在 Assured Workloads 中管理框架
Assured Workloads 框架由 云控制措施组成,可帮助您 在云环境中满足文件夹或项目的安全和法规要求。Assured Workloads 提供了许多内置框架(例如数据边界),但您也可以修改现有框架或创建自己的框架。如需创建自己的框架,首先需要确定或创建与企业的安全和合规义务相符的云控制措施。然后,将包含这些云控制措施的框架部署到所选文件夹或项目。
本页可帮助您完成以下步骤:
评估哪个内置框架最符合您的法规和安全要求。您可以创建自己的自定义框架,但我们建议您从内置框架着手。
确定哪些内置云控制措施与您的业务要求相对应。 您可以 根据需要创建自定义云控制措施 。
确定要将框架部署到哪个文件夹或项目。您可以通过以下方式部署框架:
- 单个资源(无论是文件夹还是项目)只能部署一个内置的预防性框架,例如数据边界。
- 单个资源(无论是文件夹还是项目)可以部署多个检测性框架。
- 多个资源可以部署相同的预防性或检测性框架。例如,父文件夹可以部署与其子项目相同的预防性或检测性框架。
复制现有框架并进行修改,使其满足您的要求。如果需要,您可以创建自定义框架。
在所选文件夹或项目上部署框架。
准备工作
-
如需获得应用框架所需的权限,请让管理员向您授予组织或项目的以下 IAM 角色:
- Compliance Manager 管理员 (
roles/cloudsecuritycompliance.admin) -
如需部署包含基于组织政策的云控制措施的框架,则为以下角色之一:
- Organization Policy Administrator (
roles/orgpolicy.policyAdmin) - Assured Workloads Administrator (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor)
- Organization Policy Administrator (
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
- Compliance Manager 管理员 (
查看框架
完成以下步骤,以查看内置框架或您已创建的其他框架的配置。
在 Google Cloud 控制台中,前往 框架 页面。
如果出现提示,请选择您的组织。
该信息中心会显示可用的框架、简要说明、支持的平台和层级,以及已分配给相应框架的资源。
如需查看特定框架的详细信息,请点击框架名称。
创建框架
确定哪些云控制措施适用于组织内或者特定文件夹或项目内的资源后,您就可以创建框架了。您可以创建自定义框架,也可以复制现有框架并对其进行修改。复制框架时,它会包含最新版本的所有内置云控制措施。
在 Google Cloud 控制台中,前往 框架 页面。
如果出现提示,请选择您的组织。
点击创建自定义框架 。
完成下列操作之一:
如需使用现有框架,请完成以下操作:
选择从现有框架开始。
选择要复制的框架。
如需创建自定义框架,请选择开始新建 。
为您的框架输入名称、唯一标识符和说明。点击 Continue 。
在为框架设置位置步骤中,选择特定 区域或多区域。如需详细了解可用区域,请参阅 Assured Workloads 位置。 点击 Continue 。
如果您要复制现有框架,系统会显示现有框架中包含的云控制措施列表。
如需添加所需的云控制措施,请完成以下操作:
如需添加现有云控制措施,请点击添加云控制措施。选择您需要的所有云控制措施,然后点击添加。
添加控制措施时,请验证控制措施的类型(检测、预防或审核)。请勿在您要用于监控环境和检测违规行为的框架中添加仅限审核的控制措施。 您无法部署包含仅限审核 控制措施的框架。
如需创建自定义云控制措施,请点击创建自定义云控制措施 。 如需了解相关说明,请参阅 创建自定义云控制措施。
点击 Continue 。
添加云控制措施所需的任何其他参数。
例如,您可以设置 Cloud Logging 存储位置、资源位置,以及修改允许的服务端点。
点击创建 。
部署框架
将框架部署到文件夹或项目,以便您可以使用框架的云控制措施来控制和监控这些资源。您可以通过以下方式部署框架:
- 单个资源(无论是文件夹还是项目)只能部署一个内置的预防性框架,例如数据边界。
- 单个资源(无论是文件夹还是项目)可以部署多个检测性框架。
- 多个资源可以部署相同的预防性或检测性框架。例如,父文件夹可以部署与其子项目相同的预防性或检测性框架。
文件夹和项目通过 Google Cloud 资源层次结构继承框架。 因此,如果您在文件夹级和项目级部署框架,则这两个框架中的所有云控制措施都将应用于项目中的资源。如果云控制措施定义存在任何差异,项目中的资源将使用较低级别的云控制措施。例如,如果云控制措施规则在文件夹级设置为“允许”,而在项目级设置为“拒绝”,则项目级的“拒绝”设置将应用于项目中的资源。
作为最佳实践,我们建议您在文件夹级部署一个框架,其中包含可应用于其所有项目的云控制措施。 然后,您可以将更严格的框架部署到需要这些框架的各个项目。
如果您选择嵌套框架部署(例如,将一个框架部署到父文件夹,然后将不同的框架部署到其子项目),则您有责任解决父资源和子资源上可能发生的任何违规行为。
在 Google Cloud 控制台中,前往 框架 页面。
如果出现提示,请选择您的组织。
对于要部署的框架,依次点击 更多操作 > 应用于资源。
请从下列选项中选择一项:
如需仅监控偏移,请选择监控 。
如需监控偏移并主动防止违规行为,请选择监控和预防 。
选择要将框架部署到的资源。您可以选择现有文件夹或项目。如果您选择主动预防违规行为,则可以创建一个新文件夹或项目,并将框架部署到该文件夹或项目。如果框架需要其他详细信息(例如 CMEK 项目或其他配置详细信息),您必须提供这些信息。
完成下列操作之一:
如果您选择了监控,请完成以下操作:
- 验证信息。
- 点击监控 。
如果您选择了监控和防范,请完成以下操作:
- 点击下一步。查看云控制措施和模式。
- 点击继续。
- 如果显示,请验证某些云控制措施所需的其他信息。
- 点击下一步。
- 查看您的选择,然后点击强制执行。
部署框架后,您可以监控环境是否偏离了您定义的云控制措施。Assured Workloads Monitoring 会将偏移情况报告为违规行为,您可以查看、过滤和解决这些违规行为。 在您部署框架后,大约需要 6 小时才会显示任何违规行为。
修改自定义框架
创建框架后,您可以更改其名称和说明、添加或移除云控制措施,以及更新任何参数。您只能修改自己创建的框架,而无法修改内置框架。
在 Google Cloud 控制台中,前往 框架 页面。
如果出现提示,请选择您的组织。
点击要修改的框架。
在框架详细信息 页面上,验证框架是否未分配给任何资源。如果需要, 请移除分配。
依次点击操作 > 修改。
在更新框架详细信息页面中,根据需要更改名称和说明。点击继续。
如需更改框架中包含的云控制措施,请完成以下操作:
如需添加现有云控制措施,请点击添加云控制措施。选择您需要的所有云控制措施,然后点击添加。
如需创建自定义云控制措施,请点击创建自定义云控制措施 。 如需了解相关说明,请参阅 创建自定义云控制措施。
如需移除云控制措施,请选择相应云控制措施,然后点击移除 。
点击继续。
添加云控制措施所需的任何其他参数。
点击保存。
从已部署的框架中移除资源
您可以移除已分配给已部署框架的文件夹或项目。移除资源意味着框架不再为资源层次结构的相应节点生成违规行为。
在 Google Cloud 控制台中,前往 框架 页面。
如果出现提示,请选择您的组织。
点击要从中取消分配资源的框架。
在框架详细信息页面上,点击操作 > 管理资源分配。
在分配的资源表中,找到要移除的资源,然后点击 删除。
查看确认消息,然后点击取消分配 。
将框架更新到较新版本
随着服务部署新功能或出现新的最佳实践,Google 会定期发布对内置框架的更新。您可以在配置 标签页的框架信息中心或框架详情页面中查看内置框架的版本。
如果发生以下更新,Google 会在控制台和版本说明中通知您:
- 在框架中添加或移除了内置云控制措施
- 内置云控制措施已更新
如需更新框架,请完成以下操作:
在 Google Cloud 控制台中,前往 框架 页面。
如果出现提示,请选择您的组织。
点击要更新的框架。
在框架详细信息 页面上的分配的资源 表格中,查看被标识为有更新 的任何分配的更新状态 。
如需应用更改,请完成以下操作:
删除自定义框架
如果不再需要某个框架,请将其删除。您只能删除自己创建的框架,而无法删除内置框架。
在 Google Cloud 控制台中,前往 框架 页面。
如果出现提示,请选择您的组织。
点击要从中取消分配资源的框架。
在框架详细信息 页面上,验证框架是否未分配给任何资源。如果需要, 请移除分配。
依次点击操作 > 删除。
在删除窗口中,查看消息。输入
Delete,然后点击确认。
后续步骤
- 详细了解 Assured Workloads 框架。
- 了解如何 管理云控制措施。