在 Assured Workloads 和 Audit Manager 中管理雲端控制項
Assured Workloads 架構內建許多雲端控制項,可新增至自訂架構並部署在環境中。如有需要,您可以建立及管理自己的自訂雲端控管機制,並更新內建的雲端控管機制。
事前準備
-
如要取得管理雲端控制項架構所需的權限,請要求管理員在資料夾或專案中授予您下列 IAM 角色:
- Compliance Manager 管理員 (
roles/cloudsecuritycompliance.admin) -
如要建立或修改以組織政策為依據的雲端控管措施,請執行下列其中一項操作:
- 機構政策管理員 (
roles/orgpolicy.policyAdmin) - Assured Workloads 管理員 (
roles/assuredworkloads.admin) - Assured Workloads 編輯者 (
roles/assuredworkloads.editor)
- 機構政策管理員 (
-
如要建立或修改以專案政策為依據的雲端控管措施:
專案 IAM 管理員 (
roles/resourcemanager.projectIamAdmin)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
- Compliance Manager 管理員 (
查看雲端控管機制
完成下列步驟,即可查看內建的雲端控管機制,以及您已建立的任何自訂雲端控管機制。
前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。
如果系統提示,請選取您的機構。
按一下「雲端控制項」分頁標籤。系統會顯示可用的雲端控制選項清單。
資訊主頁會顯示哪些架構包含雲端控制項,以及雲端控制項套用的資源數量 (機構、資料夾和專案)。
如要查看雲端控管機制的詳細資料,請按一下控管機制名稱。
建立自訂雲端控管機制
自訂雲端控管機制僅適用於一種資源類型。目前僅支援 Cloud Asset Inventory 資源資料類型。自訂雲端控管機制不支援參數。
前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。
如果系統提示,請選取您的機構。
按一下「雲端控制項」分頁標籤。系統會顯示可用的雲端控制選項清單。
使用 Gemini 或手動建立 Cloud Control:
使用 Gemini
請 Gemini 為您生成雲端控管機制。Gemini 會根據提示提供專屬 ID、名稱、相關偵測邏輯和可能的補救步驟。
查看建議並進行必要變更。
儲存自訂雲端控管機制。
手動建立
在「Cloud control ID」中,提供控管機制的專屬 ID。
輸入名稱和說明,協助貴機構使用者瞭解自訂雲端控管機制的用途。
選用:選取控管的類別。按一下「繼續」。
為自訂雲端控管機制選取可用的資源類型。 Assured Workloads 架構支援所有資源類型。如要尋找資源名稱,請參閱「資產類型」。
以一般運算語言 (CEL) 格式提供 CloudControl 的偵測邏輯。
您可以使用 CEL 運算式定義資源屬性的評估方式。如需更多資訊和範例,請參閱「為自訂雲端控管機制編寫規則」。按一下「Continue」(繼續)。
如果評估規則無效,系統會顯示錯誤訊息。
選取適當的發現項目嚴重性。
撰寫補救說明,讓貴機構的事件回應人員和管理員可以解決雲端控制項的任何發現。按一下「繼續」。
檢查輸入內容,然後按一下「建立」。
編輯自訂雲端控管機制
建立雲端控管機制後,您可以變更其名稱、說明、規則、補救步驟和嚴重程度。您無法變更雲端控管機制類別。
前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。
如果系統提示,請選取您的機構。
按一下「雲端控制項」分頁標籤。系統會顯示可用的雲端控制選項清單。
按一下要編輯的雲端控制項。
在「雲端控管機制詳細資料」頁面中,確認雲端控管機制未納入任何架構。視需要編輯架構,移除雲端控管機制。
按一下 [編輯]。
在「編輯自訂 CloudControl」頁面中,視需要變更名稱和說明。按一下「Continue」(繼續)。
更新規則、發現項目的嚴重程度和補救步驟。 按一下「繼續」。
查看變更內容,然後按一下「儲存」。
將內建雲端控制項更新為較新版本
隨著服務部署新功能或出現新的最佳做法,Google 會定期更新內建的雲端控制項。更新內容可能包括新增控制選項,或是變更現有控制選項。
您可以在「設定」分頁的雲端控制項資訊主頁,或雲端控制項詳細資料頁面中,查看內建雲端控制項的版本。
如果下列項目有更新,Google 會在版本資訊中通知您:
- 雲端控管機制名稱
- 發現項目類別
- 規則中的偵測或預防邏輯變更
- 規則的基礎邏輯
收到通知後,如要更新雲端控制項,請取消指派並重新部署包含該控制項的架構。如需操作說明,請參閱「將架構更新至較新版本」。
刪除自訂雲端控管機制
不再需要時,請刪除 CloudControl。你只能刪除自己建立的雲端控制項。您無法刪除內建的雲端控管機制。
前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。
如果系統提示,請選取您的機構。
按一下「雲端控制項」分頁標籤。系統會顯示可用的雲端控制選項清單。
按一下要刪除的雲端遙控器。
在「雲端控管機制詳細資料」頁面中,確認雲端控管機制未納入任何架構。視需要編輯架構,移除雲端控管機制。
點選「刪除」。
在「刪除」視窗中,查看訊息。輸入
Delete,然後按一下「確認」。
後續步驟
- 進一步瞭解 Assured Workloads 架構。
- 瞭解如何管理架構。