Einschränkungen der Organisationsrichtlinien für VPC-Flusslogs konfigurieren
Auf dieser Seite finden Sie Informationen zu den Einschränkungen für Organisationsrichtlinien, die Sie für VPC-Flusslogs konfigurieren können.
Administratoren können VPC-Flusslogs aktivieren oder deaktivieren. Standardmäßig werden keine Einschränkungen auf das Aktivieren oder Deaktivieren von VPC-Flusslogs angewendet.
Ein Administrator für Organisationsrichtlinien kann mit der Einschränkung constraints/compute.requireVpcFlowLogs
festlegen, dass VPC-Flusslogs für alle Subnetze im Bereich der Richtlinie mit einer angegebenen Abtastrate aktiviert sind. Die Richtlinie wird erzwungen, wenn Sie Subnetze erstellen oder die VPC-Flusslog-Konfiguration für Subnetze aktualisieren. Bereits vorhandene Subnetze sind nicht betroffen, wenn ihre VPC-Flusslogkonfigurationen nicht aktualisiert werden.
Hinweis
IAM-Berechtigungen
Das Hauptkonto, das die Einschränkungen erstellt, muss die Rolle "Administrator der Organisationsrichtlinien" (roles/orgpolicy.policyAdmin
) haben.
Hauptkonten, die die Einschränkungen aufrufen, müssen die Berechtigung orgpolicy.policy.get
für die entsprechende Ressource haben. Beispiel: Die Rolle "Organisationsrichtlinien-Betrachter" (roles/orgpolicy.policyViewer
) enthält die Berechtigung orgpolicy.policy.get
.
Hintergrund der Organisationsrichtlinie
Wenn Sie bisher noch nicht mit Einschränkungen für Organisationsrichtlinien gearbeitet haben, finden Sie weitere Informationen auf den folgenden Seiten:
Einschränkungen planen
Sie können Einschränkungen auf den folgenden Ebenen der Ressourcenhierarchie erstellen:
- Organisation
- Ordner
- Projekt
Standardmäßig wird eine von einem Knoten erstellte Einschränkung von allen untergeordneten Knoten übernommen. Ein Administrator für Organisationsrichtlinien für einen bestimmten Ordner kann jedoch entscheiden, ob ein bestimmter Ordner von seinen übergeordneten Projekten übernommen wird, sodass die Übernahme nicht automatisch erfolgt. Weitere Informationen finden Sie unter Übernahme im Abschnitt Informationen zu Evaluierungen der Hierarchie.
Abtastraten für VPC-Flusslogs
Mit der Einschränkung constraints/compute.requireVpcFlowLogs
können Sie dafür sorgen, dass die folgenden Abtastraten für Subnetze konfiguriert sind.
Wert der Richtlinie | Abtastrate |
---|---|
ESSENTIAL |
Größer als oder gleich 0.1 (10 %) und kleiner als 0.5 (50 %) |
LIGHT |
Größer als oder gleich 0.5 (50 %) und kleiner als 1.0 (100 %) |
COMPREHENSIVE |
Gleich 1.0 (100 %) |
Diese Richtlinienwerte können kombiniert werden. Beispiele finden Sie in der folgenden Tabelle.
Abtastrate | Werte, die in die Einschränkung aufgenommen werden sollen |
---|---|
Mindestens 0.1 (10 %) | ESSENTIAL , LIGHT und COMPREHENSIVE |
Mindestens 0.5 (50 %) | LIGHT und COMPREHENSIVE |
1.0 (100 %) | COMPREHENSIVE |
Einschränkung für VPC-Flusslogs konfigurieren
Console
Weitere Informationen zum Konfigurieren einer Einschränkung mit der Google Cloud Console finden Sie unter Richtlinien für Listeneinschränkungen anpassen.
Rufen Sie in der Google Cloud Console die Richtlinienseite Vordefinierte Richtlinien für VPC-Flusslogs verlangen auf:
Klicken Sie auf Bearbeiten.
Wählen Sie auf der Seite Bearbeiten einen Wert für Gilt für aus:
Richtlinie des übergeordneten Elements übernehmen: Wenn Sie Richtlinien für ein Projekt oder einen Ordner konfigurieren, wird die Richtlinie des übergeordneten Bereichs übernommen. Wenn Sie Richtlinien für eine Organisation konfigurieren, wird die Richtlinie nicht aktiviert.
Von Google verwaltete Standardeinstellung: Deaktiviert die Richtlinie, auch wenn sie im übergeordneten Bereich aktiviert ist.
Anpassen: Ermöglicht das Aktivieren und Konfigurieren der Richtlinie für alle Subnetze im aktuellen Bereich.
Wählen Sie unter Richtlinienerzwingung die Option Ersetzen aus.
Die Option Mit übergeordneter Ressource zusammenführen ist für VPC-Flusslogs nicht zulässig.
Klicken Sie im Bereich Regeln auf Regel hinzufügen.
Wählen Sie für Richtlinienwerte die Option Benutzerdefiniert aus.
Andere Werte sind für VPC-Flusslogs nicht zulässig.
Wählen Sie für Richtlinientyp Zulassen aus.
Geben Sie im Abschnitt Benutzerdefinierte Werte einen der Werte ein, die die zu konfigurierende Sampling-Rate darstellen.
Wenn Sie mehrere Werte zum Konfigurieren der gewünschten Abtastrate angeben müssen, klicken Sie auf Neuer Richtlinienwert und geben Sie den nächsten Wert ein. Wiederholen Sie den Vorgang, wenn Sie einen dritten Wert angeben müssen.
Klicken Sie auf Speichern.
gcloud
Weitere Informationen zum Konfigurieren einer Einschränkung mithilfe der Google Cloud CLI finden Sie unter Erzwingung für die Organisationsressource einrichten.
Rufen Sie mit dem Befehl
describe
die aktuelle Richtlinie für die Organisationsressource ab. Dieser Befehl gibt die Richtlinie zurück, die direkt auf diese Ressource angewendet wird: Wenn keine Richtlinie festgelegt wurde, gibt der Befehl den FehlerNOT_FOUND
zurück.gcloud org-policies describe \ compute.requireVpcFlowLogs \ [ --organization=ID | --folder=ID | --project=ID ]
Dabei gilt:
ID
: Die ID der Organisation, des Ordners oder des Projekts, auf die Sie die Einschränkung anwenden möchten.
Legen Sie die Richtlinie für die Organisation mit dem Befehl
set-policy
fest. Dieser Befehl überschreibt alle Richtlinien, die derzeit an die Ressource angehängt sind.Erstellen Sie die temporäre Datei
/tmp/policy.yaml
zum Speichern der Richtlinie:name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - POLICY_VALUES
Dabei gilt:
RESOURCE_TYPE
: der Ressourcentyp, auf den Sie die Richtlinie anwenden möchten. Gültige Optionen sindorganizations
,folders
oderprojects
.ID
: Die ID der Organisation, des Ordners oder des Projekts, auf die Sie die Einschränkung anwenden möchten.POLICY_VALUES
: die Werte, die die Abtastrate darstellen, die Sie konfigurieren möchten. Sie können mehrere Werte kombinieren. Weitere Informationen finden Sie unter Abtastraten für VPC-Flusslogs.
Diese Beispieleinschränkung erfordert eine Abtastrate von mindestens 10 % auf Organisationsebene:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - ESSENTIAL - LIGHT - COMPREHENSIVE
Diese Beispieleinschränkung erfordert eine Abtastrate von mindestens 50 % auf Organisationsebene:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - LIGHT - COMPREHENSIVE
Diese Beispieleinschränkung erfordert eine Abtastrate von 100 % auf Organisationsebene:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - COMPREHENSIVE
Führen Sie den Befehl
set-policy
aus:gcloud org-policies set-policy /tmp/policy.yaml
Rufen Sie die aktuell geltende Richtlinie mit
describe --effective
auf: Durch diesen Befehl wird die Organisationsrichtlinie zurückgegeben, wie sie zu diesem Zeitpunkt in der Ressourcenhierarchie einschließlich Übernahme evaluiert wird.gcloud org-policies describe \ compute.requireVpcFlowLogs --effective \ [ --organization=ID | --folder=ID | --project=ID ]
Auswirkungen der Festlegung einer Anforderung für VPC-Flusslogs
Wenn Sie eine Organisationsrichtlinie mit der Einschränkung constraints/compute.requireVpcFlowLogs
konfigurieren, werden möglicherweise Fehler angezeigt, wenn Sie ein Subnetz erstellen oder die VPC-Flusslog-Konfiguration eines vorhandenen Subnetzes aktualisieren und die Konfiguration nicht den Anforderungen der Richtlinie entspricht.
Wenn Fehler angezeigt werden, müssen Sie möglicherweise wissen, wie die Einschränkung konfiguriert ist, damit Sie eine gültige Konfiguration erstellen können. Wenn Sie keine IAM-Berechtigungen zum Aufrufen der Einschränkung haben, wenden Sie sich an den Administrator Ihrer Organisation.
Subnetze, die vor dem Festlegen der Richtlinie erstellt wurden, sind von der Richtlinie nicht betroffen, solange die Konfiguration der VPC-Flusslogs nicht aktualisiert wird.
Auswirkungen auf die Subnetzerstellung
Beim Erstellen eines neuen Subnetzes im Bereich der Richtlinie gilt Folgendes:
Wenn VPC-Flusslogs explizit mit einer Abtastrate aktiviert sind, die den Anforderungen der Richtlinie entspricht, wird das Subnetz mit aktivierten VPC-Flusslogs und der angeforderten Samplingrate erstellt.
Wenn VPC-Flusslogs explizit mit einer Abtastrate aktiviert sind, die die Anforderungen der Richtlinie nicht erfüllt, wird ein Fehler zurückgegeben und das Subnetz wird nicht erstellt.
Wenn VPC-Flusslogs explizit deaktiviert sind, wird ein Fehler zurückgegeben und das Subnetz wird nicht erstellt.
Wenn weder VPC-Flusslogs noch die Abtastrate festgelegt sind, wird ein Subnetz mit aktivierten VPC-Flusslogs und der von der Richtlinie geforderten Mindestabtastrate erstellt. Beispiel: Wenn die Richtlinie mit den Richtlinienwerten
LIGHT
undCOMPREHENSIVE
konfiguriert ist, wird die Abtastrate auf0.5
(50 %) festgelegt.
Auswirkungen auf Subnetzaktualisierungen
Beim Aktualisieren eines vorhandenen Subnetzes im Richtlinienbereich gilt Folgendes:
Wenn die Aktualisierung VPC-Flusslogs aktiviert oder wenn VPC-Flusslogs bereits aktiviert war und die Abtastrate auf einen Wert gesetzt ist, der den Anforderungen der Richtlinie entspricht, wird das Subnetz mit aktivierten VPC-Flusslogs mit der angefragten Abtastrate aktualisiert.
Wenn die Aktualisierung VPC-Flusslogs aktiviert oder wenn VPC-Flusslogs bereits aktiviert war und die Abtastrate auf einen Wert gesetzt wird, der nicht den Anforderungen der Richtlinie entspricht, wird ein Fehler zurückgegeben und das Subnetz wird nicht aktualisiert.
Wenn das Update VPC-Flusslogs deaktiviert, wird ein Fehler zurückgegeben und das Subnetz wird nicht aktualisiert.
Wenn die Aktualisierung keine VPC-Flusslogs aktiviert oder deaktiviert und die Abtastrate nicht festgelegt ist, wird die Richtlinie ignoriert und das Subnetz aktualisiert.
Auswirkungen auf die Erstellung eines VPC-Netzwerks im automatischen Modus
Wenn ein VPC-Netzwerk im automatischen Modus erstellt wird, wird automatisch in jeder Region ein Subnetz erstellt. Wenn das Netzwerk im Bereich einer VPC-Flusslog-Richtlinie liegt, sind VPC-Flusslogs in den Subnetzen mit der minimalen Sampling-Rate aktiviert, die von der Richtlinie definiert wird. Beispiel: Wenn die Richtlinie mit den Richtlinienwerten LIGHT
und COMPREHENSIVE
konfiguriert ist, wird die Abtastrate auf 0.5
(50 %) festgelegt.