在 Assured Workloads 和 Audit Manager 中管理云控制措施
Assured Workloads 框架包含许多内置云控制措施,您可以将这些控制措施添加到自定义框架中,并在环境中部署。您可以根据需要创建和管理自己的自定义云控制措施,并更新内置云控制措施。
准备工作
-
如需获得管理云控制框架所需的权限,请让管理员向您授予文件夹或项目的以下 IAM 角色:
- Compliance Manager Admin (
roles/cloudsecuritycompliance.admin) -
如需创建或修改基于组织政策的云控制措施,则为以下角色之一:
- Organization Policy Administrator (
roles/orgpolicy.policyAdmin) - Assured Workloads Administrator (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor)
- Organization Policy Administrator (
-
如需创建或修改基于项目政策的云控制措施:
Project IAM Admin (
roles/resourcemanager.projectIamAdmin)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
- Compliance Manager Admin (
查看云控制措施
完成以下步骤,以查看内置云控制措施和您已创建的任何自定义云控制措施。
在 Google Cloud 控制台中,前往 框架 页面。
如果出现提示,请选择您的组织。
点击云控制措施 标签页。系统会显示可用云控制措施的列表。
该信息中心包含以下信息:哪些框架包含云控制措施,以及云控制措施应用于多少资源(组织、文件夹和项目)。
如需查看云控制措施的详细信息,请点击相应控制措施名称。
创建自定义云控制措施
自定义云控制措施仅适用于一种 资源类型。唯一支持的数据类型是 Cloud Asset Inventory 资源。自定义云控制不支持参数。
在 Google Cloud 控制台中,前往 框架 页面。
如果出现提示,请选择您的组织。
点击云控制措施 标签页。系统会显示可用云控制措施的列表。
使用 Gemini 或手动创建云控制措施:
使用 Gemini
让 Gemini 为您生成云控制措施。根据您的提示,Gemini 会提供唯一标识符、名称、关联的检测逻辑和可能的修复步骤。
查看建议并进行任何必要的更改。
保存自定义云控制措施。
手动创建
在云控制措施 ID 中,为您的控制措施提供唯一标识符。
输入名称和说明,以帮助贵组织的用户了解自定义云控制措施的用途。
可选:为控制措施选择类别。点击继续。
为您的自定义云控制措施选择一种可用的资源类型。 Assured Workloads 框架支持所有资源类型。如需查找 资源的名称,请参阅资产类型。
以通用表达式语言 (CEL) 格式为您的云控制措施提供检测逻辑。
借助 CEL 表达式,您可以定义要如何评估资源的属性。如需了解详情和示例,请参阅 为自定义云控制措施编写规则。 点击继续 。
如果评估规则无效,系统会显示错误。
选择适当的发现结果严重程度。
编写修复说明,以便贵组织中的突发事件响应人员和管理员能够解决该云控制措施的所有相关发现结果。点击继续 。
查看您输入的内容,然后点击创建。
修改自定义云控制措施
创建云控制措施后,您可以更改其名称、说明、规则、补救步骤和严重程度。您无法更改云控制措施类别。
在 Google Cloud 控制台中,前往 框架 页面。
如果出现提示,请选择您的组织。
点击云控制措施 标签页。系统会显示可用云控制措施的列表。
点击要修改的云控制。
在云控制措施详情 页面中,验证云控制措施是否未包含在框架中。如果需要, 请修改框架以移除云控制措施。
点击修改 。
在修改自定义云控制措施页面中,根据需要更改名称和说明。点击继续 。
更新规则、发现结果严重程度和补救步骤。 点击继续 。
查看您的更改,然后点击保存。
将内置云控制更新到较新版本
随着服务部署新功能或出现新的最佳实践,Google 会定期更新其内置的云控制措施。更新可能包括新控件或对现有控件的更改。
您可以在配置 标签页的云控制信息中心或云控制详情页面中查看内置云控制的版本。
以下项更新时,Google 会在版本说明中通知您:
- 云控制措施名称
- 发现结果类别
- 规则中检测性或预防性逻辑的更改
- 规则的底层逻辑
在收到通知后,如需更新云控制措施,您必须取消分配并重新部署包含该云控制措施的框架。如需了解相关说明, 请参阅 将框架更新到较新版本。
删除自定义云控制措施
如果不再需要云控制,请将其删除。您只能删除自己创建的云控制措施。您无法删除内置的云控制措施。
在 Google Cloud 控制台中,前往 框架 页面。
如果出现提示,请选择您的组织。
点击云控制措施 标签页。系统会显示可用云控制措施的列表。
点击要删除的云控制。
在云控制措施详情 页面中,验证云控制措施是否未包含在框架中。如果需要, 请修改框架以移除云控制措施。
点击删除 。
在删除窗口中,查看消息。输入
Delete,然后点击确认。
后续步骤
- 详细了解 Assured Workloads 框架。
- 了解如何 管理框架。