Creare un report di convalida IaC di esempio

Questo tutorial descrive come verificare che l'infrastruttura come codice (IaC) non violi le norme dell'organizzazione o i rilevatori di Security Health Analytics.


  • Crea una strategia di sicurezza.
  • Esegui il deployment della postura in un progetto.
  • Controlla la presenza di violazioni in un file Terraform di esempio.
  • Correggi le violazioni nel file Terraform e controlla di nuovo il file per verificare la correzione.

Prima di iniziare

Configurare le autorizzazioni

  1. Make sure that you have the following role or roles on the organization: Project Creator and Security Posture Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

    2. Select the organization.
    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

    2. Seleziona l'organizzazione.
    3. Fai clic su Concedi accesso.
    4. Nel campo Nuovi principali, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

    5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
    7. Fai clic su Salva.

Configura Cloud Shell

  1. In the Google Cloud console, activate Cloud Shell.

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Trova l'ID della tua organizzazione:
    gcloud organizations list

Prepara l'ambiente

  12. Copia il numero del progetto. Ti servirà il numero di progetto per impostare la risorsa di destinazione durante il deployment della postura.
    gcloud projects describe PROJECT_ID
  13. Inizializza Terraform:
    terraform init

Crea ed esegui il deployment di una postura

  1. In Cloud Shell, avvia Cloud Shell Editor. Per avviare l'editor, fai clic su Pulsante Editor di codice Apri editor nella barra degli strumenti della finestra di Cloud Shell.

  2. Crea un file YAML denominato example-standard.yaml.

  3. Incolla il seguente codice nel file:

name: organizations/ORGANIZATION_ID/locations/global/postures/example-standard
state: ACTIVE
- policies:
  - constraint:
          actionType: ALLOW
          condition: "resource.initialNodeCount == 3"
          description: Set initial node count to be exactly 3.
          displayName: fixedNodeCount
          - CREATE
          name: organizations/ORGANIZATION_ID/customConstraints/custom.fixedNodeCount
        - enforce: true
    policyId: fixedNodeCount
  - constraint:
          customOutput: {}
          description: Set MTU for a network to be exactly 1000.
            expression: "!(resource.mtu == 1000)"
          recommendation: Only create networks whose MTU is 1000.
          severity: HIGH
        displayName: fixedMTU
        moduleEnablementState: ENABLED
    policyId: fixedMTU
  - constraint:
        moduleEnablementState: ENABLED
    policyId: bucket_policy_only_disabled
  - constraint:
        moduleEnablementState: ENABLED
    policyId: bucket_logging_disabled
  policySetId: policySet1

Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

  1. In Cloud Shell, crea la postura:

    gcloud scc postures create organizations/ORGANIZATION_ID/locations/global/postures/example-standard --posture-from-file=example-standard.yaml
  2. Copia l'ID revisione della postura generato dal comando.

  3. Esegui il deployment della postura nel progetto:

    gcloud scc posture-deployments create organizations/ORGANIZATION_ID/locations/global/postureDeployments/example-standard \
    --posture-name=organizations/ORGANIZATION_ID/locations/global/postures/example-standard \
    --posture-revision-id="POSTURE_REVISION_ID" \

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'ID della tua organizzazione.
    • POSTURE REVISION_ID: l'ID revisione della postura che hai copiato.
    • PROJECT_NUMBER: il numero del progetto.

Crea il file Terraform e convalidalo

  1. In Cloud Shell, avvia Cloud Shell Editor.

  2. Crea un file Terraform denominato

  3. Incolla il seguente codice nel file:

    terraform {
      required_providers {
        google = {
          source  = "hashicorp/google"
    provider "google" {
      region  = "us-central1"
      zone    = "us-central1-c"
    resource "google_compute_network" "example_network"{
      name                            = "example-network-1"
      delete_default_routes_on_create = false
      auto_create_subnetworks         = false
      routing_mode                    = "REGIONAL"
      mtu                             = 100
      project                         = "PROJECT_ID"
    resource "google_container_node_pool" "example_node_pool" {
      name               = "example-node-pool-1"
      cluster            = "example-cluster-1"
      project            = "PROJECT_ID"
      initial_node_count = 2
      node_config {
        preemptible  = true
        machine_type = "e2-medium"
    resource "google_storage_bucket" "example_bucket" {
      name          = "example-bucket-1"
      location      = "EU"
      force_destroy = true
      project = "PROJECT_ID"
      uniform_bucket_level_access = false

    Sostituisci PROJECT_ID con l'ID del progetto che hai creato.

  4. In Cloud Shell, crea il file del piano Terraform e convertilo in formato JSON:

    terraform plan -out main.plan
    terraform show -json main.plan > mainplan.json
  5. Crea il report di convalida IaC per mainplan.json:

    gcloud scc iac-validation-reports create organizations/ORGANIZATION_ID/locations/global --tf-plan-file=mainplan.json

    Questo comando restituisce un report di convalida IaC che descrive le seguenti violazioni:

    • Il valore mtu per example_network non è 1000.
    • Il valore initial_node_count per example_node_pool non è 3.
    • Per example_bucket non è stato attivato l'accesso uniforme a livello di bucket.
    • Il example_bucket non ha il logging abilitato.

Risolvere le violazioni

  1. In Cloud Shell, avvia Cloud Shell Editor.

  2. Aggiorna il file apportando le seguenti modifiche:

    terraform {
      required_providers {
        google = {
          source  = "hashicorp/google"
    provider "google" {
      region  = "us-central1"
      zone    = "us-central1-c"
    resource "google_compute_network" "example_network"{
      name                            = "example-network-1"
      delete_default_routes_on_create = false
      auto_create_subnetworks         = false
      routing_mode                    = "REGIONAL"
      mtu                             = 1000
      project                         = "PROJECT_ID"
    resource "google_container_node_pool" "example_node_pool" {
      name               = "example-node-pool-1"
      cluster            = "example-cluster-1"
      project            = "PROJECT_ID"
      initial_node_count = 3
      node_config {
        preemptible  = true
        machine_type = "e2-medium"
    resource "google_storage_bucket" "example_bucket" {
      name          = "example-bucket-1"
      location      = "EU"
      force_destroy = true
      project = "PROJECT_ID"
      uniform_bucket_level_access = true
      logging {
        log_bucket   = "my-unique-logging-bucket" // Create a separate bucket for logs
        log_object_prefix = "tf-logs/"             // Optional prefix for better structure

    Sostituisci PROJECT_ID con l'ID del progetto che hai creato.

  3. In Cloud Shell, crea il file del piano Terraform e convertilo in formato JSON:

    terraform plan -out main.plan
    terraform show -json main.plan > mainplan.json
  4. Ricrea il report di convalida IaC per mainplan.json:

    gcloud scc iac-validation-reports create organizations/ORGANIZATION_ID/locations/global --tf-plan-file=mainplan.json

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Elimina il progetto

    Delete a Google Cloud project:

    gcloud projects delete PROJECT_ID

Passaggi successivi