套用架構

法規遵循管理員架構包含雲端控制項，可協助您在雲端環境中，滿足貴機構的安全性或法規要求。套用架構的程序分為兩個步驟。首先，您必須判斷貴商家管理安全性、法規遵循和風險所需的雲端控管機制。然後，將包含這些雲端控制項的架構部署至Google Cloud中的適當資源。本頁面將協助您完成下列步驟：

1. 評估哪一個內建架構最符合您的法規和安全需求。您可以建立自己的自訂架構，但建議先從內建架構著手。

2. 判斷哪些內建雲端控制項符合您的業務需求。您可以視需要建立自訂雲端控管機制。

3. 決定要將架構部署至 Google Cloud機構，還是特定資料夾和專案。每個機構、資料夾或專案只能部署一個架構。Compliance Manager 支援啟用應用程式的資料夾。

4. 複製現有架構，並根據需求進行修改。如有需要，您可以建立自訂架構。

5. 在適當的機構、資料夾或專案中部署架構。

事前準備

• 如要取得套用架構所需的權限，請要求管理員授予您機構的下列 IAM 角色：

  • 法規遵循管理員 (roles/cloudsecuritycompliance.admin)
  • 如要查看調查結果資訊主頁： Compliance Manager 檢視者 (roles/cloudsecuritycompliance.viewer)
  • 如要部署包含雲端控制項的架構 (以機構政策為依據)，請執行下列其中一項操作：
    • 機構政策管理員 (roles/orgpolicy.policyAdmin)
    • Assured Workloads 系統管理員 (roles/assuredworkloads.admin)
    • Assured Workloads 編輯者 (roles/assuredworkloads.editor)
  • 如要在部署架構時建立資料夾，請執行下列其中一項操作：
    • 資料夾管理員 (roles/resourcemanager.folderAdmin)
    • 資料夾建立者 (roles/resourcemanager.folderCreator)
  • 如要在部署架構時建立專案，請完成下列所有步驟：
    • 專案帳單管理員 (roles/billing.projectManager)
    • 專案建立者 (roles/resourcemanager.projectCreator)
    • 專案刪除者 (roles/resourcemanager.projectDeleter)

  如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

  透過機構政策部署架構的角色包含必要的 orgpolicy.policies.create、orgpolicy.policies.update 和 orgpolicy.policies.get 權限。

  建立架構的角色包含必要的 resourcemanager.folders.get、resourcemanager.folders.create 和 resourcemanager.folders.delete 權限。

  建立專案的角色包含必要的 resourcemanager.projects.get、resourcemanager.projects.create、resourcemanager.projects.delete 和 resourcemanager.projects.createBillingAssignment 權限。

  您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

查看架構

如要查看內建架構或您已建立的其他架構的設定，請完成下列步驟。

1. 前往 Google Cloud 控制台的「Compliance」頁面。

   前往「法規遵循」資訊主頁

2. 如要查看所有可用架構，請按一下「設定」分頁。

   資訊主頁會顯示可用的架構、簡短說明、支援的平台，以及已套用架構的資源。

3. 如要查看特定架構的詳細資料，請按一下架構名稱。

查看雲端控管機制

請完成下列步驟，查看內建雲端控管機制，以及您已建立的任何自訂雲端控管機制。

1. 前往 Google Cloud 控制台的「Compliance」頁面。

   前往「法規遵循」資訊主頁

2. 在「設定」分頁中，按一下「雲端控制項」。系統會顯示可用的雲端控制項。

   資訊主頁會顯示哪些架構包含雲端控制項，以及雲端控制項套用的資源數量 (機構、資料夾和專案)。

3. 如要查看雲端控管機制的詳細資料，請按一下控管機制名稱。

建立自訂雲端控管機制

自訂雲端控管機制僅適用於一種資源類型。系統僅支援 Cloud Asset Inventory 資源資料類型。

1. 前往 Google Cloud 控制台的「Compliance」頁面。

   前往「法規遵循」資訊主頁

2. 在「設定」分頁中，按一下「雲端控制項」。畫面上會顯示可用的雲端控制選項清單。

3. 使用 Gemini 或手動建立 Cloud Control：

建立架構

決定哪些雲端控制項適用於機構或特定資料夾/專案中的資源後，即可建立架構。您可以建立自訂架構，也可以複製現有架構並加以修改。

1. 前往 Google Cloud 控制台的「Compliance」頁面。

   前往「法規遵循」資訊主頁

2. 在「設定」分頁中，按一下「建立自訂架構」。

3. 完成下列任一操作：

   • 如要使用現有架構，請完成下列步驟：

     1. 選取「依據現有架構開始建立」。

     2. 選取要複製的架構。

     3. 按一下「新增」。

   • 如要建立自訂架構，請選取「開始建立新架構」。

4. 輸入架構的名稱、專屬 ID 和說明。按一下「Continue」(繼續)。

   如果您要複製現有架構，系統會顯示現有架構中的雲端控管機制清單。

5. 如要新增所需雲端控管機制，請完成下列步驟：

   • 如要新增現有的雲端控管措施，請按一下「新增雲端控管措施」。選取所有需要的雲端控管機制，然後按一下「新增」。

   • 如要建立自訂雲端控管機制，請按一下「建立自訂雲端控管機制」。 如需操作說明，請參閱「建立自訂雲端控制項」。

6. 按一下「繼續」。

7. 新增雲端控管機制要求的其他參數。

   舉例來說，如要啟用資料安全防護機制管理 (DSPM) 雲端控制項 (例如「資料存取控管」雲端控制項)，請指定主體必須使用的位置。如要進一步瞭解資料安全狀態管理控制項，請參閱「資料存取控管雲端控制項」。

8. 點選「建立」。

部署架構

將架構部署至機構、資料夾或專案，即可使用架構的雲端控制項控管及監控這些資源。您可以為每個機構、資料夾或專案部署多個架構。

資料夾和專案會透過 Google Cloud 資源階層繼承架構。因此，如果您在機構和專案層級部署架構，兩個架構中的所有雲端控制項都會套用至專案中的資源。如果雲端控制項定義有任何差異，專案中的資源會使用較低層級的雲端控制項。舉例來說，如果雲端控管規則在機構層級設為「允許」，在專案層級設為「拒絕」，則專案層級的「拒絕」設定會套用至專案中的資源。

我們建議您在機構層級部署架構，其中包含可套用至整個業務的雲端控制項，以達到最佳效果。然後，您可以將更嚴格的架構部署至需要這些架構的資料夾和專案。

1. 前往 Google Cloud 控制台的「Compliance」頁面。

   前往「法規遵循」資訊主頁

2. 在「設定」分頁中，針對要部署的架構，依序點選 more_vert「更多動作」>「套用至資源」。

3. 您可以選擇下列其中一個選項：

   • 如要只監控偏移情形，請選擇「監控」。

   • 如要監控變異情形並主動防範違規行為，請選擇「監控及防範」。

4. 選取要部署架構的資源。您可以選擇現有的機構、資料夾或專案。如果您選擇主動防範違規行為，可以建立新資料夾或專案，並將架構部署至其中。

5. 完成下列任一操作：

   • 如果您選取「監控」，請確認資訊並按一下「監控」。

   • 如果您選取「監控及防範」，請完成下列步驟：

     1. 點選「下一步」。查看雲端控制選項和模式。
     2. 按一下「繼續」。
     3. 如果顯示，請驗證部分雲端控管機制所需的額外資訊。
     4. 點選「下一步」。
     5. 檢查所選項目，然後按一下「強制執行」。

部署架構後，您可以監控環境，瞭解是否與定義的雲端控制項有任何差異。Security Command Center 會將漂移的例項回報為發現項目，供您查看、篩選及解決。部署架構後，與雲端控制項相關的發現事項大約需要六小時才會顯示。

從已部署的架構中移除資源

您可以移除指派給已部署架構的機構、資料夾或專案。移除資源後，架構就不會再為資源階層的該節點產生發現項目。

移除資源後，相關發現的狀態會在七天後變更為 Inactive。

1. 前往 Google Cloud 控制台的「Compliance」頁面。

   前往「法規遵循」資訊主頁

2. 選取您的機構。

3. 在「設定」分頁中，按一下要取消指派資源的架構。

4. 在「架構詳細資料」頁面中，依序點選「動作」> 管理資源指派項目。

5. 在「已指派的資源」表格中，找出要移除的資源，然後按一下「刪除」圖示 delete。

6. 詳閱確認訊息，然後按一下「取消指派」。

後續步驟

• 監控架構是否符合法規。
• 使用法規遵循管理員稽核環境。
• 在控制台中查看及管理發現項目。