启用合规性管理工具并配置对 VPC Service Controls 服务边界的支持,以便您可以将框架应用于 Google Cloud组织。
准备工作
在启用合规性管理工具之前,请完成以下任务。
-
如需获得启用 Compliance Manager 所需的权限,请让您的管理员向您授予组织的以下 IAM 角色:
-
Organization Policy Administrator (
roles/orgpolicy.policyAdmin) -
Security Center Admin Editor (
roles/securitycenter.adminEditor)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
-
Organization Policy Administrator (
启用合规管理器
完成以下步骤,在组织级启用 Compliance Manager:
您可以使用以下方法之一启用合规管理器:
如果您尚未在组织中激活 Security Command Center,请激活 Security Command Center Enterprise。 作为该过程的一部分,合规管理器会自动启用。
如果您已激活 Security Command Center 的 Enterprise 服务层级,请使用激活合规管理器页面来添加合规管理器。
启用合规管理器后,系统还会启用以下服务:
- Sensitive Data Protection:用于使用数据敏感度信号进行默认数据风险评估。
- 组织级 Event Threat Detection(Security Command Center 的一部分)。
- (预览版)Data Security Posture Management,适用于数据安全框架。
- (预览版)适用于 AI 安全框架的 AI Protection。
启用合规管理器时,系统会创建 Cloud Security Compliance 服务代理 (
service-org-ORGANIZATION_ID@gcp-sa-csc-hpsa.iam.gserviceaccount.com)。Compliance Manager 会使用此服务代理来访问您组织中的资源。系统会自动将以下框架应用于组织:
- AI 保护
- 数据安全和隐私权基本框架