Einschränkungen der Organisationsrichtlinien für VPC-Flusslogs konfigurieren

Auf dieser Seite finden Sie Informationen zu den Einschränkungen für Organisationsrichtlinien, die Sie für VPC-Flusslogs konfigurieren können.

Administratoren können VPC-Flusslogs aktivieren oder deaktivieren. Standardmäßig werden keine Einschränkungen auf das Aktivieren oder Deaktivieren von VPC-Flusslogs angewendet.

Ein Administrator für Organisationsrichtlinien kann mit der Einschränkung constraints/compute.requireVpcFlowLogs festlegen, dass VPC-Flusslogs für alle Subnetze im Bereich der Richtlinie mit einer angegebenen Abtastrate aktiviert sind. Die Richtlinie wird erzwungen, wenn Sie Subnetze erstellen oder die VPC-Flusslog-Konfiguration für Subnetze aktualisieren. Bereits vorhandene Subnetze sind nicht betroffen, wenn ihre VPC-Flusslogkonfigurationen nicht aktualisiert werden.

Hinweis

IAM-Berechtigungen

Das Hauptkonto, das die Einschränkungen erstellt, muss die Rolle "Administrator der Organisationsrichtlinien" (roles/orgpolicy.policyAdmin) haben.

Hauptkonten, die die Einschränkungen aufrufen, müssen die Berechtigung orgpolicy.policy.get für die entsprechende Ressource haben. Beispiel: Die Rolle "Organisationsrichtlinien-Betrachter" (roles/orgpolicy.policyViewer) enthält die Berechtigung orgpolicy.policy.get.

Hintergrund der Organisationsrichtlinie

Wenn Sie bisher noch nicht mit Einschränkungen für Organisationsrichtlinien gearbeitet haben, finden Sie weitere Informationen auf den folgenden Seiten:

Einschränkungen planen

Sie können Einschränkungen auf den folgenden Ebenen der Ressourcenhierarchie erstellen:

  • Organisation
  • Ordner
  • Projekt

Standardmäßig wird eine von einem Knoten erstellte Einschränkung von allen untergeordneten Knoten übernommen. Ein Administrator für Organisationsrichtlinien für einen bestimmten Ordner kann jedoch entscheiden, ob ein bestimmter Ordner von seinen übergeordneten Projekten übernommen wird, sodass die Übernahme nicht automatisch erfolgt. Weitere Informationen finden Sie unter Übernahme im Abschnitt Informationen zu Evaluierungen der Hierarchie.

Abtastraten für VPC-Flusslogs

Mit der Einschränkung constraints/compute.requireVpcFlowLogs können Sie dafür sorgen, dass die folgenden Abtastraten für Subnetze konfiguriert sind.

Wert der Richtlinie Abtastrate
ESSENTIAL Größer als oder gleich 0.1 (10 %) und kleiner als 0.5 (50 %)
LIGHT Größer als oder gleich 0.5 (50 %) und kleiner als 1.0 (100 %)
COMPREHENSIVE Gleich 1.0 (100 %)

Diese Richtlinienwerte können kombiniert werden. Beispiele finden Sie in der folgenden Tabelle.

Abtastrate Werte, die in die Einschränkung aufgenommen werden sollen
Mindestens 0.1 (10 %) ESSENTIAL, LIGHT und COMPREHENSIVE
Mindestens 0.5 (50 %) LIGHT und COMPREHENSIVE
1.0 (100 %) COMPREHENSIVE

Einschränkung für VPC-Flusslogs konfigurieren

Console

Weitere Informationen zum Konfigurieren einer Einschränkung mit der Google Cloud Console finden Sie unter Richtlinien für Listeneinschränkungen anpassen.

  1. Rufen Sie in der Google Cloud Console die Richtlinienseite Vordefinierte Richtlinien für VPC-Flusslogs verlangen auf:

    Öffnen Sie die Seite „Organisationsrichtlinien“.

  2. Klicken Sie auf Bearbeiten.

  3. Wählen Sie auf der Seite Bearbeiten einen Wert für Gilt für aus:

    • Richtlinie des übergeordneten Elements übernehmen: Wenn Sie Richtlinien für ein Projekt oder einen Ordner konfigurieren, wird die Richtlinie des übergeordneten Bereichs übernommen. Wenn Sie Richtlinien für eine Organisation konfigurieren, wird die Richtlinie nicht aktiviert.

    • Von Google verwaltete Standardeinstellung: Deaktiviert die Richtlinie, auch wenn sie im übergeordneten Bereich aktiviert ist.

    • Anpassen: Ermöglicht das Aktivieren und Konfigurieren der Richtlinie für alle Subnetze im aktuellen Bereich.

  4. Wählen Sie unter Richtlinienerzwingung die Option Ersetzen aus.

    Die Option Mit übergeordneter Ressource zusammenführen ist für VPC-Flusslogs nicht zulässig.

  5. Klicken Sie im Bereich Regeln auf Regel hinzufügen.

  6. Wählen Sie für Richtlinienwerte die Option Benutzerdefiniert aus.

    Andere Werte sind für VPC-Flusslogs nicht zulässig.

  7. Wählen Sie für Richtlinientyp Zulassen aus.

  8. Geben Sie im Abschnitt Benutzerdefinierte Werte einen der Werte ein, die die zu konfigurierende Sampling-Rate darstellen.

    Wenn Sie mehrere Werte zum Konfigurieren der gewünschten Abtastrate angeben müssen, klicken Sie auf Neuer Richtlinienwert und geben Sie den nächsten Wert ein. Wiederholen Sie den Vorgang, wenn Sie einen dritten Wert angeben müssen.

  9. Klicken Sie auf Speichern.

gcloud

Weitere Informationen zum Konfigurieren einer Einschränkung mithilfe der Google Cloud CLI finden Sie unter Erzwingung für die Organisationsressource einrichten.

  1. Rufen Sie mit dem Befehl describe die aktuelle Richtlinie für die Organisationsressource ab. Dieser Befehl gibt die Richtlinie zurück, die direkt auf diese Ressource angewendet wird: Wenn keine Richtlinie festgelegt wurde, gibt der Befehl den Fehler NOT_FOUND zurück.

    gcloud org-policies describe \
        compute.requireVpcFlowLogs \
        [ --organization=ID | --folder=ID | --project=ID ]
    

    Dabei gilt:

    • ID: Die ID der Organisation, des Ordners oder des Projekts, auf die Sie die Einschränkung anwenden möchten.
  2. Legen Sie die Richtlinie für die Organisation mit dem Befehl set-policy fest. Dieser Befehl überschreibt alle Richtlinien, die derzeit an die Ressource angehängt sind.

    1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

       name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs
       spec:
         rules:
         - values:
             allowedValues:
             - POLICY_VALUES
       

      Dabei gilt:

      • RESOURCE_TYPE: der Ressourcentyp, auf den Sie die Richtlinie anwenden möchten. Gültige Optionen sind organizations, folders oder projects.

      • ID: Die ID der Organisation, des Ordners oder des Projekts, auf die Sie die Einschränkung anwenden möchten.

      • POLICY_VALUES: die Werte, die die Abtastrate darstellen, die Sie konfigurieren möchten. Sie können mehrere Werte kombinieren. Weitere Informationen finden Sie unter Abtastraten für VPC-Flusslogs.

      Diese Beispieleinschränkung erfordert eine Abtastrate von mindestens 10 % auf Organisationsebene:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - ESSENTIAL
           - LIGHT
           - COMPREHENSIVE
      

      Diese Beispieleinschränkung erfordert eine Abtastrate von mindestens 50 % auf Organisationsebene:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - LIGHT
           - COMPREHENSIVE
      
      

      Diese Beispieleinschränkung erfordert eine Abtastrate von 100 % auf Organisationsebene:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - COMPREHENSIVE
      
    2. Führen Sie den Befehl set-policy aus:

       gcloud org-policies set-policy /tmp/policy.yaml
       

  3. Rufen Sie die aktuell geltende Richtlinie mit describe --effective auf: Durch diesen Befehl wird die Organisationsrichtlinie zurückgegeben, wie sie zu diesem Zeitpunkt in der Ressourcenhierarchie einschließlich Übernahme evaluiert wird.

    gcloud org-policies describe \
        compute.requireVpcFlowLogs --effective \
        [ --organization=ID | --folder=ID | --project=ID ]
    

Auswirkungen der Festlegung einer Anforderung für VPC-Flusslogs

Wenn Sie eine Organisationsrichtlinie mit der Einschränkung constraints/compute.requireVpcFlowLogs konfigurieren, werden möglicherweise Fehler angezeigt, wenn Sie ein Subnetz erstellen oder die VPC-Flusslog-Konfiguration eines vorhandenen Subnetzes aktualisieren und die Konfiguration nicht den Anforderungen der Richtlinie entspricht.

Wenn Fehler angezeigt werden, müssen Sie möglicherweise wissen, wie die Einschränkung konfiguriert ist, damit Sie eine gültige Konfiguration erstellen können. Wenn Sie keine IAM-Berechtigungen zum Aufrufen der Einschränkung haben, wenden Sie sich an den Administrator Ihrer Organisation.

Subnetze, die vor dem Festlegen der Richtlinie erstellt wurden, sind von der Richtlinie nicht betroffen, solange die Konfiguration der VPC-Flusslogs nicht aktualisiert wird.

Auswirkungen auf die Subnetzerstellung

Beim Erstellen eines neuen Subnetzes im Bereich der Richtlinie gilt Folgendes:

  • Wenn VPC-Flusslogs explizit mit einer Abtastrate aktiviert sind, die den Anforderungen der Richtlinie entspricht, wird das Subnetz mit aktivierten VPC-Flusslogs und der angeforderten Samplingrate erstellt.

  • Wenn VPC-Flusslogs explizit mit einer Abtastrate aktiviert sind, die die Anforderungen der Richtlinie nicht erfüllt, wird ein Fehler zurückgegeben und das Subnetz wird nicht erstellt.

  • Wenn VPC-Flusslogs explizit deaktiviert sind, wird ein Fehler zurückgegeben und das Subnetz wird nicht erstellt.

  • Wenn weder VPC-Flusslogs noch die Abtastrate festgelegt sind, wird ein Subnetz mit aktivierten VPC-Flusslogs und der von der Richtlinie geforderten Mindestabtastrate erstellt. Beispiel: Wenn die Richtlinie mit den Richtlinienwerten LIGHT und COMPREHENSIVE konfiguriert ist, wird die Abtastrate auf 0.5 (50 %) festgelegt.

Auswirkungen auf Subnetzaktualisierungen

Beim Aktualisieren eines vorhandenen Subnetzes im Richtlinienbereich gilt Folgendes:

  • Wenn die Aktualisierung VPC-Flusslogs aktiviert oder wenn VPC-Flusslogs bereits aktiviert war und die Abtastrate auf einen Wert gesetzt ist, der den Anforderungen der Richtlinie entspricht, wird das Subnetz mit aktivierten VPC-Flusslogs mit der angefragten Abtastrate aktualisiert.

  • Wenn die Aktualisierung VPC-Flusslogs aktiviert oder wenn VPC-Flusslogs bereits aktiviert war und die Abtastrate auf einen Wert gesetzt wird, der nicht den Anforderungen der Richtlinie entspricht, wird ein Fehler zurückgegeben und das Subnetz wird nicht aktualisiert.

  • Wenn das Update VPC-Flusslogs deaktiviert, wird ein Fehler zurückgegeben und das Subnetz wird nicht aktualisiert.

  • Wenn die Aktualisierung keine VPC-Flusslogs aktiviert oder deaktiviert und die Abtastrate nicht festgelegt ist, wird die Richtlinie ignoriert und das Subnetz aktualisiert.

Auswirkungen auf die Erstellung eines VPC-Netzwerks im automatischen Modus

Wenn ein VPC-Netzwerk im automatischen Modus erstellt wird, wird automatisch in jeder Region ein Subnetz erstellt. Wenn das Netzwerk im Bereich einer VPC-Flusslog-Richtlinie liegt, sind VPC-Flusslogs in den Subnetzen mit der minimalen Sampling-Rate aktiviert, die von der Richtlinie definiert wird. Beispiel: Wenn die Richtlinie mit den Richtlinienwerten LIGHT und COMPREHENSIVE konfiguriert ist, wird die Abtastrate auf 0.5 (50 %) festgelegt.

Nächste Schritte