Mengonfigurasi batasan kebijakan organisasi untuk Log Aliran VPC
Halaman ini memberikan informasi tentang batasan kebijakan organisasi yang dapat Anda konfigurasikan untuk Log Aliran VPC.
Administrator dapat mengaktifkan atau menonaktifkan Log Aliran VPC. Secara default, tidak ada batasan yang diberlakukan saat mengaktifkan atau menonaktifkan Log Aliran VPC.
Administrator Kebijakan Organisasi dapat menggunakan batasan
constraints/compute.requireVpcFlowLogs
untuk mewajibkan Log Aliran VPC
diaktifkan untuk semua subnet dalam cakupan kebijakan dengan
frekuensi pengambilan sampel yang ditentukan. Kebijakan ini diterapkan saat membuat
subnet atau memperbarui konfigurasi Log Aliran VPC di
subnet. Subnet yang sudah ada tidak akan terpengaruh jika konfigurasi
Log Aliran VPC tidak diperbarui.
Sebelum memulai
Izin IAM
Akun utama yang membuat batasan harus memiliki
peran Administrator
Kebijakan Organisasi
(roles/orgpolicy.policyAdmin
).
Akun utama yang melihat batasan harus memiliki izin orgpolicy.policy.get
pada resource yang sesuai. Misalnya, peran Viewer Kebijakan Organisasi
(roles/orgpolicy.policyViewer
) menyertakan izin orgpolicy.policy.get
.
Latar belakang kebijakan organisasi
Jika Anda belum pernah menangani batasan kebijakan organisasi, lihat halaman berikut:
Rencanakan batasan Anda
Anda dapat membuat batasan pada level hierarki resource berikut:
- Organisasi
- Folder
- Project
Secara default, batasan yang dibuat pada node diwarisi oleh semua node turunan. Namun, Administrator Kebijakan Organisasi untuk folder tertentu dapat memutuskan bahwa folder tertentu diwarisi dari induknya, sehingga pewarisan tidak bersifat otomatis. Untuk informasi selengkapnya, lihat Pewarisan di Memahami evaluasi hierarki.
Frekuensi pengambilan sampel untuk Log Aliran VPC
Anda dapat menggunakan batasan constraints/compute.requireVpcFlowLogs
untuk
memastikan frekuensi sampel berikut
dikonfigurasi pada subnet.
Nilai kebijakan | Frekuensi sampel |
---|---|
ESSENTIAL |
Lebih besar dari atau sama dengan 0,1 (10%) dan kurang dari 0,5 (50%) |
LIGHT |
Lebih besar dari atau sama dengan 0,5 (50%) dan kurang dari 1,0 (100%) |
COMPREHENSIVE |
Sama dengan 1,0 (100%) |
Nilai kebijakan ini dapat digabungkan. Lihat tabel berikut untuk mengetahui contohnya.
Frekuensi sampel | Nilai yang akan disertakan dalam batasan |
---|---|
Minimal 0,1 (10%) | ESSENTIAL , LIGHT , dan COMPREHENSIVE |
Minimal 0,5 (50%) | LIGHT dan COMPREHENSIVE |
1,0 (100%) | COMPREHENSIVE |
Mengonfigurasi batasan Log Aliran VPC
Konsol
Untuk informasi selengkapnya tentang cara mengonfigurasi batasan menggunakan konsol Google Cloud, lihat Menyesuaikan kebijakan untuk batasan daftar.
Buka halaman kebijakan Wajibkan kebijakan yang telah ditetapkan untuk log alur VPC di konsol Google Cloud:
Klik Edit.
Di halaman Edit, pilih nilai Berlaku untuk:
Mewarisi kebijakan induk: Jika Anda mengonfigurasi kebijakan untuk project atau folder, kebijakan cakupan induk akan diwariskan. Jika Anda mengonfigurasi kebijakan untuk organisasi, kebijakan tersebut tidak akan diaktifkan.
Default yang dikelola Google: Menonaktifkan kebijakan, meskipun diaktifkan di cakupan induk.
Menyesuaikan: Memungkinkan Anda mengaktifkan dan mengonfigurasi kebijakan untuk semua subnet dalam cakupan saat ini.
Untuk Penerapan kebijakan, pilih Ganti.
Opsi Gabung dengan induk tidak diizinkan untuk Log Aliran VPC.
Di bagian Aturan, klik Tambahkan aturan.
Untuk Nilai kebijakan, pilih Kustom.
Nilai lain tidak diizinkan untuk Log Aliran VPC.
Untuk Jenis kebijakan, pilih Izinkan.
Di bagian Nilai kustom, masukkan salah satu nilai yang mewakili frekuensi pengambilan sampel yang ingin Anda konfigurasi.
Jika Anda perlu menentukan lebih dari satu nilai untuk mengonfigurasi frekuensi pengambilan sampel yang diinginkan, klik Nilai kebijakan baru, lalu masukkan nilai berikutnya. Ulangi kembali jika Anda perlu menentukan nilai ketiga.
Klik Simpan.
gcloud
Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi batasan menggunakan Google Cloud CLI, lihat Penyiapan penerapan pada resource organisasi.
Dapatkan kebijakan yang berlaku pada resource organisasi menggunakan perintah
describe
Perintah ini menampilkan kebijakan yang langsung diterapkan ke dalam resource ini. Jika kebijakan tidak disetel, perintah akan menampilkan errorNOT_FOUND
.gcloud org-policies describe \ compute.requireVpcFlowLogs \ [ --organization=ID | --folder=ID | --project=ID ]
Ganti kode berikut:
ID
: ID organisasi, folder, atau project untuk tempat Anda menerapkan batasan.
Tetapkan kebijakan di organisasi menggunakan perintah
set-policy
. Perintah ini akan menimpa kebijakan apa pun yang berlaku, ditambahkan ke resource.Membuat file sementara
/tmp/policy.yaml
untuk menyimpan kebijakan:name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - POLICY_VALUES
Ganti kode berikut:
RESOURCE_TYPE
: jenis resource untuk tempat Anda menerapkan kebijakan. Opsi yang valid adalahorganizations
,folders
, atauprojects
.ID
: ID organisasi, folder, atau project untuk tempat Anda menerapkan batasan.POLICY_VALUES
: nilai yang mewakili frekuensi pengambilan sampel untuk Anda konfigurasi. Anda dapat menggabungkan beberapa nilai. Untuk informasi lebih lanjut, lihat Frekuensi pengambilan sampel untuk Log Aliran VPC.
Batasan contoh ini memerlukan frekuensi pengambilan sampel minimal 10% di level organisasi:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - ESSENTIAL - LIGHT - COMPREHENSIVE
Batasan contoh ini memerlukan frekuensi pengambilan sampel minimal 50% di level organisasi:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - LIGHT - COMPREHENSIVE
Batasan contoh ini memerlukan frekuensi pengambilan sampel 100% di level organisasi:
name: organizations/ID/policies/compute.requireVpcFlowLogs spec: rules: - values: allowedValues: - COMPREHENSIVE
Jalankan perintah
set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Lihat kebijakan yang berlaku saat ini menggunakan
describe --effective
. Perintah ini menampilkan kebijakan organisasi seperti yang dievaluasi pada tahap ini dalam hierarki resource, dengan pewarisan yang telah disertakan.gcloud org-policies describe \ compute.requireVpcFlowLogs --effective \ [ --organization=ID | --folder=ID | --project=ID ]
Efek dari penetapan persyaratan untuk Log Aliran VPC
Mengonfigurasi kebijakan organisasi dengan batasan
constraints/compute.requireVpcFlowLogs
, berarti Anda mungkin menemukan
error ketika membuat subnet atau mengupdate konfigurasi Log Aliran VPC dari
subnet yang ada, serta disebabkan oleh konfigurasi tidak memenuhi persyaratan
kebijakan.
Jika menemukan error, Anda mungkin perlu mengetahui cara konfigurasi batasan agar dapat membuat konfigurasi yang valid. Jika Anda tidak memiliki izin IAM yang memadai untuk melihat batasan, hubungi administrator organisasi Anda.
Subnet yang dibuat sebelum kebijakan ditetapkan tidak akan terpengaruh oleh kebijakan tersebut, selama konfigurasi Log Aliran VPC tidak diperbarui.
Efek pada pembuatan subnet
Saat membuat subnet baru dalam cakupan kebijakan, hal berikut akan berlaku:
Jika Log Aliran VPC diaktifkan secara eksplisit dengan frekuensi pengambilan sampel yang memenuhi persyaratan kebijakan, sehingga subnet akan dibuat dengan Log Aliran VPC yang diaktifkan dan frekuensi pengambilan sampel yang diminta.
Jika Log Aliran VPC diaktifkan secara eksplisit dengan frekuensi pengambilan sampel yang tidak memenuhi persyaratan kebijakan, tampilan akan error dan subnet tidak dibuat.
Jika Log Aliran VPC dinonaktifkan secara eksplisit, tampilan akan error dan subnet tidak dibuat.
Jika Log Aliran VPC dan frekuensi pengambilan sampel tidak ditetapkan, subnet akan dibuat dengan Log Aliran VPC yang diaktifkan dan frekuensi pengambilan sampel minimum yang diwajibkan oleh kebijakan. Misalnya, jika kebijakan dikonfigurasi dengan nilai kebijakan
LIGHT
danCOMPREHENSIVE
, frekuensi pengambilan sampel disetel ke0.5
(50%).
Pengaruh pada update subnet
Saat mengupdate subnet yang ada dalam cakupan kebijakan, berlaku hal berikut:
Jika update mengaktifkan Log Aliran VPC atau telah diaktifkan dan frekuensi pengambilan sampel ditetapkan ke nilai yang memenuhi persyaratan kebijakan, subnet akan diperbarui dengan Log Aliran VPC yang telah diaktifkan dengan frekuensi pengambilan sampel yang diminta.
Jika update mengaktifkan Log Aliran VPC atau telah diaktifkan, dan frekuensi pengambilan sampel ditetapkan ke nilai yang tidak memenuhi persyaratan kebijakan, tampilan akan error dan subnet tidak diperbarui.
Jika update menonaktifkan Log Aliran VPC, tampilan akan error dan subnet tidak diperbarui.
Jika update menonaktifkan Log Aliran VPC dan frekuensi pengambilan sampel juga tidak ditetapkan, kebijakan akan diabaikan dan subnet akan tetap diupdate.
Efek pada pembuatan jaringan VPC mode otomatis
Saat jaringan VPC mode otomatis dibuat, subnet
secara otomatis dibuat juga di setiap region. Jika jaringan berada dalam cakupan
kebijakan Log Aliran VPC, Log Aliran VPC akan diaktifkan di subnet dengan
frekuensi pengambilan sampel minimum yang ditentukan oleh kebijakan. Misalnya, jika kebijakan
dikonfigurasi dengan nilai kebijakan LIGHT
dan COMPREHENSIVE
, frekuensi pengambilan sampel
ditetapkan ke 0.5
(50%).