Gérer les contrôles cloud dans Assured Workloads et Audit Manager
Les frameworks Assured Workloads incluent de nombreux contrôles cloud intégrés que vous pouvez ajouter à des frameworks personnalisés et déployer dans votre environnement. Si nécessaire, vous pouvez créer et gérer vos propres contrôles cloud personnalisés, et mettre à jour les contrôles cloud intégrés.
Avant de commencer
-
Pour obtenir les autorisations nécessaires pour gérer les frameworks de contrôles cloud, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre dossier ou projet :
- Administrateur de Compliance Manager (
roles/cloudsecuritycompliance.admin) -
Pour créer ou modifier des contrôles cloud basés sur des règles d'administration#39;administration, vous devez disposer de l'un des rôles suivants :
- Administrateur des règles d'administration (
roles/orgpolicy.policyAdmin) - Administrateur Assured Workloads (
roles/assuredworkloads.admin) - Éditeur Assured Workloads (
roles/assuredworkloads.editor)
- Administrateur des règles d'administration (
-
Pour créer ou modifier des contrôles cloud basés sur des règles de projet : Administrateur IAM de projet (
roles/resourcemanager.projectIamAdmin)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
- Administrateur de Compliance Manager (
Afficher les contrôles cloud
Suivez les étapes ci-dessous pour afficher les contrôles cloud intégrés et les contrôles cloud personnalisés que vous avez déjà créés.
Dans la console Google Cloud , accédez à la page Frameworks.
Si vous y êtes invité, sélectionnez votre organisation.
Cliquez sur l'onglet Commandes cloud. La liste des commandes cloud disponibles s'affiche.
Le tableau de bord indique les frameworks qui incluent le contrôle cloud et le nombre de ressources (organisation, dossiers et projets) auxquelles le contrôle cloud est appliqué.
Pour afficher des informations sur un contrôle cloud, cliquez sur son nom.
Créer un contrôle cloud personnalisé
Un contrôle cloud personnalisé ne s'applique qu'à un seul type de ressource. Le seul type de données accepté est celui des ressources inventaire des éléments cloud. Les contrôles cloud personnalisés ne sont pas compatibles avec les paramètres.
Dans la console Google Cloud , accédez à la page Frameworks.
Si vous y êtes invité, sélectionnez votre organisation.
Cliquez sur l'onglet Commandes cloud. La liste des commandes cloud disponibles s'affiche.
Créez un contrôle cloud avec Gemini ou manuellement :
Utiliser Gemini
Demandez à Gemini de générer un contrôle cloud pour vous. En fonction de votre requête, Gemini fournit un identifiant unique, un nom, une logique de détection associée et d'éventuelles étapes de correction.
Examinez les recommandations et apportez les modifications nécessaires.
Enregistrez votre contrôle cloud personnalisé.
Créer manuellement
Dans ID du contrôle cloud, indiquez un identifiant unique pour votre contrôle.
Saisissez un nom et une description pour aider les utilisateurs de votre organisation à comprendre l'objectif du contrôle cloud personnalisé.
Facultatif : Sélectionnez les catégories du contrôle. Cliquez sur Continuer.
Sélectionnez un type de ressource disponible pour votre contrôle cloud personnalisé. Les frameworks Assured Workloads sont compatibles avec tous les types de ressources. Pour trouver le nom d'une ressource, consultez Types d'assets.
Fournissez la logique de détection pour votre contrôle cloud, au format CEL (Common Expression Language).
Les expressions CEL vous permettent de définir la manière dont vous souhaitez évaluer les propriétés d'une ressource. Pour en savoir plus et obtenir des exemples, consultez Écrire des règles pour les contrôles cloud personnalisés. Cliquez sur Continuer.
Si votre règle d'évaluation n'est pas valide, une erreur s'affiche.
Sélectionnez le niveau de gravité approprié pour les résultats.
Rédigez vos instructions de correction afin que les responsables de la gestion des incidents et les administrateurs de votre organisation puissent résoudre les problèmes liés au contrôle du cloud. Cliquez sur Continuer.
Vérifiez vos entrées, puis cliquez sur Créer.
Modifier un contrôle cloud personnalisé
Une fois que vous avez créé un contrôle cloud, vous pouvez modifier son nom, sa description, ses règles, ses étapes de correction et son niveau de gravité. Vous ne pouvez pas modifier la catégorie de contrôle cloud.
Dans la console Google Cloud , accédez à la page Frameworks.
Si vous y êtes invité, sélectionnez votre organisation.
Cliquez sur l'onglet Commandes cloud. La liste des commandes cloud disponibles s'affiche.
Cliquez sur le contrôle cloud que vous souhaitez modifier.
Sur la page Détails des contrôles cloud, vérifiez que le contrôle cloud n'est pas inclus dans un framework. Si nécessaire, modifiez le framework pour supprimer le contrôle cloud.
Cliquez sur Modifier.
Sur la page Modifier le contrôle cloud personnalisé, modifiez le nom et la description selon vos besoins. Cliquez sur Continuer.
Mettez à jour les règles, le niveau de gravité des résultats et les étapes de correction. Cliquez sur Continuer.
Vérifiez les modifications apportées, puis cliquez sur Enregistrer.
Mettre à jour un contrôle cloud intégré vers une version plus récente
Google publie régulièrement des mises à jour de ses contrôles cloud intégrés à mesure que les services déploient de nouvelles fonctionnalités ou que de nouvelles bonnes pratiques émergent. Les mises à jour peuvent inclure de nouvelles commandes ou des modifications apportées aux commandes existantes.
Vous pouvez afficher les versions des contrôles cloud intégrés dans le tableau de bord des contrôles cloud de l'onglet Configurer ou sur la page d'informations sur les contrôles cloud.
Google vous avertit dans les notes de version lorsque les éléments suivants sont mis à jour :
- Nom du contrôle cloud
- Catégorie de résultats
- Modification de la logique de détection ou de prévention dans une règle
- Logique sous-jacente d'une règle
Pour mettre à jour un contrôle cloud après avoir reçu une notification, vous devez dissocier et redéployer les frameworks qui incluent le contrôle cloud. Pour obtenir des instructions, consultez Mettre à jour un framework vers une version plus récente.
Supprimer un contrôle cloud personnalisé
Supprimez un contrôle cloud lorsqu'il n'est plus nécessaire. Vous ne pouvez supprimer que les commandes cloud que vous créez. Vous ne pouvez pas supprimer les contrôles cloud intégrés.
Dans la console Google Cloud , accédez à la page Frameworks.
Si vous y êtes invité, sélectionnez votre organisation.
Cliquez sur l'onglet Commandes cloud. La liste des commandes cloud disponibles s'affiche.
Cliquez sur le contrôle cloud que vous souhaitez supprimer.
Sur la page Détails des contrôles cloud, vérifiez que le contrôle cloud n'est pas inclus dans un framework. Si nécessaire, modifiez le framework pour supprimer le contrôle cloud.
Cliquez sur Supprimer.
Dans la fenêtre Supprimer, lisez le message. Saisissez
Delete, puis cliquez sur Confirmer.
Étapes suivantes
- En savoir plus sur les frameworks Assured Workloads
- Découvrez comment gérer les frameworks.