Mengonfigurasi batasan kebijakan organisasi untuk Log Aliran VPC

Halaman ini memberikan informasi tentang batasan kebijakan organisasi yang dapat Anda konfigurasikan untuk Log Aliran VPC.

Administrator dapat mengaktifkan atau menonaktifkan Log Aliran VPC. Secara default, tidak ada batasan yang diberlakukan saat mengaktifkan atau menonaktifkan Log Aliran VPC.

Administrator Kebijakan Organisasi dapat menggunakan batasan constraints/compute.requireVpcFlowLogs untuk mewajibkan Log Aliran VPC diaktifkan untuk semua subnet dalam cakupan kebijakan dengan frekuensi pengambilan sampel yang ditentukan. Kebijakan ini diterapkan saat membuat subnet atau memperbarui konfigurasi Log Aliran VPC di subnet. Subnet yang sudah ada tidak akan terpengaruh jika konfigurasi Log Aliran VPC tidak diperbarui.

Sebelum memulai

Izin IAM

Akun utama yang membuat batasan harus memiliki peran Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin).

Akun utama yang melihat batasan harus memiliki izin orgpolicy.policy.get pada resource yang sesuai. Misalnya, peran Viewer Kebijakan Organisasi (roles/orgpolicy.policyViewer) menyertakan izin orgpolicy.policy.get.

Latar belakang kebijakan organisasi

Jika Anda belum pernah menangani batasan kebijakan organisasi, lihat halaman berikut:

Rencanakan batasan Anda

Anda dapat membuat batasan pada level hierarki resource berikut:

  • Organisasi
  • Folder
  • Project

Secara default, batasan yang dibuat pada node diwarisi oleh semua node turunan. Namun, Administrator Kebijakan Organisasi untuk folder tertentu dapat memutuskan bahwa folder tertentu diwarisi dari induknya, sehingga pewarisan tidak bersifat otomatis. Untuk informasi selengkapnya, lihat Pewarisan di Memahami evaluasi hierarki.

Frekuensi pengambilan sampel untuk Log Aliran VPC

Anda dapat menggunakan batasan constraints/compute.requireVpcFlowLogs untuk memastikan frekuensi sampel berikut dikonfigurasi pada subnet.

Nilai kebijakan Frekuensi sampel
ESSENTIAL Lebih besar dari atau sama dengan 0,1 (10%) dan kurang dari 0,5 (50%)
LIGHT Lebih besar dari atau sama dengan 0,5 (50%) dan kurang dari 1,0 (100%)
COMPREHENSIVE Sama dengan 1,0 (100%)

Nilai kebijakan ini dapat digabungkan. Lihat tabel berikut untuk mengetahui contohnya.

Frekuensi sampel Nilai yang akan disertakan dalam batasan
Minimal 0,1 (10%) ESSENTIAL, LIGHT, dan COMPREHENSIVE
Minimal 0,5 (50%) LIGHT dan COMPREHENSIVE
1,0 (100%) COMPREHENSIVE

Mengonfigurasi batasan Log Aliran VPC

Konsol

Untuk informasi selengkapnya tentang cara mengonfigurasi batasan menggunakan konsol Google Cloud, lihat Menyesuaikan kebijakan untuk batasan daftar.

  1. Buka halaman kebijakan Wajibkan kebijakan yang telah ditetapkan untuk log alur VPC di konsol Google Cloud:

    Buka kebijakan organisasi

  2. Klik Edit.

  3. Di halaman Edit, pilih nilai Berlaku untuk:

    • Mewarisi kebijakan induk: Jika Anda mengonfigurasi kebijakan untuk project atau folder, kebijakan cakupan induk akan diwariskan. Jika Anda mengonfigurasi kebijakan untuk organisasi, kebijakan tersebut tidak akan diaktifkan.

    • Default yang dikelola Google: Menonaktifkan kebijakan, meskipun diaktifkan di cakupan induk.

    • Menyesuaikan: Memungkinkan Anda mengaktifkan dan mengonfigurasi kebijakan untuk semua subnet dalam cakupan saat ini.

  4. Untuk Penerapan kebijakan, pilih Ganti.

    Opsi Gabung dengan induk tidak diizinkan untuk Log Aliran VPC.

  5. Di bagian Aturan, klik Tambahkan aturan.

  6. Untuk Nilai kebijakan, pilih Kustom.

    Nilai lain tidak diizinkan untuk Log Aliran VPC.

  7. Untuk Jenis kebijakan, pilih Izinkan.

  8. Di bagian Nilai kustom, masukkan salah satu nilai yang mewakili frekuensi pengambilan sampel yang ingin Anda konfigurasi.

    Jika Anda perlu menentukan lebih dari satu nilai untuk mengonfigurasi frekuensi pengambilan sampel yang diinginkan, klik Nilai kebijakan baru, lalu masukkan nilai berikutnya. Ulangi kembali jika Anda perlu menentukan nilai ketiga.

  9. Klik Simpan.

gcloud

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi batasan menggunakan Google Cloud CLI, lihat Penyiapan penerapan pada resource organisasi.

  1. Dapatkan kebijakan yang berlaku pada resource organisasi menggunakan perintah describe Perintah ini menampilkan kebijakan yang langsung diterapkan ke dalam resource ini. Jika kebijakan tidak disetel, perintah akan menampilkan error NOT_FOUND.

    gcloud org-policies describe \
        compute.requireVpcFlowLogs \
        [ --organization=ID | --folder=ID | --project=ID ]
    

    Ganti kode berikut:

    • ID: ID organisasi, folder, atau project untuk tempat Anda menerapkan batasan.
  2. Tetapkan kebijakan di organisasi menggunakan perintah set-policy. Perintah ini akan menimpa kebijakan apa pun yang berlaku, ditambahkan ke resource.

    1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

       name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs
       spec:
         rules:
         - values:
             allowedValues:
             - POLICY_VALUES
       

      Ganti kode berikut:

      • RESOURCE_TYPE: jenis resource untuk tempat Anda menerapkan kebijakan. Opsi yang valid adalah organizations, folders, atau projects.

      • ID: ID organisasi, folder, atau project untuk tempat Anda menerapkan batasan.

      • POLICY_VALUES: nilai yang mewakili frekuensi pengambilan sampel untuk Anda konfigurasi. Anda dapat menggabungkan beberapa nilai. Untuk informasi lebih lanjut, lihat Frekuensi pengambilan sampel untuk Log Aliran VPC.

      Batasan contoh ini memerlukan frekuensi pengambilan sampel minimal 10% di level organisasi:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - ESSENTIAL
           - LIGHT
           - COMPREHENSIVE
      

      Batasan contoh ini memerlukan frekuensi pengambilan sampel minimal 50% di level organisasi:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - LIGHT
           - COMPREHENSIVE
      
      

      Batasan contoh ini memerlukan frekuensi pengambilan sampel 100% di level organisasi:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - COMPREHENSIVE
      
    2. Jalankan perintah set-policy:

       gcloud org-policies set-policy /tmp/policy.yaml
       

  3. Lihat kebijakan yang berlaku saat ini menggunakan describe --effective. Perintah ini menampilkan kebijakan organisasi seperti yang dievaluasi pada tahap ini dalam hierarki resource, dengan pewarisan yang telah disertakan.

    gcloud org-policies describe \
        compute.requireVpcFlowLogs --effective \
        [ --organization=ID | --folder=ID | --project=ID ]
    

Efek dari penetapan persyaratan untuk Log Aliran VPC

Mengonfigurasi kebijakan organisasi dengan batasan constraints/compute.requireVpcFlowLogs, berarti Anda mungkin menemukan error ketika membuat subnet atau mengupdate konfigurasi Log Aliran VPC dari subnet yang ada, serta disebabkan oleh konfigurasi tidak memenuhi persyaratan kebijakan.

Jika menemukan error, Anda mungkin perlu mengetahui cara konfigurasi batasan agar dapat membuat konfigurasi yang valid. Jika Anda tidak memiliki izin IAM yang memadai untuk melihat batasan, hubungi administrator organisasi Anda.

Subnet yang dibuat sebelum kebijakan ditetapkan tidak akan terpengaruh oleh kebijakan tersebut, selama konfigurasi Log Aliran VPC tidak diperbarui.

Efek pada pembuatan subnet

Saat membuat subnet baru dalam cakupan kebijakan, hal berikut akan berlaku:

  • Jika Log Aliran VPC diaktifkan secara eksplisit dengan frekuensi pengambilan sampel yang memenuhi persyaratan kebijakan, sehingga subnet akan dibuat dengan Log Aliran VPC yang diaktifkan dan frekuensi pengambilan sampel yang diminta.

  • Jika Log Aliran VPC diaktifkan secara eksplisit dengan frekuensi pengambilan sampel yang tidak memenuhi persyaratan kebijakan, tampilan akan error dan subnet tidak dibuat.

  • Jika Log Aliran VPC dinonaktifkan secara eksplisit, tampilan akan error dan subnet tidak dibuat.

  • Jika Log Aliran VPC dan frekuensi pengambilan sampel tidak ditetapkan, subnet akan dibuat dengan Log Aliran VPC yang diaktifkan dan frekuensi pengambilan sampel minimum yang diwajibkan oleh kebijakan. Misalnya, jika kebijakan dikonfigurasi dengan nilai kebijakan LIGHT dan COMPREHENSIVE, frekuensi pengambilan sampel disetel ke 0.5 (50%).

Pengaruh pada update subnet

Saat mengupdate subnet yang ada dalam cakupan kebijakan, berlaku hal berikut:

  • Jika update mengaktifkan Log Aliran VPC atau telah diaktifkan dan frekuensi pengambilan sampel ditetapkan ke nilai yang memenuhi persyaratan kebijakan, subnet akan diperbarui dengan Log Aliran VPC yang telah diaktifkan dengan frekuensi pengambilan sampel yang diminta.

  • Jika update mengaktifkan Log Aliran VPC atau telah diaktifkan, dan frekuensi pengambilan sampel ditetapkan ke nilai yang tidak memenuhi persyaratan kebijakan, tampilan akan error dan subnet tidak diperbarui.

  • Jika update menonaktifkan Log Aliran VPC, tampilan akan error dan subnet tidak diperbarui.

  • Jika update menonaktifkan Log Aliran VPC dan frekuensi pengambilan sampel juga tidak ditetapkan, kebijakan akan diabaikan dan subnet akan tetap diupdate.

Efek pada pembuatan jaringan VPC mode otomatis

Saat jaringan VPC mode otomatis dibuat, subnet secara otomatis dibuat juga di setiap region. Jika jaringan berada dalam cakupan kebijakan Log Aliran VPC, Log Aliran VPC akan diaktifkan di subnet dengan frekuensi pengambilan sampel minimum yang ditentukan oleh kebijakan. Misalnya, jika kebijakan dikonfigurasi dengan nilai kebijakan LIGHT dan COMPREHENSIVE, frekuensi pengambilan sampel ditetapkan ke 0.5 (50%).

Langkah selanjutnya