Configura i vincoli dei criteri dell'organizzazione per i log di flusso VPC
Questa pagina fornisce informazioni sull'organizzazione vincoli dei criteri che puoi configurare per i log di flusso VPC.
Gli amministratori possono abilitare o disabilitare i log di flusso VPC. Per impostazione predefinita, vengono imposti vincoli all'abilitazione o alla disabilitazione dei log di flusso VPC.
Un amministratore dei criteri dell'organizzazione può utilizzare
Vincolo di constraints/compute.requireVpcFlowLogs che richiede
Log di flusso VPC è abilitato per tutte le subnet nell'ambito del criterio con un
alla frequenza di campionamento specificata. Il criterio viene applicato in modo forzato durante la creazione
subnet o aggiornando la configurazione dei log di flusso VPC
subnet. Le subnet preesistenti non sono interessate se
Le configurazioni di Log di flusso VPC non vengono aggiornate.
Prima di iniziare
Autorizzazioni IAM
L'entità che crea i vincoli deve avere
Criterio dell'organizzazione
Ruolo di amministratore
(roles/orgpolicy.policyAdmin).
Le entità che visualizzano i vincoli devono avere lo orgpolicy.policy.get
l'autorizzazione per la risorsa appropriata. Ad esempio, i campi Criterio dell'organizzazione
Ruolo Visualizzatore
(roles/orgpolicy.policyViewer) include l'autorizzazione orgpolicy.policy.get.
Sfondo dei criteri dell'organizzazione
Se non hai mai lavorato con i vincoli dei criteri dell'organizzazione, consulta pagine seguenti:
Pianifica i vincoli
Puoi creare vincoli ai seguenti livelli della gerarchia delle risorse:
- Organizzazione
- Cartella
- Progetto
Per impostazione predefinita, un vincolo creato su un nodo viene ereditato da tutti i nodi figlio. Tuttavia, un amministratore dei criteri dell'organizzazione per una determinata cartella può decidere se un una data cartella eredita dalle sue origini padre, quindi l'ereditarietà non è automatica. Per ulteriori informazioni, vedi Ereditarietà in Informazioni sulla valutazione della gerarchia.
Frequenze di campionamento per i log di flusso VPC
Puoi utilizzare il vincolo constraints/compute.requireVpcFlowLogs per assicurarti
che le seguenti frequenze di campionamento siano
configurate sulle subnet.
| Valore criterio | Frequenza di campionamento |
|---|---|
ESSENTIAL |
Maggiore o uguale a 0,1 (10%) e minore di 0,5 (50%) |
LIGHT |
Maggiore o uguale a 0,5 (50%) e minore di 1,0 (100%) |
COMPREHENSIVE |
Uguale a 1,0 (100%) |
Questi valori del criterio possono essere combinati. Consulta la seguente tabella per alcuni esempi.
| Frequenza di campionamento | Valori da includere nel vincolo |
|---|---|
| Almeno 0,1 (10%) | ESSENTIAL, LIGHT e COMPREHENSIVE |
| Almeno 0,5 (50%) | LIGHT e COMPREHENSIVE |
| 1,0 (100%) | COMPREHENSIVE |
Configura il vincolo di Log di flusso VPC
Console
Per ulteriori informazioni sulla configurazione di un vincolo utilizzando Per la console Google Cloud, vedi Personalizzazione dei criteri per l'elenco vincoli.
Vai alla pagina dei criteri Richiedi criteri predefiniti per i log di flusso VPC nella Console Google Cloud:
Fai clic su Modifica.
Nella pagina Modifica, seleziona un valore per Si applica a:
Eredita criterio della risorsa padre: se stai configurando i criteri per un un progetto o una cartella, viene ereditato il criterio dell'ambito padre. Se configurano criteri per un'organizzazione, il criterio non è stata attivata.
Valore predefinito gestito da Google: disattiva il criterio, anche se è attivo nell'ambito padre.
Personalizza: consente di attivare e configurare il criterio per tutti. nell'ambito attuale.
Per Applicazione dei criteri, seleziona Sostituisci.
L'opzione Unisci con elemento padre non è consentita per i log di flusso VPC.
Nella sezione Regole, fai clic su Aggiungi regola.
In Valori criterio, seleziona Personalizzato.
Non sono consentiti altri valori per i log di flusso VPC.
In Tipo di criterio, seleziona Consenti.
Nella sezione Valori personalizzati, inserisci uno dei valori che rappresenta la frequenza di campionamento che vuoi configurare.
Se è necessario specificare più di un valore per configurare il campionamento percentuale che preferisci, fai clic su Nuovo valore norma e inserisci il valore successivo. Ripeti l'operazione di nuovo se devi specificare un terzo valore.
Fai clic su Salva.
gcloud
Per ulteriori informazioni sulla configurazione di un vincolo utilizzando Google Cloud CLI, consulta Configurare l'applicazione forzata per l'organizzazione risorsa.
Ottieni il criterio attuale per la risorsa dell'organizzazione utilizzando
describe. Il comando restituisce il criterio applicato direttamente a questo risorsa. Se un criterio non viene configurato, il comando restituisce un erroreNOT_FOUND.gcloud org-policies describe \ compute.requireVpcFlowLogs \ [ --organization=ID | --folder=ID | --project=ID ]Sostituisci quanto segue:
ID: l'ID dell'organizzazione, della cartella o progetto a cui vuoi applicare il vincolo.
Imposta il criterio sull'organizzazione utilizzando il comando
set-policy. Questo sovrascrive qualsiasi criterio attualmente collegato alla risorsa.Crea un file temporaneo
/tmp/policy.yamlper archiviare il criterio:name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - POLICY_VALUESSostituisci quanto segue:
RESOURCE_TYPE: il tipo di risorsa che vuoi per applicare il criterio. Le opzioni valide sonoorganizations,foldersoprojects.ID: l'ID dell'organizzazione, della cartella o progetto a cui vuoi applicare il vincolo.POLICY_VALUES: i valori che rappresentano frequenza di campionamento che desideri configurare. Puoi combinare più e i relativi valori. Per ulteriori informazioni, vedi Tariffe di campionamento per Log di flusso VPC.
Questo vincolo di esempio richiede una frequenza di campionamento di almeno il 10% a a livello di organizzazione:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - ESSENTIAL - LIGHT - COMPREHENSIVEQuesto vincolo di esempio richiede una frequenza di campionamento di almeno il 50% a a livello di organizzazione:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - LIGHT - COMPREHENSIVEQuesto vincolo di esempio richiede una frequenza di campionamento del 100% alla a livello di organizzazione:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - COMPREHENSIVEEsegui il comando
set-policy:gcloud org-policies set-policy /tmp/policy.yaml
Visualizza il criterio attualmente in vigore utilizzando
describe --effective. Questo il comando restituisce il criterio dell'organizzazione così come viene valutato a questo punto nella gerarchia delle risorse, con l'ereditarietà inclusa.gcloud org-policies describe \ compute.requireVpcFlowLogs --effective \ [ --organization=ID | --folder=ID | --project=ID ]
Effetti dell'impostazione di un requisito per i log di flusso VPC
La configurazione di un criterio dell'organizzazione con
Il vincolo constraints/compute.requireVpcFlowLogs indica che potresti vedere
se crei una subnet o aggiorni la configurazione dei log di flusso VPC
una subnet esistente e la configurazione non soddisfa i requisiti
.
Se visualizzi errori, potrebbe essere necessario sapere come è configurato il vincolo in modo che di poter creare una configurazione valida. Se non disponi di dati sufficienti Autorizzazioni IAM per visualizzare il vincolo, contatta l'amministratore della tua organizzazione.
Le subnet create prima dell'impostazione del criterio non sono interessate dal purché la configurazione dei log di flusso VPC non sia aggiornata.
Effetti sulla creazione di subnet
Quando crei una nuova subnet nell'ambito del criterio, si applica quanto segue:
Se Log di flusso VPC è esplicitamente abilitato con una frequenza di campionamento che soddisfa le ai requisiti del criterio, la subnet viene creata con i log di flusso VPC attivata e la frequenza di campionamento richiesta.
Se i log di flusso VPC sono abilitati esplicitamente con una frequenza di campionamento che soddisfano i requisiti del criterio, viene restituito un errore e la subnet non è stato creato.
Se Log di flusso VPC è esplicitamente disabilitato, viene restituito un errore e viene creata una subnet.
Se Log di flusso VPC non è impostato e non è impostata anche la frequenza di campionamento, viene viene creata con Log di flusso VPC abilitato e la frequenza di campionamento minima come richiesto dalle norme. Ad esempio, se il criterio è configurato con un criterio valori di
LIGHTeCOMPREHENSIVE, la frequenza di campionamento è impostata su0.5(50%).
Effetti sugli aggiornamenti delle subnet
Quando aggiorni una subnet esistente nell'ambito dei criteri, si applica quanto segue:
Se l'aggiornamento abilita i log di flusso VPC o se i log di flusso VPC erano già e la frequenza di campionamento è impostata su un valore che soddisfa i requisiti il criterio, la subnet viene aggiornata con i log di flusso VPC abilitati la frequenza di campionamento richiesta.
Se l'aggiornamento abilita i log di flusso VPC o se i log di flusso VPC erano già e la frequenza di campionamento è impostata su un valore che non soddisfa ai requisiti del criterio, viene restituito un errore e la subnet non viene aggiornata.
Se l'aggiornamento disabilita i log di flusso VPC, viene restituito un errore e la subnet non viene aggiornato.
Se l'aggiornamento non abilita o disabilita i log di flusso VPC e il campionamento anche la frequenza non viene impostata, il criterio viene ignorato e la subnet viene aggiornata.
Effetti sulla creazione di una rete VPC in modalità automatica
Quando viene creata una rete VPC in modalità automatica, viene
automaticamente in ogni regione. Se la rete rientra nell'ambito di una
criterio Log di flusso VPC; Log di flusso VPC è abilitato sulle subnet con
frequenza di campionamento minima definita dalle norme. Ad esempio, se il criterio è
configurato con i valori del criterio LIGHT e COMPREHENSIVE, la frequenza di campionamento
è impostato su 0.5 (50%).