Sicherheitsstatus verwalten

Auf dieser Seite wird beschrieben, wie Sie den Sicherheitsstatus konfigurieren und verwenden können, nachdem Sie Security Command Center aktiviert haben. Zuerst müssen Sie einen Status erstellen, der Ihre Richtlinien in Richtliniensätzen enthält, und diesen dann mithilfe einer Statusbereitstellung bereitstellen. Nachdem ein Sicherheitsstatus bereitgestellt wurde, können Sie ihn auf Abweichungen überwachen und im Laufe der Zeit weiter optimieren.

Hinweise

Führen Sie diese Schritte aus, bevor Sie die verbleibenden Aufgaben auf dieser Seite ausführen.

Premium- oder Enterprise-Stufe von Security Command Center aktivieren

Prüfen Sie, ob die Premium- oder Enterprise-Stufe von Security Command Center auf der Organisationsebene aktiviert ist.

Wenn Sie Security Health Analytics-Detektoren als Richtlinien verwenden möchten, wählen Sie während des Aktivierungsprozesses den Security Health Analytics-Dienst aus.

Berechtigungen einrichten

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Security Posture Admin (roles/securityposture.admin) zu gewähren, um die Berechtigungen zu erhalten, die Sie zur Verwendung des Status benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Weitere Informationen zu Rollen für den Sicherheitsstatus und Berechtigungen für den Sicherheitsstatus finden Sie unter IAM für Aktivierungen auf Organisationsebene.

Google Cloud CLI einrichten

Sie müssen die Google Cloud CLI ab Version 461.0.0 verwenden.

Sie können die gcloud CLI-Beispiele auf dieser Seite über eine der folgenden Entwicklungsumgebungen verwenden:

  • Cloud Shell: Aktivieren Sie Cloud Shell, um ein Onlineterminal mit der bereits eingerichteten gcloud CLI zu verwenden.

    Unten auf dieser Seite wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Das Initialisieren der Sitzung kann einige Sekunden dauern.

  • Lokale Shell: Zur Verwendung der gcloud CLI in einer lokalen Entwicklungsumgebung müssen Sie die gcloud CLI installieren und initialisieren.

Führen Sie den folgenden Befehl aus, um die gcloud CLI so einzurichten, dass die Authentifizierung bei Google APIs anstelle Ihrer Nutzeranmeldedaten erfolgt: 

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Weitere Informationen finden Sie unter Identitätswechsel für Dienstkonten.

APIs aktivieren

Aktivieren Sie den Organisationsrichtliniendienst und die Security Posture-Dienst-APIs:

gcloud services enable orgpolicy.googleapis.com  securityposture.googleapis.com

Verbindung zu AWS konfigurieren

Wenn Sie integrierte Security Health Analytics-Detektoren verwenden möchten, die für AWS spezifisch sind, müssen Sie Security Command Center Enterprise aktivieren und zur Erkennung von Sicherheitslücken eine Verbindung zu AWS herstellen.

Sicherheitsstatus erstellen und bereitstellen

Damit Sie einen Sicherheitsstatus verwenden können, müssen Sie die folgenden Schritte ausführen:

  • Erstellen Sie eine YAML-Datei für den Status, in der die Richtlinien definiert werden, die für Ihren Sicherheitsstatus gelten.

  • Erstellen Sie einen Status in Google Cloud, der auf der YAML-Datei für den Status basiert.

  • Stellen Sie den Sicherheitsstatus bereit.

In den folgenden Abschnitten finden Sie eine detaillierte Anleitung.

YAML-Datei für den Status erstellen

Ein Status besteht aus einem oder mehreren Richtliniensätzen, die Sie zusammen bereitstellen. Diese Richtliniensets enthalten alle Präventiv- und Erkennungsrichtlinien, die Sie in Ihren Sicherheitsstatus aufnehmen möchten.

Führen Sie einen der folgenden Schritte aus, um Ihren Status zu erstellen:

Sicherheitsstatus sind YAML-Dateien. Weitere Informationen zur Datei posture.yaml und ihren Schlüssel/Wert-Paaren finden Sie unter YAML-Datei für den Sicherheitsstatus.

Statusdatei aus einer vordefinierten Posture-Vorlage erstellen

Sie können eine vordefinierte Posture-Vorlage verwenden, um eine Posture-Datei zu erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Statusverwaltung auf.

    Zu Statusverwaltung

  2. Prüfen Sie, ob die Organisation angezeigt wird, in der Sie die Premium- oder Enterprise-Stufe von Security Command Center aktiviert haben.

  3. Klicken Sie auf dem Tab Vorlagen auf die Vorlage, die Sie verwenden möchten.

  4. Klicken Sie auf der Seite Vorlagendetails auf Status erstellen.

  5. Geben Sie einen eindeutigen Namen für den Status ein und klicken Sie auf Erstellen. Die Seite Statusdetails wird geöffnet.

  6. Führen Sie einen der folgenden Schritte aus:

gcloud

  1. Anhand der vordefinierten Statusvorlagen können Sie ermitteln, welche für Ihre Umgebung gelten. Einige davon lassen sich anwenden, ohne Änderungen vorzunehmen, bei anderen müssen Sie die Richtlinien jedoch an Ihre Umgebung anpassen.

  2. Kopieren Sie die YAML-Dateien mit einer der folgenden Methoden in Ihren eigenen Texteditor:

    • Kopieren Sie die YAML-Datei aus dem Referenzinhalt in vordefinierten Statusvorlagen.

    • Führen Sie den Befehl gcloud scc posture-templates describe aus, um die YAML-Datei zu kopieren.

    gcloud scc posture-templates describe \
organizations/ORGANIZATION_ID/locations/LOCATION/postureTemplates/POSTURE_TEMPLATE \
--revision-id=REVISION_ID

    Ersetzen Sie die folgenden Werte:

    • ORGANIZATION_ID ist die Organisation, in der Sie die Premium- oder Enterprise-Stufe von Security Command Center aktiviert haben.

    • LOCATION ist der Standort, an dem Sie den Sicherheitsstatus bereitstellen und speichern möchten. Der einzige unterstützte Standort ist global.

    • POSTURE_TEMPLATE ist der Vorlagenname des vordefinierten Sicherheitsstatus, wie unter Vordefinierte Statusvorlagen beschrieben.

    • REVISION_ID ist die Überarbeitungsversion für den vordefinierten Sicherheitsstatus. Wenn Sie keine Überarbeitungs-ID angeben, wird die neueste Version des vordefinierten Status angezeigt.

    Führen Sie beispielsweise folgenden Befehl aus, um den vordefinierten Sicherheitsstatus von Essentials in der Organisation 3589215982 anzusehen:

    gcloud scc posture-templates describe
    organizations/3589215982/locations/global/postureTemplates/secure_ai_essential
    --revision-id=v.1.0

  3. Führen Sie einen der folgenden Schritte aus:

    • Wenn Sie den Status verwenden können, ohne Änderungen vorzunehmen (z. B. eine der Vorlagen _essentials), können Sie den Status erstellen. Eine Anleitung finden Sie unter Sicherheitsstatus erstellen.

    • Wenn Sie Richtliniensätze oder Richtlinien ändern müssen, führen Sie die YAML-Datei für den Status ändern aus.

Statusdatei durch Extrahieren von Richtlinien aus einer vorhandenen Umgebung erstellen

Sie können die Richtlinien (Organisationsrichtlinien, einschließlich benutzerdefinierter Richtlinien und alle Security Health Analytics-Detektoren, einschließlich benutzerdefinierter Detektoren) extrahieren, die Sie in einem vorhandenen Projekt, Ordner oder einer vorhandenen Organisation konfiguriert haben, um eine Statusdatei zu erstellen. Sie können keine Richtlinien aus einer Organisation, einem Ordner oder einem Projekt extrahieren, auf die bereits ein Status angewendet wurde.

Mit diesem Befehl werden nur die Richtlinien extrahiert, die Sie zuvor für die Organisation, den Ordner oder das Projekt konfiguriert haben. Es werden keine Richtlinien aus übergeordneten Ordnern oder der Organisation extrahiert.

Wenn Sie Security Command Center Enterprise mit AWS verbunden haben, extrahiert dieser Befehl auch die für AWS spezifischen Detektoren (Vorschau).

  1. Führen Sie den Befehl gcloud scc postures extract aus, um die vorhandenen Organisationsrichtlinien und Security Health Analytics-Detektoren in Ihrer Umgebung zu extrahieren.

    gcloud scc postures extract \
POSTURE_NAME --workload=WORKLOAD

    Ersetzen Sie die folgenden Werte:

    • POSTURE_NAME ist der relative Ressourcenname des Sicherheitsstatus. Beispiel: organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID

      • LOCATION ist global.

      • POSTURE_ID ist ein alphanumerischer Name für den Sicherheitsstatus, der für Ihre Organisation eindeutig ist. POSTURE_ID ist auf 63 Zeichen begrenzt.

    • WORKLOAD ist das Projekt, der Ordner oder die Organisation, aus dem bzw. der Sie die Richtlinien extrahieren. Die Arbeitslast ist eine der folgenden:

      • projects/PROJECT_NUMBER

      • folder/FOLDER_ID

      • organizations/ORGANIZATION_ID

    Wenn Sie beispielsweise Richtlinien aus dem Ordner 3589215982 in der Organisation 6589215984 extrahieren möchten, führen Sie den folgenden Befehl aus:

    gcloud scc postures extract organizations/6589215984/locations/global/postures/myStagingPosture workload=folder/3589215982 > posture.yaml

  2. Öffnen Sie die resultierende posture.yaml-Datei zur Bearbeitung.

  3. Führen Sie einen der folgenden Schritte aus:

    • Wenn Sie den Status verwenden können, ohne Änderungen vorzunehmen (z. B. eine der Vorlagen _essentials), können Sie den Status erstellen. Eine Anleitung finden Sie unter Sicherheitsstatus erstellen.

    • Wenn Sie Richtliniensätze oder Richtlinien ändern müssen, führen Sie die Schritte unter YAML-Datei für den Status ändern aus.

Terraform-Ressource mit Richtliniendefinitionen erstellen

Sie können eine Terraform-Konfiguration erstellen, um eine Statusressource zu erstellen.

Sie können beispielsweise eine Statusressource erstellen, die integrierte und benutzerdefinierte Einschränkungen für Organisationsrichtlinien sowie integrierte und benutzerdefinierte Detektoren für Security Health Analytics enthält. Die Unterstützung für die Statusverwaltung für integrierte AWS-Detektoren von Security Health Analytics befindet sich in der Vorabversion.

resource "google_securityposture_posture" "posture_example" {
  posture_id  = "<POSTURE_ID>"
  parent      = "organizations/<ORGANIZATION_ID>"
  location    = "global"
  state       = "ACTIVE"
  description = "a new posture"
  policy_sets {
    policy_set_id = "org_policy_set"
    description   = "set of org policies"
    policies {
      policy_id = "canned_org_policy"
      constraint {
        org_policy_constraint {
          canned_constraint_id = "storage.uniformBucketLevelAccess"
          policy_rules {
            enforce = true
          }
        }
      }
    }
  }
  policy_sets {
    policy_set_id = "sha_policy_set"
    description   = "set of sha policies"
    policies {
      policy_id = "sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "BIGQUERY_TABLE_CMEK_DISABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable BIGQUERY_TABLE_CMEK_DISABLED"
    }
    policies {
      policy_id = "aws_sha_builtin_module"
      constraint {
        security_health_analytics_module {
          module_name             = "S3_BUCKET_LOGGING_ENABLED"
          module_enablement_state = "ENABLED"
        }
      }
      description = "enable S3_BUCKET_LOGGING_ENABLED"
    }
    policies {
      policy_id = "sha_custom_module"
      constraint {
        security_health_analytics_custom_module {
          display_name = "custom_SHA_policy"
          config {
            predicate {
              expression = "resource.rotationPeriod > duration('2592000s')"
            }
            custom_output {
              properties {
                name = "duration"
                value_expression {
                  expression = "resource.rotationPeriod"
                }
              }
            }
            resource_selector {
              resource_types = ["cloudkms.googleapis.com/CryptoKey"]
            }
            severity       = "LOW"
            description    = "Custom Module"
            recommendation = "Testing custom modules"
          }
          module_enablement_state = "ENABLED"
        }
      }
    }
  }
}

Weitere Informationen finden Sie unter google_securityposture_posture.

YAML-Datei für den Status ändern

Führen Sie die folgenden Schritte aus, um eine Status-YAML-Datei zu ändern:

  1. Öffnen Sie die Status-YAML-Datei in einem Texteditor.

  2. Prüfen Sie name, description und state am Anfang der Datei.

    name: organizations/ORGANIZATION_ID/locations/LOCATION/posture/POSTURE_ID
description: DESCRIPTION
state: STATE

    Eine Beschreibung dieser Schlüssel/Wert-Paare finden Sie in der YAML-Datei für den Sicherheitsstatus.

    Beispiel:

    name: organizations/3589215982/locations/global/posture/stagingAIPosture
description: This posture applies to staging environments for Vertex AI.
state: ACTIVE

  3. Passen Sie die Richtlinien in der Datei an Ihre Anforderungen an:

    1. Überprüfen Sie die bestehenden Richtlinien und ihre Werte. Legen Sie für Richtlinien, die für Ihre Umgebung spezifische Informationen erforderlich sind, entsprechend fest. Fügen Sie beispielsweise für die Richtlinie ainotebooks.accessMode in der Secure AI im erweiterten vordefinierten Status die zulässigen Zugriffsmodi unter policy_rules hinzu:

        - policy_id: Define access mode for Vertex AI Workbench notebooks and instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3(3)
    - standard: NIST SP 800-53
      control: AC-6(1)
    constraint:
      org_policy_constraint:
        canned_constraint_id: ainotebooks.accessMode
        policy_rules:
        - values:
            allowed_values: service-account
    description: This list constraint defines the modes of access allowed to Vertex AI Workbench notebooks and instances where enforced. The allow or deny list can specify multiple users with the service-account mode or single-user access with the single-user mode. The access mode to be allowed or denied must be listed explicitly.

    2. Fügen Sie zusätzliche Einschränkungen für Organisationsrichtlinien hinzu, wie unter Einschränkungen für Organisationsrichtlinien beschrieben. Wenn Sie eine benutzerdefinierte Organisationsrichtlinie definieren, muss die YAML-Datei die Definition der benutzerdefinierten Einschränkung enthalten. Sie können keine benutzerdefinierte Einschränkung verwenden, die Sie mit anderen Methoden erstellt haben, z. B. mit der Google Cloud Console. Beispielsweise können Sie die Einschränkung compute.trustedImageProjects festlegen, um Projekte zu definieren, die zum Speichern von Images und zur Laufwerkinstanziierung verwendet werden können. Wenn Sie dieses Beispiel kopieren, müssen Sie allowed_values durch eine geeignete Liste von Projekten ersetzen:

        - policy_id: Define projects with trusted images.
    compliance_standards:
    - standard:
      control:
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.trustedImageProjects
        policy_rules:
        - values:
            allowed_values:
            - project1
            - project2
            - projectN
    description: This is a complete list of projects from which images can be used.

    3. Fügen Sie zusätzliche Detektoren für Security Health Analytics hinzu, z. B. die unter Ergebnisse von Security Health Analytics dokumentiert. Fügen Sie beispielsweise einen Security Health Analytics-Detektor hinzu, um ein Ergebnis zu erstellen, wenn ein Projekt keinen API-Schlüssel für die Authentifizierung verwendet:

        - policy_id: API Key Exists
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: API_KEY_EXISTS

      Fügen Sie als weiteres Beispiel ein benutzerdefiniertes Security Health Analytics-Modul hinzu, um zu erkennen, ob Vertex AI-Datasets verschlüsselt sind:

        - policy_id: CMEK key is use for Vertex AI DataSet
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-12
    - standard: NIST SP 800-53
      control: SC-13
    constraint:
      security_health_analytics_custom_module:
        display_name: "vertexAIDatasetCMEKDisabled"
        config:
          customOutput: {}
          predicate:
            expression: "!has(resource.encryptionSpec)"
          resource_selector:
            resource_types:
            - aiplatform.googleapis.com/Dataset
          severity: CRITICAL
          description: "When enforced, this detector finds whether a dataset is not encrypted using CMEK."
          recommendation: "Restore the SHA module. See https://cloud.google.com/security-command-center/docs/custom-modules-sha-overview."
        module_enablement_state: ENABLED

      Fügen Sie als weiteres Beispiel für Security Command Center Enterprise einen Detektor für Security Health Analytics hinzu, der für AWS spezifisch ist (Vorschau):

      - policy_set_id: AWS policy set
  description:  Policy set containing AWS built-in SHA modules for securing S3 buckets.
  policies:
  - policy_id: S3 bucket replication enabled
    compliance_standards:
    - standard: NIST 800-53 R5
      control: SI-13(5)
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: S3_BUCKET_REPLICATION_ENABLED
    description: This control checks whether an Amazon S3 bucket has Cross-Region Replication enabled. The control fails if the bucket does not have Cross-Region Replication enabled or if Same-Region Replication is also enabled.

  - policy_id: S3 bucket logging enabled
    compliance_standards:
    - standard: NIST 800-53 R5
      control: SI-7(8)
    - standard: PCI DSS 3.2.1
      control: 10.3.1
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: S3_BUCKET_LOGGING_ENABLED
    description: AWS S3 Server Access Logging feature records access requests to storage buckets which is useful for security audits. By default, server access logging is not enabled for S3 buckets.

      Wenn Sie einen AWS-spezifischen Detektor hinzufügen, müssen Sie den Sicherheitsstatus auf Organisationsebene bereitstellen.

  4. Laden Sie Ihre Statusdatei in ein versionsgesteuertes Quell-Repository hoch, damit Sie die daran vorgenommenen Änderungen im Zeitverlauf verfolgen können.

Status erstellen

Führen Sie diese Aufgabe aus, um in Security Command Center eine Statusressource zu erstellen, die Sie bereitstellen können. Wenn Sie über die Google Cloud Console einen Status aus einer vordefinierten Statusvorlage erstellt haben, wird die Statusressource automatisch für Sie erstellt.

gcloud

  1. Führen Sie den Befehl gcloud scc postures create aus, um mithilfe der Datei posture.yaml einen Status zu erstellen.

    gcloud scc postures create \
POSTURE_NAME --posture-from-file=POSTURE_FROM_FILE

    Ersetzen Sie die folgenden Werte:

    • POSTURE_NAME ist der relative Ressourcenname des Sicherheitsstatus. Beispiel: organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID

      • LOCATION ist global.

      • POSTURE_ID ist ein alphanumerischer Name für den Sicherheitsstatus, der für Ihre Organisation eindeutig ist. POSTURE_ID ist auf 63 Zeichen begrenzt.

    • POSTURE_FROM_FILE ist der relative oder absolute Pfad zur Datei posture.yaml.

    Führen Sie beispielsweise folgenden Befehl aus, um einen Status mit der ID posture-example-1 unter der Organisation organizations/3589215982 zu erstellen:

    gcloud scc postures create organizations/3589215982/locations/global/postures/posture-example-1 --posture-from-file=posture.yaml

    Wenn das Erstellen des Status fehlschlägt, löschen Sie den Sicherheitsstatus, beheben Sie den Fehler und versuchen Sie es noch einmal.

  2. Informationen dazu, ob der Status erfolgreich erstellt wurde, finden Sie unter Status ansehen.

Um diesen Sicherheitsstatus auf Ihre Umgebung anzuwenden, müssen Sie den Status bereitstellen.

Terraform

Wenn Sie für die Statusressource eine Terraform-Konfiguration erstellt haben, müssen Sie sie mithilfe der Infrastruktur-als-Code-Pipeline bereitstellen.

Weitere Informationen finden Sie unter Terraform in Google Cloud.

Sicherheitsstatus bereitstellen

Nachdem Sie einen Status erstellt haben, stellen Sie ihn in einem Projekt, Ordner oder einer Organisation bereit, damit Sie die Richtlinien und ihre Definitionen auf bestimmte Ressourcen in Ihrer Organisation anwenden und die Abweichung überwachen können. Sie können nur einen Status in einem Projekt, einem Ordner oder einer Organisation bereitstellen.

Prüfen Sie, ob der Status des Status ACTIVE lautet.

Beim Bereitstellen des Sicherheitsstatus werden die folgenden Aktionen ausgeführt:

  • Die Definitionen für Organisationsrichtlinien und Security Health Analytics-Detektoren werden angewendet.

  • Die benutzerdefinierte Einschränkung für benutzerdefinierte Organisationsrichtlinien wird mit einer Einschränkungs-ID erstellt, um die Statusversions-ID als Suffix der Einschränkungs-ID hinzuzufügen, die Sie im Sicherheitsstatus definiert haben.

  • Der Standardstatus für die benutzerdefinierten Module ist Aktiviert.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Statusverwaltung auf.

    Zu Statusverwaltung

  2. Prüfen Sie, ob die Organisation angezeigt wird, in der Sie die Premium- oder Enterprise-Stufe von Security Command Center aktiviert haben.

  3. Klicken Sie auf dem Tab Status auf den Status, den Sie bereitstellen möchten.

  4. Wählen Sie auf der Seite Statusdetails die Überarbeitung des Sicherheitsstatus aus, den Sie bereitstellen möchten.

  5. Klicken Sie auf Auf Knoten bereitstellen.

  6. Wählen Sie die Organisation, den Ordner oder das Projekt aus, für das Sie den Sicherheitsstatus bereitstellen möchten. Wenn Ihr Status einen AWS-spezifischen Detektor enthält, müssen Sie diesen auf Organisationsebene bereitstellen (Vorschau).

  7. Klicken Sie auf Auswählen.

  8. Wiederholen Sie die Schritte 5 bis 7 für alle Organisationen, Ordner oder Projekte, auf die Sie den Sicherheitsstatus anwenden möchten.

gcloud

Führen Sie den Befehl gcloud scc posture-deployments create aus, um einen Status in einem Projekt, einem Ordner oder einer Organisation bereitzustellen.

gcloud scc posture-deployments create \
POSTURE_DEPLOYMENT_NAME  --posture-name=POSTURE_NAME \
--posture-revision-id=POSTURE_REVISION_ID \
--target-resource=TARGET_RESOURCE

Ersetzen Sie die folgenden Werte:

  • POSTURE_DEPLOYMENT_NAME ist der relative Ressourcenname für die Statusbereitstellung. Das Format ist organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • LOCATION ist global.

    • POSTURE_DEPLOYMENT_ID ist ein eindeutiger Name für die Statusbereitstellung. POSTURE_DEPLOYMENT_ID ist auf 63 Zeichen begrenzt.

  • --posture-name=POSTURE_NAME ist der Name des Sicherheitsstatus, den Sie bereitstellen. Das Format ist organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID.

    • LOCATION ist global.

    • POSTURE_ID ist ein alphanumerischer Name für den Sicherheitsstatus, der für Ihre Organisation eindeutig ist.

  • --posture-revision-id=POSTURE_REVISION_ID ist die Statusüberarbeitung, die Sie bereitstellen möchten. Sie finden ihn in der Antwort, die Sie erhalten, wenn Sie den Status erstellen oder den Status ansehen.

  • --target-resource=TARGET_RESOURCE ist der Name der Organisation, des Ordners oder des Projekts, für die Sie den Status bereitstellen möchten. Sie können eines der folgenden Formate verwenden:

    • organizations/ORGANIZATION_ID
    • folders/FOLDER_ID
    • projects/PROJECT_NUMBER

    Wenn Ihr Status einen AWS-spezifischen Detektor enthält, müssen Sie diesen auf Organisationsebene bereitstellen (Vorschau).

Führen Sie beispielsweise den folgenden Befehl aus, um einen Sicherheitsstatus bereitzustellen:

gcloud scc posture-deployments create
organizations/3589215982/locations/global/postureDeployments/postureDeployment123
--posture-name=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version1 --target-resource=projects/4589215982

Während der Befehl ausgeführt wird, können Sie Statusinformationen aufrufen. Wenn das Deployment des Sicherheitsstatus fehlschlägt, löschen Sie die Bereitstellung, beheben Sie den Fehler und versuchen Sie es noch einmal.

Terraform

Sie können eine Terraform-Ressource erstellen, um einen Sicherheitsstatus bereitzustellen.

  resource "google_securityposture_posture_deployment" "posture_deployment_example" {
    posture_deployment_id          = "<POSTURE_DEPLOYMENT_ID>"
    parent = "organizations/<ORGANIZATION_ID>"
    location = "global"
    description = "a new posture deployment"
    target_resource = "<TARGET_RESOURCE>"
    posture_id = "<POSTURE_NAME>"
    posture_revision_id = "<POSTURE_REVISION_ID>"
  }

Weitere Informationen finden Sie unter google_securityposture_posture_deployment.

Nachdem Sie die Terraform-Ressource erstellt haben, stellen Sie sie mithilfe Ihrer Infrastruktur-als-Code-Pipeline bereit.

Informationen zum Sicherheitsstatus und -status aufrufen

Sie können Informationen zum Status und Status aufrufen, um beispielsweise die folgenden zu sehen:

  • Welche Sicherheitsstatus und wo in der Ressourcenhierarchie (Organisationen, Projekte und Ordner) sie bereitgestellt werden

  • Überarbeitungen und Status der Sicherheitsstatus

  • Die operativen Details einer Statusbereitstellung

Status ansehen

Sie können Informationen zu einem Status aufrufen, z. B. seine Status- und Richtliniendefinitionen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Statusverwaltung auf.

    Zu Statusverwaltung

  2. Wählen Sie die Organisation aus, in der Sie die Premium- oder Enterprise-Stufe von Security Command Center aktiviert haben.

  3. Klicken Sie auf dem Tab Status auf den Posture, den Sie ansehen möchten. Die Statusdetails werden angezeigt.

gcloud

Führen Sie den Befehl gcloud scc postures describe aus, um einen von Ihnen erstellten Status aufzurufen.

gcloud scc postures describe POSTURE_NAME \
--revision-id=REVISION_ID

Ersetzen Sie die folgenden Werte:

  • POSTURE_NAME ist der relative Ressourcenname des Sicherheitsstatus. Beispiel: organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID

    • LOCATION ist global.

    • POSTURE_ID ist ein alphanumerischer Name für den Sicherheitsstatus, der für Ihre Organisation eindeutig ist.

  • revision-id=REVISION_ID ist ein optionales Flag, das angibt, welche Version des Sicherheitsstatus aufgerufen werden soll. Ohne dieses Flag wird die neueste Version zurückgegeben.

Führen Sie beispielsweise folgenden Befehl aus, um einen Status mit dem Namen organizations/3589215982/locations/global/postures/posture-example-1 und der Überarbeitungs-ID abcdefgh aufzurufen:

gcloud scc postures describe \
organizations/3589215982/locations/global/postures/posture-example-1
--revision-id=abcdefgh

Informationen zu einem Statusbereitstellungsvorgang ansehen

Führen Sie den Befehl gcloud scc posture-operations describe aus, um die Vorgangsdetails für eine Statusbereitstellung aufzurufen.

gcloud scc posture-operations describe OPERATION_NAME

Dabei ist OPERATION_NAME der relative Ressourcenname für den Vorgang. Das Format ist organizations/ORGANIZATION_ID/LOCATION/global/operations/OPERATION_ID. LOCATION ist der Standort, an dem Sie die Statusbereitstellung bereitgestellt haben. Sie können das OPERATION_ID mit dem Argument --async abrufen, wenn Sie den Posture-Befehl ausführen.

Wenn Sie beispielsweise einen Scanvorgang mit dem Namen organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae aufrufen möchten, führen Sie den folgenden Befehl aus:

gcloud scc posture-operations describe
organizations/3589215982/locations/global/operations/operation-1694515698847-605272e4bcd7c-f93dade6-067467ae

Informationen zu einer Statusbereitstellung ansehen

Sie können sehen, wo ein Status bereitgestellt wird, und den Bereitstellungsstatus sehen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Statusverwaltung auf.

    Zu Statusverwaltung

  2. Prüfen Sie, ob die Organisation angezeigt wird, in der Sie die Premium- oder Enterprise-Stufe von Security Command Center aktiviert haben.

  3. Klicken Sie auf dem Tab Status auf den Status, den Sie bereitgestellt haben.

  4. Klicken Sie auf den Tab Deployments. Sie können die Projekte, Ordner und die Organisation, für die der Sicherheitsstatus bereitgestellt wird, sowie den Bereitstellungsstatus anzeigen lassen.

gcloud

Führen Sie den Befehl gcloud scc posture-deployments describe aus, um Informationen zu einem bereitgestellten Status aufzurufen.

gcloud scc posture-deployments describe
POSTURE_DEPLOYMENT_NAME

Dabei ist POSTURE_DEPLOYMENT_NAME der relative Ressourcenname für die Statusbereitstellung. Das Format ist organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION ist global.

  • POSTURE_DEPLOYMENT_ID ist ein eindeutiger Name für die Statusbereitstellung.

Führen Sie beispielsweise folgenden Befehl aus, um die Details für eine Statusbereitstellung mit dem Namen organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1 anzusehen:

gcloud scc posture-deployments describe \
organizations/3589215982/locations/global/postureDeployments/Posture-deployment-example-1

Bereitstellung von Status und Status aktualisieren

Sie können Folgendes aktualisieren:

  • Der Status des Sicherheitsstatus.

  • Die Richtliniendefinitionen in einem Status.

  • Die Organisation, Ordner oder Projekte, für die ein Status bereitgestellt wird.

Richtliniendefinitionen in einem Sicherheitsstatus aktualisieren

Möglicherweise müssen Sie einen Status aktualisieren, wenn Sie weitere Google Cloud-Dienste aktivieren, zusätzliche Ressourcen bereitstellen oder zusätzliche Richtlinien benötigen, um neue oder sich ändernde Complianceanforderungen zu erfüllen. Wenn Sie eine bereitgestellte Statusüberarbeitung aktualisieren, wird mit dieser Aufgabe eine neue Statusüberarbeitung erstellt. Andernfalls wird die Statusüberarbeitung aktualisiert, die Sie beim Ausführen des Aktualisierungsbefehls angeben.

  1. Öffnen Sie eine YAML-Datei in einem Texteditor. Fügen Sie die Felder, die Sie aktualisieren möchten, samt ihren Werten hinzu. Achten Sie beim Aktualisieren von Richtliniensätzen darauf, dass die Datei alle Richtliniensätze enthält, die Sie in den Sicherheitsstatus aufnehmen möchten, einschließlich der bereits vorhandenen Richtliniensätze. Eine Anleitung dazu finden Sie unter YAML-Datei für den Status ändern.

  2. Führen Sie den Befehl gcloud scc postures update aus, um den Sicherheitsstatus zu aktualisieren.

    gcloud scc postures update POSTURE_NAME \
--posture-from-file=POSTURE_FROM_FILE \
--revision-id=POSTURE_REVISION_ID --update-mask=UPDATE_MASK

    Ersetzen Sie die folgenden Werte:

    • POSTURE_NAME ist der relative Ressourcenname des Sicherheitsstatus. Beispiel: organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID

      • LOCATION ist global.

      • POSTURE_ID ist ein alphanumerischer Name für den Sicherheitsstatus, der für Ihre Organisation eindeutig ist.

    • POSTURE_FROM_FILE ist der relative oder absolute Pfad zu der Datei posture.yaml, die Ihre Änderungen enthält.

    • --revision-id=REVISION_ID ist die Statusüberarbeitung, die Sie bereitstellen möchten. Wenn der Sicherheitsstatus derzeit bereitgestellt wird, erstellt der Dienst für den Sicherheitsstatus automatisch eine neue Version des Sicherheitsstatus mit einer anderen Versions-ID und fügt die Versions-ID in die Ausgabe ein.

    • --update-mask=UPDATE_MASK ist die durch Kommas getrennte Liste der Felder, die Sie aktualisieren möchten. Dieses Argument ist optional. Sie können für UPDATE_MASK einen der folgenden Werte festlegen:

      • * oder nicht angegeben: Die Änderungen, die Sie an den Richtliniensätzen und der Statusbeschreibung vorgenommen haben, werden angewendet.
      • policy_sets: Die vorgenommenen Änderungen werden nur an den Richtliniensätzen angewendet.
      • description: Die Änderungen, die Sie an der Statusbeschreibung vorgenommen haben, werden nur übernommen.
      • policy_sets, description: Wenden Sie die Änderungen an, die Sie an den Richtliniensätzen und der Statusbeschreibung vorgenommen haben.
      • state: Nur die Statusänderung wird angewendet.

    Wenn Sie beispielsweise einen Status mit dem Namen posture-example-1 in der Organisation organizations/3589215982/locations/global und der Überarbeitungs-ID auf abcd1234 aktualisieren möchten, führen Sie den folgenden Befehl aus:

    gcloud scc postures update organizations/3589215982/locations/global/posture-example-1 --posture-from-file=posture.yaml --revision-id=abcd1234 --update-mask=policy_sets

    Wenn das Update des Status fehlschlägt, beheben Sie den Fehler und versuchen Sie es noch einmal.

  3. Informationen dazu, ob der Status erfolgreich aktualisiert wurde, finden Sie unter Status ansehen.

Status eines Sicherheitsstatus ändern

Der Status eines Status bestimmt, ob er für die Bereitstellung in einem Projekt, einem Ordner oder einer Organisation verfügbar ist.

Ein Sicherheitsstatus kann folgende Status haben:

  • DRAFT: Die Statusüberarbeitung ist nicht zur Bereitstellung bereit. Sie können keine Statusüberarbeitung mit dem Status DRAFT bereitstellen.

  • ACTIVE: Die Statusüberarbeitung ist für die Bereitstellung verfügbar. Sie können den Status von ACTIVE in DRAFT oder DEPRECATED. ändern.

  • DEPRECATED: Eine DEPRECATED-Statusüberarbeitung kann nicht für eine Ressource bereitgestellt werden. Sie müssen alle vorhandenen Statusbereitstellungen des Sicherheitsstatus löschen, bevor Sie eine Statusüberarbeitung verwerfen können. Wenn Sie eine verworfene Überarbeitung des Sicherheitsstatus noch einmal bereitstellen möchten, müssen Sie deren Status in ACTIVE ändern.

Führen Sie den Befehl gcloud scc postures update aus, um den Status eines Sicherheitsstatus zu ändern. Sie können den Status nicht gleichzeitig mit anderen Feldern aktualisieren. Eine Anleitung zum Ausführen des Befehls gcloud scc postures update finden Sie unter Status-YAML-Datei ändern.

Statusbereitstellung aktualisieren

Aktualisieren Sie eine Statusbereitstellung in einem Projekt, Ordner oder einer Organisation, um einen neuen Status bereitzustellen oder eine neue Überarbeitung eines Status bereitzustellen.

Wenn die Statusüberarbeitung, die Sie aktualisieren, eine benutzerdefinierte Organisationseinschränkung enthält, die über die Google Cloud Console gelöscht wurde, können Sie die Statusbereitstellung nicht mit derselben Status-ID aktualisieren. Der Organisationsrichtliniendienst verhindert das Erstellen benutzerdefinierter Organisationseinschränkungen mit demselben Namen. Stattdessen müssen Sie eine neue Version des Sicherheitsstatus erstellen oder eine andere Status-ID verwenden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Statusverwaltung auf.

    Zu Statusverwaltung

  2. Prüfen Sie, ob die Organisation angezeigt wird, in der Sie die Premium- oder Enterprise-Stufe von Security Command Center aktiviert haben.

  3. Klicken Sie auf dem Tab Status auf den Status, den Sie aktualisiert haben.

  4. Wählen Sie auf der Seite Statusdetails die Überarbeitung des aktualisierten Status aus.

  5. Klicken Sie auf Auf Knoten bereitstellen.

  6. Wählen Sie die Organisation, den Ordner oder das Projekt aus, für das Sie den Sicherheitsstatus bereitstellen möchten. Wenn eine Meldung angezeigt wird, dass die Bereitstellung bereits vorhanden ist, löschen Sie die Bereitstellung, bevor Sie es noch einmal versuchen. Wenn Ihr Sicherheitsstatus einen AWS-spezifischen Detektor enthält, müssen Sie diesen auf Organisationsebene bereitstellen (Vorschau).

  7. Klicken Sie auf Auswählen.

gcloud

Führen Sie den Befehl gcloud scc posture-deployments update aus, um einen Sicherheitsstatus bereitzustellen.

gcloud scc posture-deployments update \
POSTURE_DEPLOYMENT_NAME --description=DESCRIPTION \
--update-mask=UPDATE_MASK --posture-id=POSTURE_ID \
--posture-revision-id=POSTURE_REVISION_ID

Ersetzen Sie die folgenden Werte:

  • POSTURE_DEPLOYMENT_NAME ist der relative Ressourcenname für die Statusbereitstellung. Das Format ist organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

    • LOCATION ist global.

    • POSTURE_DEPLOYMENT_ID ist ein eindeutiger Name für die Statusbereitstellung.

  • --description=DESCRIPTION ist die optionale Beschreibung für den bereitgestellten Status.

  • --posture-id=POSTURE_ID ist der Name des Status, der für Ihre Organisation eindeutig ist. Das Format dafür lautet organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_NAME.

  • --posture-revision-id=POSTURE_REVISION_ID ist die Statusüberarbeitung, die Sie bereitstellen möchten. Sie finden ihn in der Antwort, die Sie erhalten, wenn Sie den Status erstellen oder den Posture aufrufen.

  • --update-mask=UPDATE_MASK ist die durch Kommas getrennte Liste der Felder, die Sie aktualisieren möchten. Dieses Argument ist optional.

So aktualisieren Sie beispielsweise eine Statusbereitstellung anhand der folgenden Kriterien:

  • Organisation: organizations/3589215982/locations/global
  • Bereitstellungs-ID des Sicherheitsstatus: postureDeploymentexample
  • Status-ID: StagingAIPosture
  • Version: version2

Führen Sie dazu diesen Befehl aus:

gcloud scc posture-deployments update
organizations/3589215982/locations/global/postureDeployments/postureDeploymentexample
--posture-id=organizations/3589215982/locations/global/postures/StagingAIPosture
--posture-revision-id=version2

Während der Befehl ausgeführt wird, können Sie Statusinformationen aufrufen. Wenn die Aktualisierung des Sicherheitsstatus fehlschlägt, löschen Sie die Bereitstellung, beheben Sie den Fehler und versuchen Sie es noch einmal.

Sicherheitsstatusabweichungen überwachen

Sie können einen bereitgestellten Sicherheitsstatus im Sicherheitsstatus auf Abweichungen von Ihren definierten Richtlinien überwachen. Ein Drift ist eine Änderung einer Richtlinie, die außerhalb eines Sicherheitsstatus erfolgt. Eine Abweichung tritt beispielsweise auf, wenn ein Administrator eine Richtliniendefinition in der Console ändert, anstatt die Statusbereitstellung zu aktualisieren.

Der Dienst für den Sicherheitsstatus erstellt Ergebnisse, die Sie in der Google Cloud Console oder in der gcloud CLI aufrufen können, wenn eine Abweichung auftritt.

Console

Wenn Sie einen Sicherheitsstatus erstellt haben, der für Vertex AI-Arbeitslasten gilt, können Sie die Abweichung auf zwei Arten überwachen: über die Seite Ergebnisse und über die Seite Übersicht. Bei allen anderen Status können Sie auf der Seite Ergebnisse die Abweichung überwachen.

So überwachen Sie auf der Seite Ergebnisse die Abweichungen:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse auf.

    Zu Ergebnissen

  2. Prüfen Sie, ob die Organisation angezeigt wird, in der Sie die Premium- oder Enterprise-Stufe von Security Command Center aktiviert haben.

  3. Wählen Sie im Bereich Schnellfilter das Ergebnis Statusverstoß aus. Sie können auch den folgenden Filter in der Abfragevorschau eingeben:

    state="ACTIVE" AND NOT mute="MUTED" AND finding_class="POSTURE_VIOLATION"

  4. Klicken Sie auf ein Ergebnis, um die Details aufzurufen.

So überwachen Sie auf der Seite Übersicht (nur Vertex AI-Arbeitslasten):

  1. Rufen Sie in der Google Cloud Console die Seite Übersicht auf.

    Zur Übersicht

  2. Prüfen Sie, ob die Organisation angezeigt wird, in der Sie die Premium- oder Enterprise-Stufe von Security Command Center aktiviert haben.

  3. Sehen Sie sich den Bereich KI-Arbeitslastergebnisse an.

    • Auf dem Tab Vulnerabilities (Sicherheitslücken) werden alle Sicherheitslücken in benutzerdefinierten Security Health Analytics-Modulen angezeigt, die speziell für Vertex AI-Arbeitslasten gelten.
    • Auf dem Tab Richtlinienabweichung wird jede Abweichung in Bezug auf die Vertex AI-Organisationsrichtlinien angezeigt, die Sie in einem Sicherheitsstatus angewendet haben.

  4. Klicken Sie auf ein Ergebnis, um die Details aufzurufen.

gcloud

Führen Sie in der gcloud CLI folgenden Befehl aus, um Abweichungsergebnisse anzusehen:

gcloud scc findings list ORGANIZATION_ID \
--filter="category=\"SECURITY_POSTURE_DRIFT\""

Dabei ist ORGANIZATION_ID die ID der Organisation.

Weitere Informationen zum Beheben dieser Ergebnisse finden Sie unter Ergebnisse des Security Posture-Dienstes. Sie können diese Ergebnisse auf dieselbe Weise exportieren wie alle anderen Ergebnisse aus Security Command Center. Weitere Informationen finden Sie unter Integrationsoptionen und Security Command Center-Daten exportieren.

Wenn Sie ein Abweichungsergebnis deaktivieren möchten, können Sie die Bereitstellung des Sicherheitsstatus mit derselben Status-ID und Statusüberarbeitung aktualisieren.

Abweichungsergebnis zu Testzwecken generieren

Nachdem Sie einen Sicherheitsstatus bereitgestellt haben, können Sie die Abweichung von Ihren Richtlinien überwachen. Führen Sie die folgenden Schritte aus, um die Abweichungsergebnisse in einer Testumgebung in Aktion zu sehen:

  1. Rufen Sie in der Console die Seite Organisationsrichtlinie auf.

    Zur Organisationsrichtlinie

  2. Bearbeiten Sie eine der Richtlinien, die Sie im bereitgestellten Status definiert haben. Wenn Sie beispielsweise einen vordefinierten sicheren KI-Status verwenden, können Sie die Richtlinie Zugriff auf öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und -Instanzen einschränken bearbeiten.

  3. Nachdem Sie die Richtlinie geändert haben, klicken Sie auf Richtlinie festlegen.

  4. Rufen Sie die Seite Ergebnisse auf.

    Zu Ergebnissen

  5. Wählen Sie im Bereich Schnellfilter im Abschnitt Anzeigename der Quelle die Option Sicherheitsstatus aus. Ein Ergebnis zu Ihrer Änderung sollte innerhalb von fünf Minuten angezeigt werden.

  6. Klicken Sie auf ein Ergebnis, um die Details aufzurufen.

Statusbereitstellung löschen

Sie können eine Statusbereitstellung löschen, wenn sie nicht ordnungsgemäß bereitgestellt wurde, Sie keinen bestimmten Status mehr benötigen oder ein bestimmter Status einem Projekt, Ordner oder einer Organisation nicht mehr zugewiesen sein soll. Zum Löschen einer Statusbereitstellung muss diese einen der folgenden Status haben:

  • ACTIVE
  • CREATE_FAILED
  • UPDATE_FAILED
  • DELETE_FAILED

Informationen zum Prüfen des Status einer Statusbereitstellung finden Sie unter Informationen zu einer Statusbereitstellung ansehen.

Wenn Sie eine Statusbereitstellung löschen, entfernen Sie den Status aus der Ressource (Ihrer Organisation, Ihrem Ordner oder Projekt), der Sie ihn zugewiesen haben.

Die Ausgabe für verschiedene Richtlinientypen lautet:

  • Wenn Sie eine Statusbereitstellung löschen, die benutzerdefinierte Organisationsrichtlinien enthält, werden die benutzerdefinierten Organisationsrichtlinien gelöscht. Die benutzerdefinierte Einschränkung bleibt jedoch bestehen.

  • Wenn Sie eine Statusbereitstellung löschen, die integrierte Detektoren von Security Health Analytics enthält, hängt der endgültige Status der Module von Security Health Analytics von der Organisation, dem Ordner oder dem Projekt ab, in der bzw. dem sich die Bereitstellung befand.

    • Wenn Sie einen Status für einen Ordner oder ein Projekt bereitgestellt haben, übernehmen integrierte Detektoren von Security Health Analytics ihren Status von der übergeordneten Organisation oder dem übergeordneten Ordner.
    • Wenn Sie einen Sicherheitsstatus auf Organisationsebene bereitgestellt haben, werden die integrierten Detektoren von Security Health Analytics auf den Standardzustand zurückgesetzt. Eine Beschreibung der Standardzustände finden Sie unter Detektoren aktivieren und deaktivieren.

Führen Sie den Befehl gcloud scc posture-deployments delete aus, um eine Statusbereitstellung zu löschen.

gcloud scc posture-deployments delete
POSTURE_DEPLOYMENT_NAME

POSTURE_DEPLOYMENT_NAME ist der relative Ressourcenname für die Statusbereitstellung. Das Format ist organizations/ORGANIZATION_ID/locations/LOCATION/postureDeployments/POSTURE_DEPLOYMENT_ID.

  • LOCATION ist global.

  • POSTURE_DEPLOYMENT_ID ist der eindeutige Name für die Statusbereitstellung.

Wenn Sie beispielsweise eine Statusbereitstellung mit dem Namen organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1 löschen möchten, führen Sie den folgenden Befehl aus:

gcloud scc posture-deployments delete \
organizations/3589215982/locations/global/postureDeployments/posture-deployment-example-1

Status löschen

Wenn Sie einen Status löschen, werden auch alle Überarbeitungen gelöscht. Bereitgestellte Sicherheitsstatus können nicht gelöscht werden. Sie müssen die Bereitstellung des Sicherheitsstatus löschen, bevor Sie diese Aufgabe ausführen können.

Führen Sie den Befehl gcloud scc postures delete aus, um einen Status zu löschen.

gcloud scc postures delete POSTURE_NAME

POSTURE_NAME ist der relative Ressourcenname des Sicherheitsstatus. Beispiel: organizations/ORGANIZATION_ID/locations/LOCATION/postures/POSTURE_ID Die Status-ID ist ein alphanumerischer Name für Ihren Status, der für Ihre Organisation eindeutig ist. LOCATION ist global.

Wenn Sie beispielsweise einen Status mit dem Namen organizations/3589215982/locations/global/postures/posture-example-1 löschen möchten, führen Sie folgenden Befehl aus:

gcloud scc postures delete \
organizations/3589215982/locations/global/postures/posture-example-1

Nächste Schritte