設定虛擬私有雲流量記錄的組織政策限制
本頁提供機構政策限制的相關資訊,您可以在虛擬私有雲流量記錄中設定子網路。
系統管理員可以啟用或停用虛擬私有雲流量記錄。根據預設,啟用或停用虛擬私有雲流量記錄時,不會受到任何限制。
組織政策管理員可以使用 constraints/compute.requireVpcFlowLogs 限制,要求為政策範圍內的所有子網路啟用 VPC 流程記錄,並指定取樣率。建立子網路或更新子網路的虛擬私有雲流量記錄設定時,系統會強制執行這項政策。如果未更新現有子網路的虛擬私有雲流量記錄設定,這些子網路就不會受到影響。
事前準備
IAM 權限
建立限制的主體必須具有機構政策管理員角色 (roles/orgpolicy.policyAdmin)。
如要查看限制,主體必須具備適當資源的 orgpolicy.policy.get 權限。舉例來說,機構政策檢視者角色 (roles/orgpolicy.policyViewer) 包含 orgpolicy.policy.get 權限。
機構政策背景
如果您不曾使用機構政策限制,請參閱下列頁面:
規劃限制條件
您可以在資源階層的下列層級建立限制:
- 機構
- 資料夾
- 專案
根據預設,在節點建立的限制會由所有子節點沿用。 不過,特定資料夾的機構政策管理員可以決定該資料夾是否要沿用父項政策,因此不會自動沿用。詳情請參閱「瞭解階層評估」中的「繼承」。
虛擬私有雲流量記錄的取樣率
您可以使用 constraints/compute.requireVpcFlowLogs 限制,確保子網路上設定了下列取樣率。
| 政策值 | 取樣率 |
|---|---|
ESSENTIAL |
大於或等於 0.1 (10%) 且小於 0.5 (50%) |
LIGHT |
大於或等於 0.5 (50%) 且小於 1.0 (100%) |
COMPREHENSIVE |
等於 1.0 (100%) |
這些政策值可以合併。請參閱下表範例。
| 取樣率 | 要納入限制的值 |
|---|---|
| 至少 0.1 (10%) | ESSENTIAL、LIGHT 和 COMPREHENSIVE |
| 至少 0.5 (50%) | LIGHT 和 COMPREHENSIVE |
| 1.0 (100%) | COMPREHENSIVE |
設定虛擬私有雲流量記錄限制
主控台
如要進一步瞭解如何使用Google Cloud 控制台設定限制,請參閱「自訂清單限制的政策」。
前往 Google Cloud 控制台的「必須為虛擬私有雲流量記錄檔提供預先定義政策」政策頁面:Google Cloud
按一下 [編輯]。
在「編輯」頁面中,選取「適用於」的值:
繼承父項政策:如果您要為專案或資料夾設定政策,系統會沿用父項範圍的政策。如果您要為機構設定政策,系統不會啟用政策。
Google 代管的預設政策:停用政策,即使政策已在父項範圍啟用也一樣。
自訂:您可以為目前範圍內的所有子網路啟用及設定政策。
在「政策強制執行」部分,選取「取代」。
虛擬私有雲流量記錄不允許使用「與父項合併」選項。
在「規則」部分中,按一下「新增規則」。
在「政策值」部分,選取「自訂」。
虛擬私有雲端流程記錄不允許使用其他值。
在「政策類型」中選取「允許」。
在「自訂值」部分,輸入代表要設定取樣率的值。
如要指定多個值來設定所需的取樣率,請按一下「新政策值」並輸入下一個值。如要指定第三個值,請再次重複上述步驟。
按一下 [儲存]。
gcloud
如要進一步瞭解如何使用 Google Cloud CLI 設定限制,請參閱「對機構資源設定強制執行」。
使用
describe指令取得機構資源的現行政策。這項指令會傳回直接套用至這項資源的政策。如果未設定政策,指令會傳回NOT_FOUND錯誤。gcloud org-policies describe \ compute.requireVpcFlowLogs \ [ --organization=ID | --folder=ID | --project=ID ]更改下列內容:
ID:要套用限制的機構、資料夾或專案 ID。
使用
set-policy指令設定機構的政策。這項指令會覆寫目前附加至資源的任何政策。建立暫存檔案
/tmp/policy.yaml來儲存政策:name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - POLICY_VALUES更改下列內容:
RESOURCE_TYPE:要套用政策的資源類型。有效選項為organizations、folders或projects。ID:要套用限制的機構、資料夾或專案 ID。POLICY_VALUES:代表要設定取樣率的值。你可以組合多個值。詳情請參閱虛擬私有雲流量記錄檔的取樣率。
這個範例限制要求機構層級的取樣率至少為 10%:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - ESSENTIAL - LIGHT - COMPREHENSIVE這個範例限制要求機構層級的取樣率至少為 50%:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - LIGHT - COMPREHENSIVE這個限制範例要求機構層級的取樣率為 100%:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - COMPREHENSIVE執行
set-policy指令:gcloud org-policies set-policy /tmp/policy.yaml
使用
describe --effective查看目前生效的政策。這個指令會傳回機構政策,因為系統會在資源階層的這一點評估政策,並納入沿用政策。gcloud org-policies describe \ compute.requireVpcFlowLogs --effective \ [ --organization=ID | --folder=ID | --project=ID ]
設定虛擬私有雲流量記錄需求的效果
使用 constraints/compute.requireVpcFlowLogs 限制條件設定機構政策時,如果建立子網路,或更新現有子網路的虛擬私有雲流量記錄設定,但設定不符合政策規定,您可能會看到錯誤訊息。
如果看到錯誤,您可能需要瞭解限制的設定方式,才能建立有效的設定。如果IAM 權限不足,無法查看限制,請與機構管理員聯絡。
只要在設定政策前建立的子網路未更新虛擬私有雲流量記錄設定,就不會受到政策影響。
對子網路建立作業的影響
在政策範圍內建立新子網路時,適用下列事項:
如果明確啟用虛擬私有雲流量記錄,且取樣率符合政策規定,系統就會建立子網路,並啟用虛擬私有雲流量記錄和要求的取樣率。
如果明確啟用虛擬私有雲流量記錄,但取樣率不符合政策規定,系統會傳回錯誤,且不會建立子網路。
如果明確停用虛擬私有雲流量記錄,系統會傳回錯誤,且不會建立子網路。
如果未設定虛擬私有雲流量記錄,也未設定取樣率,系統會建立啟用虛擬私有雲流量記錄的子網路,並採用政策規定的最低取樣率。舉例來說,如果政策設定的值為
LIGHT和COMPREHENSIVE,取樣率就會設為0.5(50%)。
對子網路更新的影響
更新政策範圍內的現有子網路時,請注意下列事項:
如果更新作業會啟用虛擬私有雲流量記錄,或虛擬私有雲流量記錄已啟用,且取樣率設為符合政策規定的值,則子網路會更新為啟用虛擬私有雲流量記錄,並採用要求的取樣率。
如果更新會啟用虛擬私有雲端流程記錄,或虛擬私有雲端流程記錄已啟用,且取樣率設為不符合政策規定的值,系統會傳回錯誤,且不會更新子網路。
如果更新作業會停用虛擬私有雲端流程記錄,系統會傳回錯誤,且不會更新子網路。
如果更新作業未啟用或停用虛擬私有雲流量記錄,且未設定取樣率,系統會忽略這項政策並更新子網路。
對自動模式 VPC 網路建立作業的影響
建立自動模式 VPC 網路時,系統會在每個區域自動建立子網路。如果網路屬於虛擬私有雲流量記錄政策的範圍,系統會在子網路上啟用虛擬私有雲流量記錄,並採用政策定義的最低取樣率。舉例來說,如果政策設定的值為 LIGHT 和 COMPREHENSIVE,取樣率就會設為 0.5 (50%)。
對虛擬私有雲流量記錄設定的影響
如果子網路位於政策範圍內,則不允許記錄篩選,確保虛擬私有雲流量記錄設定符合政策規定。