このページは Cloud Translation API によって翻訳されました。

クラウドコントロールを管理する

Compliance Manager には、フレームワークに追加して環境にデプロイできる組み込みのクラウドコントロールが多数含まれています。必要に応じて、独自のカスタムクラウドコントロールを作成して管理し、組み込みのクラウドコントロールを更新できます。

始める前に

クラウドコントロールフレームワークの管理に必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。
- コンプライアンスマネージャー管理者（roles/cloudsecuritycompliance.admin）
- 組織のポリシーに基づくクラウドコントロールを作成または変更するには、次のいずれかが必要です。
  - 組織のポリシー管理者（roles/orgpolicy.policyAdmin）
  - Assured Workloads 管理者（roles/assuredworkloads.admin）
  - Assured Workloads 編集者（roles/assuredworkloads.editor）
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

クラウドコントロールを表示する

組み込みのクラウドコントロールと、すでに作成したカスタムクラウドコントロールを表示するには、次の手順を行います。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

[コンプライアンス] に移動
組織を選択する。
[構成] タブで、[クラウドコントロール] をクリックします。使用可能なクラウドコントロールが表示されます。

ダッシュボードには、クラウドコントロールを含むフレームワークと、クラウドコントロールが適用されているリソース（組織、フォルダ、プロジェクト）の数に関する情報が表示されます。
クラウドコントロールの詳細を表示するには、コントロール名をクリックします。

カスタムクラウドコントロールを作成する

カスタムクラウドコントロールは、1 つのリソースタイプにのみ適用されます。サポートされているデータタイプは Cloud Asset Inventory リソースのみです。カスタムクラウドコントロールはパラメータをサポートしていません。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

[コンプライアンス] に移動
組織を選択する。
[構成] タブで、[クラウドコントロール] をクリックします。使用可能なクラウドコントロールのリストが表示されます。
Gemini を使用するか手動で、クラウドコントロールを作成します。

Gemini を使用する

Gemini にクラウドコントロールの生成を依頼します。Gemini は、プロンプトに基づいて、固有識別子、名前、関連する検出ロジック、可能な修復手順を提供します。
推奨事項を確認し、必要な変更を加えます。
カスタムクラウドコントロールを保存します。

手動で作成する

[クラウドコントロール ID] に、コントロールの固有識別子を指定します。
組織内のユーザーがカスタムクラウドコントロールの目的を理解できるように、名前と説明を入力します。
省略可: コントロールのカテゴリを選択します。[続行] をクリックします。
カスタムクラウドコントロールで使用可能なリソースタイプを選択します。Compliance Manager はすべてのリソースタイプをサポートしています。リソースの名前を確認するには、アセットタイプをご覧ください。
Common Expression Language（CEL）形式で、クラウドコントロールの検出ロジックを指定します。

CEL 式を使用すると、リソースのプロパティを評価する方法を定義できます。詳細と例については、カスタムクラウドコントロールのルールを作成するをご覧ください。[続行] をクリックします。

評価ルールが無効な場合は、エラーが表示されます。
適切な検出結果の重大度を選択します。
組織のインシデント対応者と管理者がクラウドコントロールの検出結果を解決できるように、修復手順を記述します。[続行] をクリックします。
入力内容を確認し、[作成] をクリックします。

カスタムクラウドコントロールを編集する

クラウドコントロールを作成した後、名前、説明、ルール、修復手順、重大度レベルを変更できます。クラウドコントロールのカテゴリは変更できません。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

[コンプライアンス] に移動
組織を選択する。
[構成] タブで、[クラウドコントロール] をクリックします。使用可能なクラウドコントロールのリストが表示されます。
編集するクラウドコントロールをクリックします。
[クラウドコントロールの詳細] ページで、クラウドコントロールがフレームワークに含まれていないことを確認します。必要に応じて、フレームワークを編集してクラウドコントロールを削除します。
[編集] をクリックします。
[カスタムクラウドコントロールの編集] ページで、必要に応じて名前と説明を変更します。[続行] をクリックします。
ルール、検出結果の重大度、修復手順を更新します。[続行] をクリックします。
変更内容を確認して、[保存] をクリックします。

組み込みのクラウド制御を新しいリリースに更新する

Google は、サービスで新機能がデプロイされた場合や、新しいベストプラクティスが登場した場合に、組み込みのクラウドコントロールの定期的な更新を公開します。更新には、新しいコントロールの追加や既存のコントロールの変更が含まれます。

組み込みのクラウドコントロールのリリースは、[構成] タブのクラウドコントロールダッシュボードまたはクラウドコントロールの詳細ページで確認できます。

次の項目が更新されると、リリースノートでお知らせします。

Cloud コントロール名
検出結果のカテゴリ
ルールの検出ロジックまたは予防ロジックの変更
ルールの基盤となるロジック

通知を受け取った後にクラウドコントロールを更新するには、クラウドコントロールを含むフレームワークの割り当てを解除して再デプロイする必要があります。手順については、フレームワークを新しいリリースに更新するをご覧ください。

カスタムクラウドコントロールを削除する

不要になったクラウドコントロールを削除します。削除できるのは、作成したクラウドコントロールのみです。組み込みのクラウドコントロールは削除できません。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

[コンプライアンス] に移動
組織を選択する。
[構成] タブで、[クラウドコントロール] をクリックします。使用可能なクラウドコントロールのリストが表示されます。
削除するクラウドコントロールをクリックします。
[クラウドコントロールの詳細] ページで、クラウドコントロールがフレームワークに含まれていないことを確認します。必要に応じて、フレームワークを編集してクラウドコントロールを削除します。
[削除] をクリックします。
[削除] ウィンドウで、メッセージを確認します。「Delete」と入力して、[確定] をクリックします。

Security Health Analytics の検出機能とクラウドコントロールのマッピング

次の表に、Compliance Manager のクラウド制御が Security Health Analytics の検出機能にどのようにマッピングされるかを示します。

Security Health Analytics の検出結果のカテゴリ	コンプライアンスマネージャーのクラウドコントロール名
`ACCESS_TRANSPARENCY_DISABLED`	アクセスの透明性を有効にする
`ADMIN_SERVICE_ACCOUNT`	サービスアカウントからの管理者ロールのブロック
`ALLOWED_INGRESS_ORG_POLICY`	Cloud Run 組織のポリシー制約に対して許可される上り（内向き）設定を構成する
`ALLOWED_VPC_EGRESS_ORG_POLICY`	Cloud Run 組織のポリシー制約の許可される VPC 下り（外向き）設定を構成する
`ALLOYDB_AUTO_BACKUP_DISABLED`	クラスタで AlloyDB 自動バックアップを有効にする
`ALLOYDB_BACKUPS_DISABLED`	クラスタで AlloyDB バックアップを有効にする
`ALLOYDB_CMEK_DISABLED`	AlloyDB クラスタの CMEK を有効にする
`ALLOYDB_LOG_ERROR_VERBOSITY`	AlloyDB インスタンスのログエラーの詳細度フラグを設定する
`ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY`	AlloyDB インスタンスのログ最小エラーステートメントフラグを設定する
`ALLOYDB_LOG_MIN_MESSAGES`	AlloyDB インスタンスのログ最小メッセージフラグを設定する
`ALLOYDB_PUBLIC_IP`	AlloyDB クラスタインスタンスのパブリック IP アドレスをブロックする
`ALPHA_CLUSTER_ENABLED`	GKE クラスタでアルファ版機能を無効にする
`API_KEY_APPS_UNRESTRICTED`	必要な API のみに API キーを制限する
`API_KEY_EXISTS`	利用不可
`API_KEY_NOT_ROTATED`	API キーのローテーションを必須にする
`AUDIT_CONFIG_NOT_MONITORED`	監査ロギングの変更に関するログ指標とアラートを構成する
`AUDIT_LOGGING_DISABLED`	Google Cloud サービスのイベントロギングを実装する
`AUTO_BACKUP_DISABLED`	Cloud SQL データベースの自動バックアップを有効にする
`AUTO_REPAIR_DISABLED`	GKE クラスタの自動修復を有効にする
`AUTO_UPGRADE_DISABLED`	GKE クラスタで自動アップグレードを有効にする
`BIGQUERY_TABLE_CMEK_DISABLED`	BigQuery テーブルの CMEK を有効にする
`BINARY_AUTHORIZATION_DISABLED`	クラスタで Binary Authorization を必須にする
`BUCKET_CMEK_DISABLED`	Cloud Storage バケットの CMEK を有効にする
`BUCKET_IAM_NOT_MONITORED`	Cloud Storage IAM ポリシーの変更に関するログ指標とアラートを構成する
`BUCKET_LOGGING_DISABLED`	Cloud Storage バケットのロギングを必須にする
`BUCKET_POLICY_ONLY_DISABLED`	Cloud Storage バケットで均一なバケットレベルのアクセスを有効にする
`CLOUD_ASSET_API_DISABLED`	Cloud Asset Inventory サービスを有効にする
`CLUSTER_LOGGING_DISABLED`	GKE クラスタで Cloud Logging を有効にする
`CLUSTER_MONITORING_DISABLED`	GKE クラスタで Cloud Monitoring を有効にする
`CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	インスタンスで限定公開の Google アクセスを有効にする
`CLUSTER_SECRETS_ENCRYPTION_DISABLED`	GKE クラスタで暗号化を有効にする
`CLUSTER_SHIELDED_NODES_DISABLED`	クラスタで Shielded GKE Nodes を有効にする
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Compute Engine インスタンスでプロジェクト全体の SSH 認証鍵をブロックする
`COMPUTE_SECURE_BOOT_DISABLED`	Compute Engine インスタンスでセキュアブートを有効にする
`COMPUTE_SERIAL_PORTS_ENABLED`	Compute Engine インスタンスのシリアルポートをブロックする
`CONFIDENTIAL_COMPUTING_DISABLED`	Compute Engine インスタンスで Confidential Computing を有効にする
`COS_NOT_USED`	GKE クラスタに Container-Optimized OS を要求する
`CUSTOM_ORG_POLICY_VIOLATION`	利用不可
`CUSTOM_ROLE_NOT_MONITORED`	カスタムロールの変更に関するログ指標とアラートを構成する
`DATAPROC_CMEK_DISABLED`	Dataproc クラスタで CMEK を必須にする
`DATAPROC_IMAGE_OUTDATED`	Dataproc クラスタで最新のイメージバージョンを使用する
`DATASET_CMEK_DISABLED`	BigQuery データセットの CMEK を有効にする
`DEFAULT_NETWORK`	カスタムファイアウォールルールを含むネットワークを使用する
`DEFAULT_SERVICE_ACCOUNT_USED`	Compute Engine インスタンスにカスタムサービスアカウントを使用する
`DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY`	VPC 外部 IPv6 の使用を無効にする組織のポリシーを構成する
`DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY`	VPC 外部 IPv6 の使用を無効にする組織のポリシーを構成する
`DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY`	Stackdriver への VM シリアルポートロギングを無効にする組織のポリシーを構成する
`DISK_CMEK_DISABLED`	Compute Engine Persistent Disk で CMEK を有効にする
`DISK_CSEK_DISABLED`	Compute Engine Persistent Disk で CSEK を有効にする
`DNS_LOGGING_DISABLED`	Cloud DNS ログモニタリングを有効にする
`DNSSEC_DISABLED`	Cloud DNS で DNSSEC を有効にする
`EGRESS_DENY_RULE_NOT_SET`	すべての下り（外向き）を拒否するファイアウォールルールを適用する
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	重要な連絡先を定義する
`FIREWALL_NOT_MONITORED`	VPC ネットワークファイアウォールの変更に関するログ指標とアラートを構成する
`FIREWALL_RULE_LOGGING_DISABLED`	ファイアウォールルールロギングを有効にする
`FLOW_LOGS_DISABLED`	VPC サブネットのフローログを有効にする
`FULL_API_ACCESS`	Compute Engine インスタンスの Google Cloud APIs への API アクセスを制限する
`HTTP_LOAD_BALANCER`	HTTPS トラフィックのみを適用する
`INCORRECT_BQ4G_SERVICE_PERIMETER`	VPC Service Controls でサービス境界を定義する
`INSTANCE_OS_LOGIN_DISABLED`	OS Login を有効にする
`INTEGRITY_MONITORING_DISABLED`	GKE クラスタで整合性モニタリングを有効にする
`INTRANODE_VISIBILITY_DISABLED`	GKE クラスタのノード内の可視化を有効にする
`IP_ALIAS_DISABLED`	GKE クラスタの IP エイリアス範囲を有効にする
`IP_FORWARDING_ENABLED`	Compute Engine インスタンスでの IP 転送を防止する
`KMS_KEY_NOT_ROTATED`	Cloud KMS 鍵のローテーション期間を定義する
`KMS_PROJECT_HAS_OWNER`	利用不可
`KMS_PUBLIC_KEY`	利用不可
`KMS_ROLE_SEPARATION`	職務の分離を強制する
`LEGACY_AUTHORIZATION_ENABLED`	GKE クラスタで以前の承認をブロックする
`LEGACY_METADATA_ENABLED`	Compute Engine で以前のメタデータサーバーエンドポイントを無効にする
`LEGACY_NETWORK`	レガシーネットワークを使用しない
`LOAD_BALANCER_LOGGING_DISABLED`	ロードバランサのロギングを有効にする
`LOCKED_RETENTION_POLICY_NOT_SET`	ストレージバケットの保持ポリシーをロックする
`LOG_NOT_EXPORTED`	ログシンクを構成する
`MASTER_AUTHORIZED_NETWORKS_DISABLED`	GKE クラスタでコントロールプレーン承認済みネットワークを有効にする
`MFA_NOT_ENFORCED`	利用不可
`NETWORK_NOT_MONITORED`	VPC ネットワークの変更のログ指標とアラートを構成する
`NETWORK_POLICY_DISABLED`	GKE クラスタでネットワークポリシーを有効にする
`NODEPOOL_BOOT_CMEK_DISABLED`	GKE ノードプールのブートディスクで CMEK を有効にする
`NODEPOOL_SECURE_BOOT_DISABLED`	Shielded GKE Nodes のセキュアブートを有効にする
`NON_ORG_IAM_MEMBER`	利用不可
`OBJECT_VERSIONING_DISABLED`	バケットでオブジェクトのバージョニングを有効にする
`OPEN_CASSANDRA_PORT`	すべての IP アドレスからの Cassandra ポートへの接続をブロックする
`OPEN_CISCOSECURE_WEBSM_PORT`	すべての IP アドレスからの CiscoSecure/WebSM ポートへの接続をブロックする
`OPEN_DIRECTORY_SERVICES_PORT`	すべての IP アドレスからのディレクトリサービスポートへの接続をブロックする
`OPEN_DNS_PORT`	すべての IP アドレスからの DNS ポートへの接続をブロックする
`OPEN_ELASTICSEARCH_PORT`	すべての IP アドレスからの Elasticsearch ポートへの接続をブロックする
`OPEN_FIREWALL`	利用不可
`OPEN_FTP_PORT`	すべての IP アドレスからの FTP ポートへの接続をブロックする
`OPEN_GROUP_IAM_MEMBER`	利用不可
`OPEN_HTTP_PORT`	すべての IP アドレスからの HTTP ポートへの接続をブロックする
`OPEN_LDAP_PORT`	すべての IP アドレスからの LDAP ポートへの接続をブロックする
`OPEN_MEMCACHED_PORT`	すべての IP アドレスからの Memcached ポートへの接続をブロックする
`OPEN_MONGODB_PORT`	すべての IP アドレスからの MongoDB ポートへの接続をブロックする
`OPEN_MYSQL_PORT`	すべての IP アドレスからの MySQL ポートへの接続をブロックする
`OPEN_NETBIOS_PORT`	すべての IP アドレスからの NetBIOS ポートへの接続をブロックする
`OPEN_ORACLEDB_PORT`	すべての IP アドレスからの Oracle Database ポートへの接続をブロックする
`OPEN_POP3_PORT`	すべての IP アドレスからの POP3 サーバーポートへの接続をブロックする
`OPEN_POSTGRESQL_PORT`	すべての IP アドレスからの PostgreSQL サーバーポートへの接続をブロックする
`OPEN_RDP_PORT`	RDP ポートへのアクセスをブロックする
`OPEN_REDIS_PORT`	すべての IP アドレスからの Redis サーバーポートへの接続をブロックする
`OPEN_SMTP_PORT`	すべての IP アドレスからの SMTP サーバーポートへの接続をブロックする
`OPEN_SSH_PORT`	SSH ポートへのアクセスをブロックする
`OPEN_TELNET_PORT`	すべての IP アドレスからの Telnet サーバーポートへの接続をブロックする
`ORG_POLICY_CONFIDENTIAL_VM_POLICY`	Confidential VM 組織のポリシーの制約を有効にする
`OS_LOGIN_DISABLED`	プロジェクトレベルですべてのインスタンスに対して OS Login を有効にする
`OVER_PRIVILEGED_ACCOUNT`	GKE クラスタに最小権限のサービスアカウントを使用する
`OVER_PRIVILEGED_SCOPES`	制限付きサービスアカウントアクセススコープを使用して GKE クラスタを作成する
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	サービスアカウントからの管理者ロールのブロック
`OWNER_NOT_MONITORED`	利用不可
`POD_SECURITY_POLICY_DISABLED`	利用不可
`PRIMITIVE_ROLES_USED`	以前の IAM ロールを制限する
`PRIVATE_CLUSTER_DISABLED`	GKE 用の限定公開クラスタを有効にする
`PRIVATE_GOOGLE_ACCESS_DISABLED`	VPC サブネットで限定公開の Google アクセスを有効にする
`PUBLIC_BUCKET_ACL`	Cloud Storage バケットへの公開アクセスを制限する
`PUBLIC_COMPUTE_IMAGE`	コンピューティングイメージへの公開アクセスを制限する
`PUBLIC_DATASET`	BigQuery データセットへの一般公開アクセスを制限する
`PUBLIC_IP_ADDRESS`	パブリック IP アドレスを Compute Engine インスタンスに制限する
`PUBLIC_LOG_BUCKET`	Cloud Storage バケットへの公開アクセスを制限する
`PUBLIC_SQL_INSTANCE`	Cloud SQL データベースインスタンスへのパブリックアクセスを制限する
`PUBSUB_CMEK_DISABLED`	CMEK で Pub/Sub トピックを暗号化する
`QL_LOG_STATEMENT_STATS_ENABLED`	PostgreSQL のログステートメントフラグを有効にする
`REDIS_ROLE_USED_ON_ORG`	利用不可
`RELEASE_CHANNEL_DISABLED`	GKE クラスタをリリースチャンネルに登録する
`REQUIRE_OS_LOGIN_ORG_POLICY`	OS Login を有効にする
`REQUIRE_VPC_CONNECTOR_ORG_POLICY`	Cloud Run Functions の VPC コネクタの下り（外向き）を定義する
`RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY`	Cloud SQL インスタンスに対する承認済みネットワークを制限する組織のポリシーの制約を有効にする
`ROUTE_NOT_MONITORED`	VPC ルートの変更のログ指標とアラートを構成する
`RSASHA1_FOR_SIGNING`	DNSSEC 署名に RSASHA1 を使用しない
`S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET`	利用不可
`S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS`	利用不可
`SERVICE_ACCOUNT_KEY_NOT_ROTATED`	サービスアカウントキーのローテーションを必須にする
`SERVICE_ACCOUNT_ROLE_SEPARATION`	職務の分離を強制する
`SHIELDED_VM_DISABLED`	Compute Engine インスタンスで Shielded VM を有効にする
`SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY`	Compute Engine インスタンスのデフォルトネットワークの作成を制限する
`SQL_CMEK_DISABLED`	Cloud SQL データベースの CMEK を有効にする
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	SQL Server の包含データベース認証フラグをオフにする
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	SQL Server のデータベース間の所有権チェーンフラグをオフにする
`SQL_EXTERNAL_SCRIPTS_ENABLED`	SQL Server の外部スクリプトフラグをオフにする
`SQL_INSTANCE_NOT_MONITORED`	Cloud SQL 構成の変更のログ指標とアラートを構成する
`SQL_LOCAL_INFILE`	MySQL の Local Infile フラグをオフにする
`SQL_LOG_CHECKPOINTS_DISABLED`	PostgreSQL のログチェックポイントフラグを有効にする
`SQL_LOG_CONNECTIONS_DISABLED`	PostgreSQL の Log Connections フラグを有効にする
`SQL_LOG_DISCONNECTIONS_DISABLED`	PostgreSQL の接続解除ログフラグを有効にする
`SQL_LOG_DURATION_DISABLED`	PostgreSQL インスタンスのログ期間フラグを有効にする
`SQL_LOG_ERROR_VERBOSITY`	PostgreSQL のログエラー詳細度フラグを有効にする
`SQL_LOG_EXECUTOR_STATS_ENABLED`	PostgreSQL のログエグゼキュータの統計情報フラグをオフにする
`SQL_LOG_HOSTNAME_ENABLED`	PostgreSQL のログホスト名フラグをオフにする
`SQL_LOG_LOCK_WAITS_DISABLED`	PostgreSQL インスタンスのログロック待機フラグを有効にする
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	PostgreSQL の最小時間ステートメントフラグのログ出力をオフにする
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	PostgreSQL の最小エラーステートメントフラグのログ出力を有効にする
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	利用不可
`SQL_LOG_MIN_MESSAGE`	PostgreSQL の Log Min Messages フラグを有効にする
`SQL_LOG_PARSER_STATS_ENABLED`	PostgreSQL のログパーサー統計情報フラグをオフにする
`SQL_LOG_PLANNER_STATS_ENABLED`	PostgreSQL の Log Planner 統計情報フラグをオフにする
`SQL_LOG_STATEMENT`	PostgreSQL のログステートメントフラグを有効にする
`SQL_LOG_TEMP_FILES`	PostgreSQL インスタンスの Log Temp Files フラグを有効にする
`SQL_NO_ROOT_PASSWORD`	利用不可
`SQL_PUBLIC_IP`	Cloud SQL インスタンスのパブリック IP アドレスをブロックする
`SQL_REMOTE_ACCESS_ENABLED`	SQL Server のリモートアクセスフラグをオフにする
`SQL_SCANNER`	AlloyDB インスタンスで SSL 暗号化を有効にする
`SQL_SKIP_SHOW_DATABASE_DISABLED`	MySQL のデータベース表示のスキップフラグを有効にする
`SQL_TRACE_FLAG_3625`	SQL Server の 3625 トレースデータベースフラグを有効にする
`SQL_USER_CONNECTIONS_CONFIGURED`	SQL Server のユーザー接続フラグを使用しない
`SQL_USER_OPTIONS_CONFIGURED`	SQL Server のユーザーオプションフラグを使用しない
`SQL_WEAK_ROOT_PASSWORD`	利用不可
`SSL_NOT_ENFORCED`	すべての受信データベース接続に SSL を適用する
`TOO_MANY_KMS_USERS`	KMS 暗号鍵のユーザーを 3 人に制限する
`UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY`	Cloud Storage バケットで均一なバケットレベルのアクセスを有効にする
`USER_MANAGED_SERVICE_ACCOUNT_KEY`	ユーザー管理サービスアカウントキーを制限する
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	利用不可
`WEAK_SSL_POLICY`	Compute Engine インスタンスの安全でない SSL ポリシーを制限する
`WEB_UI_ENABLED`	Kubernetes ウェブ UI を使用しない
`WORKLOAD_IDENTITY_DISABLED`	クラスタで Workload Identity Federation for GKE を有効にする

次のステップ

カスタムクラウドコントロールのルールを記述する。

クラウド コントロールを管理する

始める前に

クラウド コントロールを表示する

カスタム クラウド コントロールを作成する