根据 Google Cloud 组织的政策验证 IaC

本文档介绍了如何根据您在 Google Cloud 组织中定义的组织政策Security Health Analytics 检测器来验证基础架构即代码 (IaC)。借助 IaC,您可以使用 Terraform 等语言创建和管理云资源,以便使用开发工作流部署资源。IaC 验证功能仅支持组织政策和 Security Health Analytics 检测器。

通过验证 IaC,您可以确定新建或修改的资源定义是否违反了应用于 Google Cloud 资源(例如集群、存储桶或实例)的现有政策。您可以使用安全状况定义这些政策,但 IaC 验证功能会根据 Google Cloud 组织中的所有政策分析您的代码。IaC 验证可帮助开发者在资产或资源的 IaC 配置应用到 Google Cloud 环境之前,识别和解决其中的任何安全问题。

IaC 验证功能支持 Terraform 计划文件。您可以使用 Google Cloud CLI 验证 Terraform 方案,也可以将验证流程集成到 Cloud Build、Jenkins 或 GitHub Actions 开发者工作流中。

准备工作

请完成以下任务,开始进行 IaC 验证。

激活 Security Command Center 高级层级或企业版

确认已在组织级层激活 Security Command Center 高级层级或企业层级

激活 Security Command Center 会启用 securityposture.googleapis.comsecuritycentermanagement.googleapis.com API。

设置权限

  1. Make sure that you have the following role or roles on the organization: Security Posture Shift-Left Validator

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the organization.
    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      前往 IAM
    2. 选择组织。
    3. 点击 授予访问权限
    4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

    5. 选择角色列表中,选择一个角色。
    6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
    7. 点击保存

    如需详细了解 IaC 验证权限,请参阅用于组织级启用的 IAM

    设置 Google Cloud CLI

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    如需设置 gcloud CLI 以使用服务账号模拟(而不是您的用户凭据)向 Google API 进行身份验证,请运行以下命令:

    gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

    如需了解详情,请参阅服务账号模拟

    定义您的政策

    定义组织政策Security Health Analytics 检测器。如需使用安全状况定义这些政策,请完成创建和部署安全状况中的任务。

    创建 Terraform 代码

    使用开发者工作流和工具创建一个 Terraform 文件,其中包含您要创建或修改的 Google Cloud 资产。

    请考虑以下事项:

    • 填充 Terraform 配置中每个资源或资产的父级属性(项目、文件夹或组织)。
    • 分别修改资产和政策。该 API 不支持对同时修改资源和政策的 Terraform 方案文件进行验证。
    • 仅使用受支持的素材资源类型和政策。如需查看支持的资产类型和政策的列表,请参阅适用于 IaC 验证的支持的资产类型和政策
    • 查看IaC 验证的限制
    • 请勿在 Terraform 方案文件中包含敏感信息,例如密码或其他个人身份信息。如果验证功能在资源更改中遇到标记为敏感的字段,则会移除这些字段。

    创建 Terraform 代码后,您可以运行 IaC 验证报告。您可以使用 gcloud CLI、Cloud BuildJenkinsGitHub Actions

    使用 Google Cloud CLI 创建 IaC 验证报告

    如需创建 IaC 验证报告,请完成以下操作:

    1. 在 gcloud CLI 中,运行 terraform init

      请验证您运行的是 Terraform 提供程序 v5.5 或更高版本。如有必要,请升级到最新的 Google 提供程序版本:

      terraform init -upgrade
      
    2. 将 Terraform 方案文件转换为 JSON 格式:

      terraform plan -out TF_PLAN_FILENAME
      terraform show -json TF_PLAN_FILENAME > TF_PLAN_JSON_FILENAME.json
      

      替换以下内容:

      • TF_PLAN_FILENAME:Terraform 方案文件的名称。
      • TF_PLAN_JSON_FILENAME:将包含 JSON 格式的 Terraform 方案的文件的名称。
    3. 创建 IaC 验证报告:

      gcloud scc iac-validation-reports create PARENT \
        --tf-plan-file=TF_PLAN_JSON_FILENAME.json
      

      替换以下内容:

      • PARENT:用于创建 IaC 验证报告的 Google Cloud 组织。格式为 organizations/ORGANIZATION_ID/locations/LOCATIONLOCATIONglobal
      • TF_PLAN_JSON_FILENAME:包含要验证的 IaC 方案的 JSON 文件的路径。

      例如,如需在 organizations/3589215982/locations/global 组织下创建 IaC 验证报告,并在 planFile.json 中包含 IaC 方案,请运行以下命令:

      gcloud scc iac-validation-reports create organizations/3589215982/locations/global --tf-plan-file=planFile.json
      

      此命令会返回创建 IAC 验证报告的操作详情。如需获取有关该操作的信息,请参阅查看有关设备配置状态部署操作的信息

    后续步骤