur die Organisationsrichtlinie in Probelaufmodus. Sie können * auch verwenden, um sowohl das Feld spec als auch das Feld dryRunSpec zu aktualisieren. Wenn dieses Feld beim Aktualisieren eines vorhandenen Organisationsrichtlinie erstellt, führt dieser Befehl zu einem Fehler und der Organisationsrichtlinie nicht aktualisiert.

Sie können mit dem Befehl org-policies describe prüfen, ob die Organisationsrichtlinie im Modus „Probelauf“ festgelegt ist. Das Feld dryRunSpec wird nur angezeigt, wenn in der Organisationsrichtlinie vorhanden ist.

Mit dieser Organisationsrichtlinie wird die Einschränkung gcp.restrictServiceUsage erzwungen, sodass nur container.googleapis.com zulässig ist. In den Audit-Logs werden jedoch auch Verstöße gegen compute.googleapis.com und appengine.googleapis.com angezeigt.

Boolesche Einschränkungen

Sie können eine Organisationsrichtlinie im Modus „Dry Run“ für eine boolesche Einschränkung mithilfe der Google Cloud Console oder der Google Cloud CLI erstellen. In den folgenden Beispielen wird gezeigt, wie Sie eine Organisationsrichtlinie im Modus „Drittanbieter-Richtlinien prüfen“ erstellen, um die Auswirkungen einer booleschen benutzerdefinierten Organisationsrichtlinie zu prüfen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie festlegen möchten. der Organisationsrichtlinie.

  3. Wählen Sie aus der Liste die benutzerdefinierte Organisationsrichtlinie aus, die Sie erzwingen möchten auf der Seite Organisationsrichtlinien.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie verwalten.

  6. Wählen Sie auf der Seite Richtlinie für den Testlauf bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  7. Klicken Sie auf Regel hinzufügen.

  8. Wählen Sie unter Erzwingung die Option An aus und klicken Sie dann auf Fertig.

  9. Wenn Sie die Organisationsrichtlinie im Probelaufmodus erzwingen möchten, klicken Sie auf Probelaufrichtlinie festlegen. Sobald Sie festgestellt haben, dass die Organisationsrichtlinie im Modus „Probelauf“ wie beabsichtigt funktioniert, können Sie die Live-Richtlinie festlegen, indem Sie auf Richtlinie festlegen klicken.

Sie können den Status Ihrer Organisationsrichtlinie im Modus „Probelauf“ auf dem Tab Probelauf einer Einschränkung der Organisationsrichtlinie prüfen.

Bei Projekten, auf die eine Organisationsrichtlinie im Modus „Probelauf“ angewendet wird, können Sie die Audit-Logs aufrufen, indem Sie auf Ablehnungsprotokolle ansehen klicken. Für diese Organisationsrichtlinie werden in den Audit-Logs Verstöße angezeigt, als ob die benutzerdefinierte Organisationsrichtlinie erzwungen würde.

gcloud

Um eine Organisationsrichtlinie im Probelaufmodus zu erstellen, erstellen Sie eine YAML-Datei, definiert die Einschränkung mit dryRunSpec. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
  dryRunSpec:
    rules:
    - enforce: true

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID durch Ihre Organisations-ID, Ihren Ordner ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp in RESOURCE_TYPE angegeben.

  • CONSTRAINT_NAME durch den Namen Ihres benutzerdefinierten Einschränkung. Beispiel: custom.disableGkeAutoUpgrade.

Diese Organisationsrichtlinie erzwingt nicht die benutzerdefinierte Einschränkung, aber die werden Verstöße in Audit-Logs angezeigt.

Sie können eine aktive Organisationsrichtlinie und eine Organisationsrichtlinie festlegen in Probelaufmodus in derselben YAML-Datei, wenn Sie sowohl spec als auch dryRunSpec. Beispiel:

name: RESOURCE_TYPE/RESOURCE_ID/policies/CONSTRAINT_NAME
spec:
  rules:
  - enforce: false

dryRunSpec:
  rules:
  - enforce: true

Verwenden Sie den Befehl org-policies set policy, um eine Organisationsrichtlinie im Modus „Probelauf“ zu erzwingen. Vorhandene Organisationsrichtlinie aktualisieren im Probelaufmodus mit neuen Einschränkungen verwenden Sie das Flag --update-mask. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=UPDATE_MASK

Ersetzen Sie Folgendes:

  • POLICY_PATH durch den vollständigen Pfad zur YAML-Datei Ihrer Organisationsrichtlinie.

  • UPDATE_MASK mit spec, um nur den Live-Richtlinie oder dryRunSpec, um nur die Organisationsrichtlinie in Probelaufmodus. Sie können auch * verwenden, um sowohl spec als auch dryRunSpec-Felder. Wenn dieses Feld beim Aktualisieren einer vorhandenen Organisationsrichtlinie nicht festgelegt ist, führt dieser Befehl zu einem Fehler und die Organisationsrichtlinie wird nicht aktualisiert.

Sie können mit dem Befehl org-policies describe prüfen, ob eine Organisationsrichtlinie im Modus „Probelauf“ festgelegt ist. Das Feld dryRunSpec wird nur angezeigt, wenn es in der Organisationsrichtlinie vorhanden ist.

Diese Organisationsrichtlinie erzwingt die benutzerdefinierte Einschränkung nicht. Die Prüfprotokolle zeigen jedoch Verstöße gegen die benutzerdefinierte Einschränkung an.

Organisationsrichtlinie im Probelaufmodus aus einer Live-Richtlinie erstellen

Sie können eine vorhandene Organisationsrichtlinie als Ausgangspunkt für eine Organisationsrichtlinie im Modus „Probelauf“ verwenden. So können Sie sehen, welche Auswirkungen eine Änderung an Ihrer vorhandenen Richtlinie auf Ihre Umgebung hat.

Sie können eine Organisationsrichtlinie im Modus „Dry Run“ auf der Grundlage einer vorhandenen Richtlinie mit der Google Cloud Console oder der Google Cloud CLI erstellen.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl eine Ressource aus, für die bereits die Einschränkung Ressourcendienstnutzung einschränken konfiguriert ist.

  3. Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung Ressourcendienstnutzung einschränken aus der Liste aus.

  4. Wähle den Tab Livestreams aus.

  5. Klicken Sie auf Richtlinie verwalten.

  6. Klicken Sie auf Regel hinzufügen.

  7. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert aus.

  8. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  9. Geben Sie in das Feld Benutzerdefinierte Werte appengine.googleapis.com ein.

  10. Klicken Sie auf Fertig und dann auf Richtlinie für den Testlauf festlegen.

gcloud

Wenn Sie eine Organisationsrichtlinie im Simulationsmodus anhand einer vorhandenen aktiven Organisationsrichtlinie erstellen möchten, rufen Sie mit dem Befehl org-policies describe die aktuelle Richtlinie für die Ressource ab. Beispiel:

gcloud org-policies describe gcp.restrictServiceUsage \
  --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch die Projekt-ID oder Projektnummer des Projekts, in dem diese Organisationsrichtlinie konfiguriert ist.

Die Ausgabe sollte in etwa so aussehen:

  name: projects/123456789012/policies/gcp.restrictServiceUsage
  spec:
    etag: CJy93KEGEKCJw/QB
    rules:
    - values:
        allowedValues:
        - compute.googleapis.com
  updateTime: '2023-04-12T21:11:56.512804Z'

Kopieren Sie die Ausgabe dieses Befehls in eine temporäre Datei. Bearbeiten Sie diese Datei, um die Felder etag und updateTime zu entfernen und das Feld spec in dryRunSpec zu ändern. Nehmen Sie alle Änderungen an der Einschränkungskonfiguration vor, die Sie in Ihrer Organisationsrichtlinie im Simulationsmodus testen möchten.

Die fertige YAML-Datei sollte in etwa so aussehen:

  name: projects/123456789012/policies/gcp.restrictServiceUsage
  dryRunSpec:
    rules:
    - values:
        allowedValues:
        - compute.googleapis.com
        - appengine.googleapis.com

Um die Organisationsrichtlinie im Probelaufmodus zu erzwingen, verwenden Sie die Methode org-policies set policy mit dem Flag --update-mask. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=dryRunSpec

Ersetzen Sie POLICY_PATH durch den vollständigen Pfad zu Ihrem temporäre YAML-Datei für Organisationsrichtlinien.

Organisationsrichtlinie im Probelaufmodus löschen

Sie können eine Organisationsrichtlinie im Probelaufmodus mit der Methode Google Cloud Console oder Google Cloud CLI

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Ressource aus, für die Sie festlegen möchten. der Organisationsrichtlinie.

  3. Wählen Sie auf der Seite Organisationsrichtlinien die Einschränkung Ressourcendienstnutzung einschränken aus der Liste aus.

  4. Wählen Sie den Tab Probelauf aus.

  5. Klicken Sie auf Probelaufrichtlinie löschen.

gcloud

Um eine Organisationsrichtlinie im Probelaufmodus zu löschen, erstellen Sie eine YAML-Datei, die definiert die Organisationsrichtlinie ohne Probelaufspezifikation. Beispiel:

  name: RESOURCE_TYPE/RESOURCE_ID/policies/gcp.restrictServiceUsage
  spec:
    rules:
    - values:
        allowedValues:
        - container.googleapis.com

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Verwenden Sie dann den Befehl org-policies set policy mit dem --update-mask. Flag auf dryRunSpec festgelegt. Beispiel:

gcloud org-policies set-policy POLICY_PATH \
  --update-mask=dryRunSpec

Dadurch wird die vorhandene Organisationsrichtlinie aktualisiert und der Probelauf entfernt Spezifikation und ignoriert den Live-Teil der Spezifikation.

Wenn Sie sowohl Live-Organisationsrichtlinien als auch Organisationsrichtlinien im Testmodus gleichzeitig löschen möchten, verwenden Sie den Befehl org-policies delete. Beispiel:

gcloud org-policies delete CONSTRAINT_NAME \
  --RESOURCE_TYPE=RESOURCE_ID

Ersetzen Sie Folgendes:

  • CONSTRAINT_NAME durch den Namen der Einschränkung die Sie löschen möchten. Beispiel: gcp.restrictServiceUsage.

  • RESOURCE_TYPE mit organizations, folders oder projects.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Effektive Bewertung von Organisationsrichtlinien im Probelaufmodus

Organisationsrichtlinien im Modus „Probelauf“ werden ähnlich wie andere Organisationsrichtlinien übernommen. Wenn eine Organisationsrichtlinie im Probelaufmodus für eine Organisationsressource werden, wird sie von allen untergeordneten Ressourcen übernommen, sofern sie die auf einer niedrigeren Ebene in der Hierarchie überschrieben werden.

Die Bewertung der wirksamen Richtlinie zeigt das Ergebnis der Organisationsrichtlinien, die für diese Ressource zusammengeführt wurden. Anpassungen an der aktiven Organisationsrichtlinie werden daher in der wirksamen Organisationsrichtlinie im Probelaufmodus berücksichtigt, wenn die Richtlinie für den Probelaufmodus übernommen und nicht lokal festgelegt wird.

Durch das Ändern der aktiven Organisationsrichtlinie eines Projekts wird auch die geltende Organisationsrichtlinie im Probelaufmodus geändert.

Angenommen, Sie haben eine Organisationsressource Organization A mit einer aktiven Organisationsrichtlinie, die auf enforced: false festgelegt ist, und eine Organisationsrichtlinie im Modus „Testlauf“, die auf enforced: true festgelegt ist. Bei einer untergeordneten Ressource, Folder B, wird die aktive Organisationsrichtlinie ebenfalls auf enforced: false festgelegt und die Organisationsrichtlinie wird im Modus „Probelauf“ übernommen. Unter Folder B bedeutet die festgelegte Live-Richtlinie ist die effektive Richtlinienauswertung der Organisationsrichtlinie im Probelaufmodus auch enforce: false, wodurch die Organisationsrichtlinie im Probelaufmodus überschrieben wird, der in zur übergeordneten Organisation.

Eine untergeordnete Ressource von Folder B, Project X, legt die Live-Richtlinie auf enforced: true fest. Ähnlich wie bei Folder B ist die effektive Auswertung der Organisationsrichtlinie im Modus „Probelauf“ für Project X enforced: true, da die Live-Richtlinie festgelegt ist.

Eine weitere untergeordnete Ressource von Folder B, Project Y, legt die Organisationsrichtlinie fest im Probelaufmodus auf enforced: true setzen. Die Organisationsrichtlinie wird von der übergeordneten Ressource übernommen. Die effektive Bewertung ist daher enforced: false für die Live-Richtlinie und enforced: true für die Organisationsrichtlinie im Modus „Durchlauf“.

Ressource Live-Organisationsrichtlinie festlegen Geltende Live-Organisationsrichtlinie Organisationsrichtlinie im Probelaufmodus festlegen Effektive Organisationsrichtlinie im Probelaufmodus
Organisation A enforced: false enforced: false enforced: true enforced: true
Ordner B enforced: false enforced: false Keine enforced: false
Ordner C Keine enforced: false Keine enforced: true
Projekt X enforced: true enforced: true Keine enforced: true
Projekt Y Keine enforced: false enforced: true enforced: true

Auswirkungen einer Organisationsrichtlinie im Probelaufmodus analysieren

Eine Organisationsrichtlinie im Probelaufmodus blockiert bei der Durchsetzung keine Vorgänge. Die Auswirkungen Ihrer Organisationsrichtlinie können Sie in den Audit-Logs für Organisationsrichtlinien sehen.

Audit-Logs zu Organisationsrichtlinien für Live-Organisationsrichtlinien und -organisation Richtlinien im Probelaufmodus werden basierend darauf generiert, ob der Vorgang zulässig ist durch die für die jeweilige Ressource erzwungenen Richtlinien abgelehnt oder abgelehnt werden. In der folgenden Tabelle beschreibt die Situationen, in denen ein Audit-Log für eine Organisationsrichtlinie generiert wird:

Live-Organisationsrichtlinie Organisationsrichtlinie im Probelaufmodus Audit-Log erstellt
Zulassen Zulassen Nein
Zulassen Ablehnen Audit-Log nur im Modus „Probelauf“
Ablehnen Zulassen Audit-Log im Live- und im Simulationsmodus
Ablehnen Ablehnen Audit-Log im Live- und Probelaufmodus

Verstöße gegen Organisationsrichtlinien im Probelaufmodus werden in den Audit-Logs zusammen mit Verstößen im Live-Modus angezeigt. Beispiel:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "status": {
      "code": 7,
      "message": "PERMISSION_DENIED"
    },
    "authenticationInfo": {},
    "requestMetadata": {
      "callerIp": "1.2.3.4",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "appengine.googleapis.com",
    "methodName": "google.api.appengine.v1.appengine.apps.services.get",
    "resourceName": "projects/sur-project-test-3",
    "metadata": {
      "constraint": "constraints/gcp.restrictServiceUsage",
      "checkedValue": "appengine.googleapis.com",
      "liveResult": "ALLOWED",
      "@type": "type.googleapis.com/google.cloud.audit.OrgPolicyDryRunAuditMetadata",
      "dryRunResult": "DENIED"
    }
  },
  "insertId": "1f2bvoxcmg1",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "project_id": "sur-project-test-3",
      "service": "appengine.googleapis.com",
      "method": "google.api.appengine.v1.appengine.apps.services.get"
    }
  },
  "timestamp": "2022-06-16T19:42:58.244990928Z",
  "severity": "WARNING",
  "logName": "projects/sur-project-test-3/logs/cloudaudit.googleapis.com%2Fpolicy",
  "receiveTimestamp": "2022-06-16T19:42:59.572025716Z"
}

Mit dem Log-Explorer können Sie im Modus „Trockenlauf“ nur Verstöße gegen die Richtlinien Ihrer Organisation abfragen.

Console

In der Google Cloud Console können Sie mit dem Log-Explorer die Audit-Logeinträge für Ihr Google Cloud-Projekt, Ihren Ordner oder Ihre Organisation abrufen:

  1. Wechseln Sie in der Google Cloud Console zur Seite Logging > Log-Explorer

    Zum Log-Explorer

  2. Wählen Sie ein vorhandenes Google Cloud-Projekt, einen Ordner oder eine Organisation aus.

  3. Führen Sie im Bereich Query Builder folgende Schritte aus:

    • Wählen Sie unter Ressourcentyp die Google Cloud-Ressource aus, deren Audit-Logs angezeigt werden sollen.

    • Wählen Sie unter Logname den Audit-Logtyp Richtlinie aus.

    • Geben Sie im Bereich Abfrage Folgendes ein: protoPayload.metadata.dryRunResult = "DENIED" AND \ protoPayload.metadata.liveResult = "ALLOWED"

    Wenn beim Aufrufen von Protokollen in der Log-Explorer finden Sie in den Informationen zur Fehlerbehebung.

    Weitere Informationen zu Abfragen mit dem Log-Explorer finden Sie unter Abfragen im Log-Explorer erstellen.

gcloud

Die Google Cloud CLI bietet eine Befehlszeile für die Logging API. Geben Sie in jedem Lognamen eine gültige Ressourcenkennung an. Wenn die Abfrage beispielsweise eine Projekt-ID enthält, muss sich die von Ihnen angegebene Projekt-ID auf den aktuell ausgewählten Projektnamen beziehen.

Führen Sie den folgenden Befehl aus, um Audit-Logeinträge für Verstöße gegen Organisationsrichtlinien im Simulationsmodus zu lesen:

gcloud logging read protoPayload.metadata.dryRunResult = "DENIED" AND \
      protoPayload.metadata.liveResult = "ALLOWED" \
    --RESOURCE_TYPE=RESOURCE_ID \

Ersetzen Sie Folgendes:

  • RESOURCE_TYPE mit organization, folder oder project.

  • RESOURCE_ID mit Ihrer Organisations-ID, Ordner-ID, Projekt-ID oder Projektnummer, je nach Ressourcentyp, der in RESOURCE_TYPE angegeben ist.

Fügen Sie Ihrem Befehl das Flag --freshness hinzu, um Logs zu lesen, die älter als ein Tag sind.

Weitere Informationen zur Verwendung der gcloud CLI erhalten Sie unter gcloud logging read.

Wenn Sie viele Projekte in Ihrer Organisation haben, können Sie mithilfe von aggregierten Senken die Einträge aus den Audit-Logs aller Projekte in Ihrer Organisation zusammenfassen und an eine BigQuery-Tabelle weiterleiten. Weitere Informationen zum Erstellen aggregierte Senken, siehe Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten

Nächste Schritte

Weitere Informationen zum Erstellen und Verwalten von Einschränkungen für Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.