Esta página foi traduzida pela API Cloud Translation.

Faça a gestão dos controlos na nuvem

O Gestor de conformidade inclui muitos controlos na nuvem incorporados que pode adicionar a frameworks e implementar no seu ambiente. Se necessário, pode criar e gerir os seus próprios controlos na nuvem personalizados e atualizar os controlos na nuvem incorporados.

Antes de começar

Para receber as autorizações de que precisa para gerir frameworks de controlos na nuvem, peça ao seu administrador que lhe conceda as seguintes funções de IAM na sua organização:
- Administrador do Compliance Manager (roles/cloudsecuritycompliance.admin)
- Para criar ou modificar controlos na nuvem baseados em políticas da organização, tem de ter uma das seguintes opções:
  - Administrador da política da organização (roles/orgpolicy.policyAdmin)
  - Administrador do Assured Workloads (roles/assuredworkloads.admin)
  - Editor do Assured Workloads (roles/assuredworkloads.editor)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Ver controlos na nuvem

Conclua os passos seguintes para ver os controlos na nuvem integrados e quaisquer controlos na nuvem personalizados que já tenha criado.

Na Google Cloud consola, aceda à página Conformidade.

Aceder a Conformidade
Selecione a sua organização.
No separador Configurar, clique em Controlos na nuvem. Os controlos na nuvem disponíveis são apresentados.

O painel de controlo inclui informações sobre as estruturas que incluem o controlo na nuvem e o número de recursos (organização, pastas e projetos) aos quais o controlo na nuvem é aplicado.
Para ver detalhes sobre um controlo na nuvem, clique no nome do controlo.

Crie um controlo na nuvem personalizado

Um controlo da nuvem personalizado aplica-se apenas a um tipo de recurso. O único tipo de dados suportado são os recursos do Cloud Asset Inventory. Os controlos na nuvem personalizados não suportam parâmetros.

Na Google Cloud consola, aceda à página Conformidade.

Aceder a Conformidade
Selecione a sua organização.
No separador Configurar, clique em Controlos na nuvem. É apresentada a lista de controlos na nuvem disponíveis.
Crie um controlo de nuvem com o Gemini ou manualmente:

Usar o Gemini

Peça ao Gemini para gerar um controlo na nuvem para si. Com base no seu comando, o Gemini fornece um identificador exclusivo, um nome, uma lógica de deteção associada e possíveis passos de correção.
Reveja as recomendações e faça as alterações necessárias.
Guarde o controlo na nuvem personalizado.

Criar manualmente

Em ID do controlo na nuvem, indique um identificador exclusivo para o seu controlo.
Introduza um nome e uma descrição para ajudar os utilizadores na sua organização a compreenderem o objetivo do controlo na nuvem personalizado.
Opcional: selecione as categorias para o controlo. Clique em Continuar.
Selecione um tipo de recurso disponível para o seu controlo na nuvem personalizado. O Compliance Manager suporta todos os tipos de recursos. Para encontrar o nome de um recurso, consulte o artigo Tipos de recursos.
Forneça a lógica de deteção para o seu controlo na nuvem no formato do idioma de expressão comum (IEC).

As expressões CEL permitem-lhe definir como quer avaliar as propriedades de um recurso. Para mais informações e exemplos, consulte o artigo Escreva regras para controlos na nuvem personalizados. Clique em Continuar.

Se a regra de avaliação não for válida, é apresentado um erro.
Selecione uma gravidade das conclusões adequada.
Escreva as instruções de correção para que os responsáveis pela resposta a incidentes e os administradores da sua organização possam resolver todas as conclusões relativas ao controlo na nuvem. Clique em Continuar.
Reveja as suas entradas e, de seguida, clique em Criar.

Edite um controlo na nuvem personalizado

Depois de criar um controlo na nuvem, pode alterar o respetivo nome, descrição, regras, passos de correção e nível de gravidade. Não pode alterar a categoria do controlo na nuvem.

Na Google Cloud consola, aceda à página Conformidade.

Aceder a Conformidade
Selecione a sua organização.
No separador Configurar, clique em Controlos na nuvem. É apresentada a lista de controlos na nuvem disponíveis.
Clique no controlo na nuvem que quer editar.
Na página Detalhes dos controlos na nuvem, verifique se o controlo na nuvem não está incluído numa estrutura. Se necessário, edite a estrutura para remover o controlo na nuvem.
Clique em Edit.
Na página Editar controlo na nuvem personalizado, altere o nome e a descrição conforme necessário. Clique em Continuar.
Atualizar as regras, a gravidade da localização e os passos de remediação. Clique em Continuar.
Reveja as alterações e clique em Guardar.

Atualize um controlo na nuvem integrado para um lançamento mais recente

A Google publica atualizações regulares aos seus controlos na nuvem integrados à medida que os serviços implementam novas funcionalidades ou surgem novas práticas recomendadas. As atualizações podem incluir novos controlos ou alterações aos controlos existentes.

Pode ver os lançamentos de controlos na nuvem incorporados no painel de controlo na nuvem no separador Configurar ou na página de detalhes dos controlos na nuvem.

A Google envia-lhe uma notificação nas notas de lançamento quando os seguintes itens são atualizados:

Nome do controlo da nuvem
Categoria dos resultados
Alteração na lógica de deteção ou preventiva numa regra
Lógica subjacente de uma regra

Para atualizar um controlo na nuvem depois de receber uma notificação, tem de anular a atribuição e voltar a implementar as frameworks que incluem o controlo na nuvem. Para ver instruções, consulte o artigo Atualize uma framework para uma versão mais recente.

Elimine um controlo da nuvem personalizado

Elimine um controlo na nuvem quando já não for necessário. Só pode eliminar os controlos na nuvem que criou. Não pode eliminar os controlos na nuvem incorporados.

Na Google Cloud consola, aceda à página Conformidade.

Aceder a Conformidade
Selecione a sua organização.
No separador Configurar, clique em Controlos na nuvem. É apresentada a lista de controlos na nuvem disponíveis.
Clique no controlo na nuvem que quer eliminar.
Na página Detalhes dos controlos na nuvem, verifique se o controlo na nuvem não está incluído numa estrutura. Se necessário, edite a estrutura para remover o controlo na nuvem.
Clique em Eliminar.
Na janela Eliminar, reveja a mensagem. Escreva Delete e clique em Confirmar.

Mapeamento de detetores do Security Health Analytics para controlos na nuvem

A tabela seguinte mostra como os controlos na nuvem do Compliance Manager são mapeados para os detetores do Security Health Analytics.

Categoria de resultados na análise de estado de segurança	Nome do controlo na nuvem no Gestor de conformidade
`ACCESS_TRANSPARENCY_DISABLED`	Ative a Transparência de acesso
`ADMIN_SERVICE_ACCOUNT`	Bloqueie funções de administrador de contas de serviço
`ALLOWED_INGRESS_ORG_POLICY`	Configure as definições de entrada permitidas para a restrição da política da organização do Cloud Run
`ALLOWED_VPC_EGRESS_ORG_POLICY`	Configure as definições de saída da VPC permitidas para a restrição de políticas da organização do Cloud Run
`ALLOYDB_AUTO_BACKUP_DISABLED`	Ative as cópias de segurança automáticas do AlloyDB no cluster
`ALLOYDB_BACKUPS_DISABLED`	Ative as cópias de segurança do AlloyDB no cluster
`ALLOYDB_CMEK_DISABLED`	Ative as CMEK para clusters do AlloyDB
`ALLOYDB_LOG_ERROR_VERBOSITY`	Defina o sinalizador de detalhe do erro de registo para instâncias do AlloyDB
`ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Defina o sinalizador de declaração de erro mínimo do registo para instâncias do AlloyDB
`ALLOYDB_LOG_MIN_MESSAGES`	Defina a flag Log Min Messages para instâncias do AlloyDB
`ALLOYDB_PUBLIC_IP`	Bloqueie endereços IP públicos para instâncias de clusters do AlloyDB
`ALPHA_CLUSTER_ENABLED`	Desative as funcionalidades alfa em clusters do GKE
`API_KEY_APPS_UNRESTRICTED`	Restrinja as chaves da API apenas às APIs necessárias
`API_KEY_EXISTS`	Não disponível
`API_KEY_NOT_ROTATED`	Exija a alteração da chave da API
`AUDIT_CONFIG_NOT_MONITORED`	Configure métricas de registo e alertas para alterações de registo de auditoria
`AUDIT_LOGGING_DISABLED`	Implemente o registo de eventos para os serviços Google Cloud
`AUTO_BACKUP_DISABLED`	Ative as cópias de segurança automáticas para bases de dados do Cloud SQL
`AUTO_REPAIR_DISABLED`	Ative a reparação automática para clusters do GKE
`AUTO_UPGRADE_DISABLED`	Ative a atualização automática em clusters do GKE
`BIGQUERY_TABLE_CMEK_DISABLED`	Ative as CMEK para tabelas do BigQuery
`BINARY_AUTHORIZATION_DISABLED`	Exija a autorização binária num cluster
`BUCKET_CMEK_DISABLED`	Ative as CMEK para contentores do Cloud Storage
`BUCKET_IAM_NOT_MONITORED`	Configure métricas de registo e alertas para alterações à Política IAM do Cloud Storage
`BUCKET_LOGGING_DISABLED`	Exija o registo em contentores do Cloud Storage
`BUCKET_POLICY_ONLY_DISABLED`	Ative o acesso de nível de contentor uniforme nos contentores do Cloud Storage
`CLOUD_ASSET_API_DISABLED`	Ative o serviço Cloud Asset Inventory
`CLUSTER_LOGGING_DISABLED`	Ative o Cloud Logging em clusters do GKE
`CLUSTER_MONITORING_DISABLED`	Ative o Cloud Monitoring em clusters do GKE
`CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Ative o acesso privado à Google numa instância
`CLUSTER_SECRETS_ENCRYPTION_DISABLED`	Ative a encriptação em clusters do GKE
`CLUSTER_SHIELDED_NODES_DISABLED`	Ative os nós do GKE protegidos num cluster
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Bloqueie chaves SSH ao nível do projeto em instâncias do Compute Engine
`COMPUTE_SECURE_BOOT_DISABLED`	Ative o arranque seguro em instâncias do Compute Engine
`COMPUTE_SERIAL_PORTS_ENABLED`	Bloqueie portas de série para instâncias do Compute Engine
`CONFIDENTIAL_COMPUTING_DISABLED`	Ative a computação confidencial para instâncias do Compute Engine
`COS_NOT_USED`	Exija o SO otimizado para contentores para um cluster do GKE
`CUSTOM_ORG_POLICY_VIOLATION`	Não disponível
`CUSTOM_ROLE_NOT_MONITORED`	Configure métricas de registo e alertas para alterações de funções personalizadas
`DATAPROC_CMEK_DISABLED`	Exija CMEK em clusters do Dataproc
`DATAPROC_IMAGE_OUTDATED`	Use as versões de imagem mais recentes em clusters do Dataproc
`DATASET_CMEK_DISABLED`	Ative as CMEK para conjuntos de dados do BigQuery
`DEFAULT_NETWORK`	Use redes com regras de firewall personalizadas
`DEFAULT_SERVICE_ACCOUNT_USED`	Use contas de serviço personalizadas para instâncias do Compute Engine
`DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY`	Configure a política da organização Disable VPC External IPv6 Usage
`DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY`	Configure a política da organização Disable VPC External IPv6 Usage
`DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY`	Configure a política Disable VM Serial Port Logging to Stackdriver Organization
`DISK_CMEK_DISABLED`	Ative as CMEK em discos persistentes do Compute Engine
`DISK_CSEK_DISABLED`	Ative a CSEK em Persistent Disks do Compute Engine
`DNS_LOGGING_DISABLED`	Ative a monitorização de registos do Cloud DNS
`DNSSEC_DISABLED`	Ative as DNSSEC para o Cloud DNS
`EGRESS_DENY_RULE_NOT_SET`	Aplique a regra de firewall de negação de todo o tráfego de saída
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Defina contactos essenciais
`FIREWALL_NOT_MONITORED`	Configure métricas de registo e alertas para alterações da firewall de rede de VPC
`FIREWALL_RULE_LOGGING_DISABLED`	Ative o registo de regras de firewall
`FLOW_LOGS_DISABLED`	Ative os registos de fluxo para a sub-rede da VPC
`FULL_API_ACCESS`	Restrinja o acesso à API às APIs Google Cloud para instâncias do Compute Engine
`HTTP_LOAD_BALANCER`	Aplique apenas tráfego HTTPS
`INCORRECT_BQ4G_SERVICE_PERIMETER`	Defina perímetros de serviço nos VPC Service Controls
`INSTANCE_OS_LOGIN_DISABLED`	Ativar OS Login
`INTEGRITY_MONITORING_DISABLED`	Ative a monitorização da integridade em clusters do GKE
`INTRANODE_VISIBILITY_DISABLED`	Ative a visibilidade intranós para clusters do GKE
`IP_ALIAS_DISABLED`	Ative o intervalo de alias de IP para clusters do GKE
`IP_FORWARDING_ENABLED`	Impeça o encaminhamento de IP em instâncias do Compute Engine
`KMS_KEY_NOT_ROTATED`	Defina o período de rotação para chaves do Cloud KMS
`KMS_PROJECT_HAS_OWNER`	Não disponível
`KMS_PUBLIC_KEY`	Não disponível
`KMS_ROLE_SEPARATION`	Aplique a separação de funções
`LEGACY_AUTHORIZATION_ENABLED`	Bloqueie a autorização antiga em clusters do GKE
`LEGACY_METADATA_ENABLED`	Desative os pontos finais do servidor de metadados antigos no Compute Engine
`LEGACY_NETWORK`	Não use redes antigas
`LOAD_BALANCER_LOGGING_DISABLED`	Ative o registo do equilibrador de carga
`LOCKED_RETENTION_POLICY_NOT_SET`	Bloqueie as políticas de retenção do contentor de armazenamento
`LOG_NOT_EXPORTED`	Configure sinks de registo
`MASTER_AUTHORIZED_NETWORKS_DISABLED`	Ative as redes autorizadas do plano de controlo em clusters do GKE
`MFA_NOT_ENFORCED`	Não disponível
`NETWORK_NOT_MONITORED`	Configure métricas de registo e alertas para alterações à rede VPC
`NETWORK_POLICY_DISABLED`	Ative a política de rede em clusters do GKE
`NODEPOOL_BOOT_CMEK_DISABLED`	Ative as CMEK em discos de arranque de pools de nós do GKE
`NODEPOOL_SECURE_BOOT_DISABLED`	Ative o arranque seguro para nós do GKE protegidos
`NON_ORG_IAM_MEMBER`	Não disponível
`OBJECT_VERSIONING_DISABLED`	Ative o controlo de versões de objetos em contentores
`OPEN_CASSANDRA_PORT`	Bloqueie ligações a portas Cassandra de todos os endereços IP
`OPEN_CISCOSECURE_WEBSM_PORT`	Bloquear ligações a portas CiscoSecure/WebSM de todos os endereços IP
`OPEN_DIRECTORY_SERVICES_PORT`	Bloqueie ligações a portas de serviços de diretório de todos os endereços IP
`OPEN_DNS_PORT`	Bloqueie ligações a portas DNS de todos os endereços IP
`OPEN_ELASTICSEARCH_PORT`	Bloqueie as ligações às portas do Elasticsearch a partir de todos os endereços IP
`OPEN_FIREWALL`	Não disponível
`OPEN_FTP_PORT`	Bloqueie ligações a portas FTP de todos os endereços IP
`OPEN_GROUP_IAM_MEMBER`	Não disponível
`OPEN_HTTP_PORT`	Bloqueie ligações a portas HTTP de todos os endereços IP
`OPEN_LDAP_PORT`	Bloqueie ligações a portas LDAP de todos os endereços IP
`OPEN_MEMCACHED_PORT`	Bloqueie ligações a portas Memcached a partir de todos os endereços IP
`OPEN_MONGODB_PORT`	Bloquear ligações a portas MongoDB a partir de todos os endereços IP
`OPEN_MYSQL_PORT`	Bloqueie ligações a portas MySQL a partir de todos os endereços IP
`OPEN_NETBIOS_PORT`	Bloqueie ligações a portas NetBIOS a partir de todos os endereços IP
`OPEN_ORACLEDB_PORT`	Bloqueie as ligações às portas da base de dados do Oracle a partir de todos os endereços IP
`OPEN_POP3_PORT`	Bloqueie ligações a portas do servidor POP3 a partir de todos os endereços IP
`OPEN_POSTGRESQL_PORT`	Bloqueie as ligações às portas do servidor PostgreSQL a partir de todos os endereços IP
`OPEN_RDP_PORT`	Bloqueie o acesso à porta RDP
`OPEN_REDIS_PORT`	Bloqueie ligações a portas do servidor Redis a partir de todos os endereços IP
`OPEN_SMTP_PORT`	Bloquear ligações a portas do servidor SMTP a partir de todos os endereços IP
`OPEN_SSH_PORT`	Bloqueie o acesso à porta SSH
`OPEN_TELNET_PORT`	Bloquear ligações a portas de servidor Telnet a partir de todos os endereços IP
`ORG_POLICY_CONFIDENTIAL_VM_POLICY`	Ative a restrição da política de organização de VMs confidenciais
`OS_LOGIN_DISABLED`	Ative o Início de sessão do SO para todas as instâncias ao nível do projeto
`OVER_PRIVILEGED_ACCOUNT`	Use contas de serviço com o menor número possível de privilégios para clusters do GKE
`OVER_PRIVILEGED_SCOPES`	Crie clusters do GKE com âmbitos de acesso da conta de serviço limitados
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Bloqueie funções de administrador de contas de serviço
`OWNER_NOT_MONITORED`	Não disponível
`POD_SECURITY_POLICY_DISABLED`	Não disponível
`PRIMITIVE_ROLES_USED`	Restrinja funções de IAM antigas
`PRIVATE_CLUSTER_DISABLED`	Ative os clusters privados para o GKE
`PRIVATE_GOOGLE_ACCESS_DISABLED`	Ative o acesso privado à Google para sub-redes de VPC
`PUBLIC_BUCKET_ACL`	Restrinja o acesso público a contentores do Cloud Storage
`PUBLIC_COMPUTE_IMAGE`	Restrinja o acesso público a imagens de computação
`PUBLIC_DATASET`	Restrinja o acesso público a conjuntos de dados do BigQuery
`PUBLIC_IP_ADDRESS`	Restrinja os endereços IP públicos a instâncias do Compute Engine
`PUBLIC_LOG_BUCKET`	Restrinja o acesso público a contentores do Cloud Storage
`PUBLIC_SQL_INSTANCE`	Restrinja o acesso público a instâncias de base de dados do Cloud SQL
`PUBSUB_CMEK_DISABLED`	Criptografe o tópico do Pub/Sub com a CMEK
`QL_LOG_STATEMENT_STATS_ENABLED`	Ative a flag de declaração de registo para o PostgreSQL
`REDIS_ROLE_USED_ON_ORG`	Não disponível
`RELEASE_CHANNEL_DISABLED`	Subscreva um cluster do GKE a um canal de lançamento
`REQUIRE_OS_LOGIN_ORG_POLICY`	Ativar OS Login
`REQUIRE_VPC_CONNECTOR_ORG_POLICY`	Defina a saída do conetor de VPC para funções do Cloud Run
`RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY`	Ative a restrição da política da organização "Restrinja as redes autorizadas nas instâncias do Cloud SQL"
`ROUTE_NOT_MONITORED`	Configure métricas de registo e alertas para alterações de rotas da VPC
`RSASHA1_FOR_SIGNING`	Evite o RSASHA1 para a assinatura DNSSEC
`S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET`	Não disponível
`S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS`	Não disponível
`SERVICE_ACCOUNT_KEY_NOT_ROTATED`	Exija a alteração da chave da conta de serviço
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Aplique a separação de funções
`SHIELDED_VM_DISABLED`	Ative a VM protegida para instâncias do Compute Engine
`SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY`	Restrinja a criação da rede predefinida para instâncias do Compute Engine
`SQL_CMEK_DISABLED`	Ative as CMEK para bases de dados do Cloud SQL
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Desative o indicador de autenticação de base de dados autónoma para o SQL Server
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Desative o indicador de encadeamento de propriedade entre bases de dados para o SQL Server
`SQL_EXTERNAL_SCRIPTS_ENABLED`	Desative a flag de scripts externos para o SQL Server
`SQL_INSTANCE_NOT_MONITORED`	Configure métricas de registo e alertas para alterações de configuração do Cloud SQL
`SQL_LOCAL_INFILE`	Desative a flag local_infile para o MySQL
`SQL_LOG_CHECKPOINTS_DISABLED`	Ative a flag de pontos de verificação de registos para o PostgreSQL
`SQL_LOG_CONNECTIONS_DISABLED`	Ative a sinalização de ligações de registo para o PostgreSQL
`SQL_LOG_DISCONNECTIONS_DISABLED`	Ative a sinalização de desativação de registos para o PostgreSQL
`SQL_LOG_DURATION_DISABLED`	Ative a flag de duração do registo para a instância do PostgreSQL
`SQL_LOG_ERROR_VERBOSITY`	Ative a sinalização de verbosidade de erros de registo para o PostgreSQL
`SQL_LOG_EXECUTOR_STATS_ENABLED`	Desative a sinalização de estatísticas do executor de registos para o PostgreSQL
`SQL_LOG_HOSTNAME_ENABLED`	Desative a sinalização de nome de anfitrião de registo para o PostgreSQL
`SQL_LOG_LOCK_WAITS_DISABLED`	Ative a flag de espera de bloqueios de registos para a instância do PostgreSQL
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Desative a flag de declaração de duração mínima do registo para o PostgreSQL
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Ative a flag Log Min Error Statement para o PostgreSQL
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Não disponível
`SQL_LOG_MIN_MESSAGE`	Ative a flag Log Min Messages para o PostgreSQL
`SQL_LOG_PARSER_STATS_ENABLED`	Desative a sinalização de estatísticas do analisador de registos para o PostgreSQL
`SQL_LOG_PLANNER_STATS_ENABLED`	Desative a sinalização Log Planner Stats para o PostgreSQL
`SQL_LOG_STATEMENT`	Ative a flag de declaração de registo para o PostgreSQL
`SQL_LOG_TEMP_FILES`	Ative a sinalização de ficheiros temporários de registo para a instância do PostgreSQL
`SQL_NO_ROOT_PASSWORD`	Não disponível
`SQL_PUBLIC_IP`	Bloqueie endereços IP públicos para instâncias do Cloud SQL
`SQL_REMOTE_ACCESS_ENABLED`	Desative a flag de acesso remoto para o SQL Server
`SQL_SCANNER`	Ative a encriptação SSL em instâncias do AlloyDB
`SQL_SKIP_SHOW_DATABASE_DISABLED`	Ative a opção Skip Show Database Flag for MySQ
`SQL_TRACE_FLAG_3625`	Ative a flag de base de dados de rastreio 3625 para o SQL Server
`SQL_USER_CONNECTIONS_CONFIGURED`	Não use a flag de ligações de utilizadores para o SQL Server
`SQL_USER_OPTIONS_CONFIGURED`	Não use a opção de utilizador para o SQL Server
`SQL_WEAK_ROOT_PASSWORD`	Não disponível
`SSL_NOT_ENFORCED`	Aplique o SSL a todas as ligações de base de dados recebidas
`TOO_MANY_KMS_USERS`	Limite os utilizadores de chaves criptográficas do KMS a três
`UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY`	Ative o acesso de nível de contentor uniforme nos contentores do Cloud Storage
`USER_MANAGED_SERVICE_ACCOUNT_KEY`	Restrinja as chaves de contas de serviço geridas pelo utilizador
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Não disponível
`WEAK_SSL_POLICY`	Restrinja políticas de SSL inseguras para instâncias do Compute Engine
`WEB_UI_ENABLED`	Não use a IU Web do Kubernetes
`WORKLOAD_IDENTITY_DISABLED`	Ative a federação de identidades de cargas de trabalho para o GKE em clusters

O que se segue?

Escreva regras para controlos personalizados da nuvem.