Assured Workloads と Audit Manager でクラウド コントロールを管理する

Assured Workloads フレームワークには、カスタム フレームワークに追加して環境にデプロイできる組み込みのクラウド コントロールが多数用意されています。必要に応じて、独自のカスタム クラウド コントロールを作成して管理し、組み込みのクラウド コントロールを更新できます。

始める前に

クラウド コントロールを表示する

組み込みのクラウド コントロールと、すでに作成したカスタム クラウド コントロールを表示するには、次の手順を行います。

  1. Google Cloud コンソールで、[フレームワーク] ページに移動します。

    [フレームワーク] に移動

  2. 表示された指示に従って組織を選択します。

  3. [Cloud Controls] タブをクリックします。使用可能なクラウド コントロールのリストが表示されます。

    ダッシュボードには、クラウド コントロールを含むフレームワークと、クラウド コントロールが適用されているリソース(組織、フォルダ、プロジェクト)の数に関する情報が表示されます。

  4. クラウド コントロールの詳細を表示するには、コントロール名をクリックします。

カスタム クラウド コントロールを作成

カスタム クラウド コントロールは、1 つのリソースタイプにのみ適用されます。サポートされているデータタイプは Cloud Asset Inventory リソースのみです。カスタム クラウド コントロールはパラメータをサポートしていません。

  1. Google Cloud コンソールで、[フレームワーク] ページに移動します。

    [フレームワーク] に移動

  2. 表示された指示に従って組織を選択します。

  3. [Cloud Controls] タブをクリックします。使用可能なクラウド コントロールのリストが表示されます。

  4. Gemini を使用するか手動で、クラウド コントロールを作成します。

Gemini を使用する

  1. Gemini にクラウド コントロールの生成を依頼します。Gemini は、プロンプトに基づいて、固有識別子、名前、関連する検出ロジック、可能な修復手順を提供します。

  2. 推奨事項を確認し、必要な変更を加えます。

  3. カスタム クラウド コントロールを保存します。

手動で作成する

  1. [クラウド コントロール ID] に、コントロールの固有識別子を指定します。

  2. 組織内のユーザーがカスタム クラウド コントロールの目的を理解できるように、名前と説明を入力します。

  3. 省略可: コントロールのカテゴリを選択します。[続行] をクリックします。

  4. カスタム クラウド コントロールで使用可能なリソースタイプを選択します。 Assured Workloads フレームワークは、すべてのリソースタイプをサポートしています。リソースの名前を確認するには、アセットタイプをご覧ください。

  5. Common Expression Language(CEL)形式で、クラウド コントロールの検出ロジックを指定します。

    CEL 式を使用すると、リソースのプロパティを評価する方法を定義できます。詳細と例については、カスタム クラウド コントロールのルールを作成するをご覧ください。[続行] をクリックします。

    評価ルールが有効になっていない場合は、エラーが表示されます。

  6. 適切な検出結果の重大度を選択します。

  7. 組織のインシデント対応者と管理者がクラウド コントロールの検出結果を解決できるように、修復手順を記述します。[続行] をクリックします。

  8. 入力内容を確認し、[作成] をクリックします。

カスタム クラウド コントロールを編集する

クラウド コントロールを作成した後、名前、説明、ルール、修復手順、重大度を変更できます。クラウド コントロールのカテゴリは変更できません。

  1. Google Cloud コンソールで、[フレームワーク] ページに移動します。

    [フレームワーク] に移動

  2. 表示された指示に従って組織を選択します。

  3. [Cloud Controls] タブをクリックします。使用可能なクラウド コントロールのリストが表示されます。

  4. 編集するクラウド コントロールをクリックします。

  5. [クラウド コントロールの詳細] ページで、クラウド コントロールがフレームワークに含まれていないことを確認します。必要に応じて、フレームワークを編集してクラウド コントロールを削除します。

  6. [編集] をクリックします。

  7. [カスタム クラウド コントロールの編集] ページで、必要に応じて名前と説明を変更します。[続行] をクリックします。

  8. ルール、検出結果の重大度、修復手順を更新します。[続行] をクリックします。

  9. 変更内容を確認して、[保存] をクリックします。

組み込みのクラウド コントロールを新しいリリースに更新する

Google は、サービスで新機能がデプロイされた場合や、新しいベスト プラクティスが導入された場合に、組み込みのクラウド コントロールの定期的な更新を公開します。更新には、新しいコントロールの追加や既存のコントロールの変更が含まれます。

組み込みのクラウド コントロールのリリースは、[構成] タブのクラウド コントロール ダッシュボードまたはクラウド コントロールの詳細ページで確認できます。

次の項目が更新されると、リリースノートで通知されます。

  • Cloud コントロール名
  • 検出結果のカテゴリ
  • ルールの検出ロジックまたは予防ロジックの変更
  • ルールの基盤となるロジック

通知を受け取った後にクラウド コントロールを更新するには、クラウド コントロールを含むフレームワークの割り当てを解除して再デプロイする必要があります。手順については、フレームワークを新しいリリースに更新するをご覧ください。

カスタム クラウド コントロールを削除する

不要になったクラウド コントロールを削除します。削除できるのは、作成したクラウド コントロールのみです。組み込みのクラウド コントロールは削除できません。

  1. Google Cloud コンソールで、[フレームワーク] ページに移動します。

    [フレームワーク] に移動

  2. 表示された指示に従って組織を選択します。

  3. [Cloud Controls] タブをクリックします。使用可能なクラウド コントロールのリストが表示されます。

  4. 削除するクラウド コントロールをクリックします。

  5. [クラウド コントロールの詳細] ページで、クラウド コントロールがフレームワークに含まれていないことを確認します。必要に応じて、フレームワークを編集してクラウド コントロールを削除します。

  6. [削除] をクリックします。

  7. [削除] ウィンドウで、メッセージを確認します。「Delete」と入力して、[確定] をクリックします。

次のステップ