Vincoli dei criteri dell'organizzazione per i log di flusso VPC

Questa pagina fornisce informazioni sui vincoli dei criteri dell'organizzazione che puoi configurare per i log di flusso VPC.

Gli amministratori possono abilitare o disabilitare i log di flusso VPC. Per impostazione predefinita, non sono imposti vincoli per l'abilitazione o la disabilitazione dei log di flusso VPC.

Un amministratore dei criteri dell'organizzazione può utilizzare il vincolo constraints/compute.requireVpcFlowLogs per richiedere l'abilitazione dei log di flusso VPC per tutte le subnet nell'ambito del criterio con una frequenza di campionamento specificata. Il criterio viene applicato forzatamente durante la creazione di subnet o l'aggiornamento della configurazione dei log di flusso VPC sulle subnet. Le subnet già esistenti non sono interessate se le configurazioni dei log di flusso VPC non vengono aggiornate.

Prima di iniziare

Autorizzazioni IAM

L'entità che crea i vincoli deve avere il ruolo Amministratore criteri di organizzazione (roles/orgpolicy.policyAdmin).

Le entità che visualizzano i vincoli devono disporre dell'autorizzazione orgpolicy.policy.get per la risorsa appropriata. Ad esempio, il ruolo Visualizzatore criteri organizzazione (roles/orgpolicy.policyViewer) include l'autorizzazione orgpolicy.policy.get.

Sfondo criteri dell'organizzazione

Se non hai mai lavorato sui vincoli dei criteri dell'organizzazione, vedi le seguenti pagine:

Pianificazione dei vincoli

Puoi creare vincoli ai seguenti livelli della gerarchia di risorse:

  • Organizzazione
  • Cartella
  • Progetto

Per impostazione predefinita, un vincolo creato in un nodo viene ereditato da tutti i nodi secondari. Tuttavia, un amministratore dei criteri dell'organizzazione per una determinata cartella può decidere se una determinata cartella eredita le cartelle principali, pertanto l'ereditarietà non è automatica. Per ulteriori informazioni, consulta la sezione Ereditarietà in Informazioni sulla valutazione della gerarchia.

Frequenza di campionamento per i log di flusso VPC

Puoi utilizzare il vincolo constraints/compute.requireVpcFlowLogs per assicurarti che le seguenti frequenze di esempio siano configurate sulle subnet.

Valore criterio Frequenza di campionamento
ESSENTIAL Maggiore o uguale a 0,1 (10%) e minore di 0,5 (50%)
LIGHT Maggiore o uguale a 0,5 (50%) e minore di 1,0 (100%)
COMPREHENSIVE Uguale a 1,0 (100%)

Questi valori dei criteri possono essere combinati. Consulta la seguente tabella per vedere alcuni esempi.

Frequenza di campionamento Valori da includere nel vincolo
Almeno 0,1 (10%) ESSENTIAL, LIGHT e COMPREHENSIVE
Almeno 0,5 (50%) LIGHT e COMPREHENSIVE
1,0 (100%) COMPREHENSIVE

Configura il vincolo dei log di flusso VPC

Console

Per ulteriori informazioni sulla configurazione di un vincolo utilizzando Cloud Console, consulta la personalizzazione dei criteri per i vincoli degli elenchi.

  1. Vai alla pagina dei criteri Richiedi criteri predefiniti per i log di flusso VPC in Cloud Console:

    Vai ai criteri dell'organizzazione

  2. Fai clic su Modifica.

  3. Nella pagina Modifica, seleziona un valore per Si applica a:

    • Eredita criterio: se stai configurando criteri per un progetto o una cartella, il criterio dell'ambito principale viene ereditato. Se configuri i criteri per un'organizzazione, il criterio non viene attivato.

    • Valore predefinito gestito da Google: disattiva il criterio, anche se è abilitato nell'ambito principale.

    • Personalizza: consente di attivare e configurare il criterio per tutte le subnet nell'ambito attuale.

  4. Per Applicazione delle norme, seleziona Sostituisci.

    L'opzione Unisci con principale non è consentita per i log di flusso VPC.

  5. Nella sezione Regole, fai clic su Aggiungi regola.

  6. Per Valori del criterio, seleziona Personalizzato.

    Non sono consentiti altri valori per i log di flusso VPC.

  7. Per Tipo di criterio, seleziona Consenti.

  8. Nella sezione Valori personalizzati, inserisci uno dei valori che rappresentano la frequenza di campionamento da configurare.

    Se devi specificare più valori per configurare la frequenza di campionamento desiderata, fai clic su Nuovo valore del criterio e inserisci il valore successivo. Ripeti la procedura se devi specificare un terzo valore.

  9. Fai clic su Salva.

gcloud

Per ulteriori informazioni sulla configurazione di un vincolo utilizzando l'interfaccia a riga di comando di Google Cloud, consulta Configurare l'applicazione forzata nella risorsa dell'organizzazione.

  1. Scarica il criterio corrente per la risorsa dell'organizzazione utilizzando il comando describe. Questo comando restituisce il criterio applicato direttamente a questa risorsa. Se un criterio non è impostato, il comando restituisce un errore NOT_FOUND.

    gcloud org-policies describe \
        compute.requireVpcFlowLogs \
        [ --organization=ID | --folder=ID | --project=ID ]
    

    Sostituisci quanto segue:

    • ID: l'ID dell'organizzazione, della cartella o del progetto a cui vuoi applicare il vincolo.
  2. Imposta il criterio sull'organizzazione utilizzando il comando set-policy. Questo comando sovrascrive qualsiasi criterio attualmente associato alla risorsa.

    1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

       name: RESOURCE_TYPE/ID/policies/compute.requireVpcFlowLogs
       spec:
         rules:
         - values:
             allowedValues:
             - POLICY_VALUES
       

      Sostituisci quanto segue:

      • RESOURCE_TYPE: il tipo di risorsa a cui vuoi applicare il criterio. Le opzioni valide sono organizations, folders o projects.

      • ID: l'ID dell'organizzazione, della cartella o del progetto a cui vuoi applicare il vincolo.

      • POLICY_VALUES: i valori che rappresentano la frequenza di campionamento che vuoi configurare. Puoi combinare più valori. Per ulteriori informazioni, consulta la sezione Campionare le tariffe per i log di flusso VPC.

      Questo vincolo di esempio richiede una frequenza di campionamento di almeno il 10% a livello di organizzazione:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - ESSENTIAL
           - LIGHT
           - COMPREHENSIVE
      

      Questo vincolo di esempio richiede una frequenza di campionamento di almeno il 50% a livello di organizzazione:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - LIGHT
           - COMPREHENSIVE
      
      

      Questo vincolo di esempio richiede una frequenza di campionamento del 100% a livello di organizzazione:

      name: organizations/ID/policies/compute.requireVpcFlowLogs
      spec:
       rules:
       - values:
           allowedValues:
           - COMPREHENSIVE
      
    2. Esegui il comando set-policy:

       gcloud org-policies set-policy /tmp/policy.yaml
       

  3. Visualizza il criterio attualmente in vigore tramite describe --effective. Questo comando restituisce il criterio dell'organizzazione perché viene valutato a questo punto nella gerarchia delle risorse, con l'ereditarietà inclusa.

    gcloud org-policies describe \
        compute.requireVpcFlowLogs --effective \
        [ --organization=ID | --folder=ID | --project=ID ]
    

Effetti dell'impostazione di un requisito per i log di flusso VPC

Se configuri un criterio dell'organizzazione con il vincolo constraints/compute.requireVpcFlowLogs, potresti visualizzare degli errori se crei una subnet o aggiorni la configurazione dei log di flusso VPC di una subnet esistente e la configurazione non soddisfa i requisiti del criterio.

Se visualizzi errori, potresti dover sapere come è configurato il vincolo in modo da poter creare una configurazione valida. Se non disponi di autorizzazioni IAM sufficienti per visualizzare il vincolo, contatta l'amministratore della tua organizzazione.

Le subnet create prima dell'impostazione del criterio non sono interessate dal criterio, a condizione che la configurazione dei log di flusso VPC non sia aggiornata.

Effetti sulla creazione delle subnet

Quando crei una nuova subnet nell'ambito del criterio, si applica quanto segue:

  • Se i log di flusso VPC sono esplicitamente abilitati con una frequenza di campionamento che soddisfa i requisiti del criterio, viene creata la subnet con i log di flusso VPC abilitati e la frequenza di campionamento richiesta.

  • Se i log di flusso VPC sono esplicitamente abilitati con una frequenza di campionamento che non soddisfa i requisiti del criterio, viene restituito un errore e la subnet non viene creata.

  • Se i log di flusso VPC sono disabilitati esplicitamente, viene restituito un errore e la subnet non viene creata.

  • Se i log di flusso VPC non sono impostati e non viene impostata anche la frequenza di campionamento, viene creata una subnet con log di flusso VPC abilitati e la frequenza di campionamento minima richiesta dal criterio. Ad esempio, se il criterio è configurato con valori di criterio LIGHT e COMPREHENSIVE, la frequenza di campionamento è impostata su 0.5 (50%).

Effetti sugli aggiornamenti delle subnet

Quando si aggiorna una subnet esistente nell'ambito dei criteri, si applica quanto segue:

  • Se l'aggiornamento consente i log di flusso VPC o se i log di flusso VPC sono già stati abilitati, e la frequenza di campionamento è impostata su un valore che soddisfa i requisiti del criterio, la subnet viene aggiornata con i log di flusso VPC abilitati con la frequenza di campionamento richiesta.

  • Se l'aggiornamento abilita i log di flusso VPC o se i log di flusso VPC sono già stati abilitati e la frequenza di campionamento è impostata su un valore che non soddisfa i requisiti del criterio, viene restituito un errore e la subnet non viene aggiornata.

  • Se l'aggiornamento disabilita i log di flusso VPC, viene restituito un errore e la subnet non viene aggiornata.

  • Se l'aggiornamento non abilita o disabilita i log di flusso VPC e non viene impostata anche la frequenza di campionamento, il criterio viene ignorato e la subnet viene aggiornata.

Effetti sulla creazione della rete VPC in modalità automatica

Quando viene creata una rete VPC in modalità automatica, in ogni area geografica viene creata automaticamente una subnet. Se la rete rientra nell'ambito di un criterio dei log di flusso VPC, i log di flusso VPC vengono abilitati nelle subnet con la frequenza di campionamento minima definita dal criterio. Ad esempio, se il criterio è configurato con valori di criterio LIGHT e COMPREHENSIVE, la frequenza di campionamento è impostata su 0.5 (50%).

Passaggi successivi