Assured Workloads と Audit Manager でクラウド コントロールを管理する
Assured Workloads フレームワークには、カスタム フレームワークに追加して環境にデプロイできる組み込みのクラウド コントロールが多数用意されています。必要に応じて、独自のカスタム クラウド コントロールを作成して管理し、組み込みのクラウド コントロールを更新できます。
始める前に
-
クラウド コントロール フレームワークを管理するために必要な権限を取得するには、フォルダまたはプロジェクトに対する次の IAM ロールを付与するよう管理者に依頼します。
- コンプライアンス マネージャー管理者 (
roles/cloudsecuritycompliance.admin) -
組織のポリシーに基づくクラウド コントロールを作成または変更するには、次のいずれかが必要です。
- 組織のポリシー管理者 (
roles/orgpolicy.policyAdmin) - Assured Workloads 管理者 (
roles/assuredworkloads.admin) - Assured Workloads 編集者 (
roles/assuredworkloads.editor)
- 組織のポリシー管理者 (
-
プロジェクト ポリシーに基づくクラウド コントロールを作成または変更する: プロジェクト IAM 管理者 (
roles/resourcemanager.projectIamAdmin)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
- コンプライアンス マネージャー管理者 (
クラウド コントロールを表示する
組み込みのクラウド コントロールと、すでに作成したカスタム クラウド コントロールを表示するには、次の手順を行います。
Google Cloud コンソールで、[フレームワーク] ページに移動します。
表示された指示に従って組織を選択します。
[Cloud Controls] タブをクリックします。使用可能なクラウド コントロールのリストが表示されます。
ダッシュボードには、クラウド コントロールを含むフレームワークと、クラウド コントロールが適用されているリソース(組織、フォルダ、プロジェクト)の数に関する情報が表示されます。
クラウド コントロールの詳細を表示するには、コントロール名をクリックします。
カスタム クラウド コントロールを作成
カスタム クラウド コントロールは、1 つのリソースタイプにのみ適用されます。サポートされているデータタイプは Cloud Asset Inventory リソースのみです。カスタム クラウド コントロールはパラメータをサポートしていません。
Google Cloud コンソールで、[フレームワーク] ページに移動します。
表示された指示に従って組織を選択します。
[Cloud Controls] タブをクリックします。使用可能なクラウド コントロールのリストが表示されます。
Gemini を使用するか手動で、クラウド コントロールを作成します。
Gemini を使用する
Gemini にクラウド コントロールの生成を依頼します。Gemini は、プロンプトに基づいて、固有識別子、名前、関連する検出ロジック、可能な修復手順を提供します。
推奨事項を確認し、必要な変更を加えます。
カスタム クラウド コントロールを保存します。
手動で作成する
[クラウド コントロール ID] に、コントロールの固有識別子を指定します。
組織内のユーザーがカスタム クラウド コントロールの目的を理解できるように、名前と説明を入力します。
省略可: コントロールのカテゴリを選択します。[続行] をクリックします。
カスタム クラウド コントロールで使用可能なリソースタイプを選択します。 Assured Workloads フレームワークは、すべてのリソースタイプをサポートしています。リソースの名前を確認するには、アセットタイプをご覧ください。
Common Expression Language(CEL)形式で、クラウド コントロールの検出ロジックを指定します。
CEL 式を使用すると、リソースのプロパティを評価する方法を定義できます。詳細と例については、カスタム クラウド コントロールのルールを作成するをご覧ください。[続行] をクリックします。
評価ルールが有効になっていない場合は、エラーが表示されます。
適切な検出結果の重大度を選択します。
組織のインシデント対応者と管理者がクラウド コントロールの検出結果を解決できるように、修復手順を記述します。[続行] をクリックします。
入力内容を確認し、[作成] をクリックします。
カスタム クラウド コントロールを編集する
クラウド コントロールを作成した後、名前、説明、ルール、修復手順、重大度を変更できます。クラウド コントロールのカテゴリは変更できません。
Google Cloud コンソールで、[フレームワーク] ページに移動します。
表示された指示に従って組織を選択します。
[Cloud Controls] タブをクリックします。使用可能なクラウド コントロールのリストが表示されます。
編集するクラウド コントロールをクリックします。
[クラウド コントロールの詳細] ページで、クラウド コントロールがフレームワークに含まれていないことを確認します。必要に応じて、フレームワークを編集してクラウド コントロールを削除します。
[編集] をクリックします。
[カスタム クラウド コントロールの編集] ページで、必要に応じて名前と説明を変更します。[続行] をクリックします。
ルール、検出結果の重大度、修復手順を更新します。[続行] をクリックします。
変更内容を確認して、[保存] をクリックします。
組み込みのクラウド コントロールを新しいリリースに更新する
Google は、サービスで新機能がデプロイされた場合や、新しいベスト プラクティスが導入された場合に、組み込みのクラウド コントロールの定期的な更新を公開します。更新には、新しいコントロールの追加や既存のコントロールの変更が含まれます。
組み込みのクラウド コントロールのリリースは、[構成] タブのクラウド コントロール ダッシュボードまたはクラウド コントロールの詳細ページで確認できます。
次の項目が更新されると、リリースノートで通知されます。
- Cloud コントロール名
- 検出結果のカテゴリ
- ルールの検出ロジックまたは予防ロジックの変更
- ルールの基盤となるロジック
通知を受け取った後にクラウド コントロールを更新するには、クラウド コントロールを含むフレームワークの割り当てを解除して再デプロイする必要があります。手順については、フレームワークを新しいリリースに更新するをご覧ください。
カスタム クラウド コントロールを削除する
不要になったクラウド コントロールを削除します。削除できるのは、作成したクラウド コントロールのみです。組み込みのクラウド コントロールは削除できません。
Google Cloud コンソールで、[フレームワーク] ページに移動します。
表示された指示に従って組織を選択します。
[Cloud Controls] タブをクリックします。使用可能なクラウド コントロールのリストが表示されます。
削除するクラウド コントロールをクリックします。
[クラウド コントロールの詳細] ページで、クラウド コントロールがフレームワークに含まれていないことを確認します。必要に応じて、フレームワークを編集してクラウド コントロールを削除します。
[削除] をクリックします。
[削除] ウィンドウで、メッセージを確認します。「
Delete」と入力して、[確定] をクリックします。
次のステップ
- Assured Workloads フレームワークの詳細を確認する。
- フレームワークを管理する方法を学習する。