在 Assured Workloads 中管理架構
Assured Workloads 架構包含雲端控管機制,可協助您在雲端環境中,滿足資料夾或專案的安全性和法規要求。Assured Workloads 提供許多內建架構,例如資料邊界,但您也可以修改現有架構或建立自己的架構。如要建立自己的架構,請先找出或建立符合貴商家安全和法規遵循義務的雲端控管機制。然後,將包含這些雲端控制項的架構部署至所選資料夾或專案。
本頁面可協助您完成下列步驟:
評估哪一個內建架構最符合您的法規和安全需求。您可以建立自己的自訂架構,但建議先從內建架構著手。
判斷哪些內建雲端控制項符合您的業務需求。您可以視需要建立自訂雲端控管機制。
決定要將架構部署到哪個資料夾或專案。您可以透過下列方式部署架構:
- 單一資源 (無論是資料夾或專案) 只能有一個內建的預防性架構,例如部署至該資源的資料邊界。
- 單一資源 (資料夾或專案) 可部署多個偵測架構。
- 多個資源可以部署相同的預防或偵測架構。舉例來說,父項資料夾可部署與子項專案相同的預防或偵測架構。
複製現有框架,並根據需求進行修改。如有需要,您可以建立自訂架構。
在所選資料夾或專案中部署架構。
事前準備
-
如要取得套用架構所需的權限,請要求管理員在您的組織或專案中,授予下列 IAM 角色:
- Compliance Manager 管理員 (
roles/cloudsecuritycompliance.admin) -
如要部署包含雲端控制項的架構 (以組織政策為依據),請執行下列其中一項操作:
- 機構政策管理員 (
roles/orgpolicy.policyAdmin) - Assured Workloads 管理員 (
roles/assuredworkloads.admin) - Assured Workloads 編輯者 (
roles/assuredworkloads.editor)
- 機構政策管理員 (
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
- Compliance Manager 管理員 (
查看架構
如要查看內建架構或您已建立的其他架構的設定,請完成下列步驟。
前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。
如果系統提示,請選取您的機構。
資訊主頁會顯示可用的架構、簡短說明、支援的平台和層級,以及架構已指派的資源。
如要查看特定架構的詳細資料,請按一下架構名稱。
建立架構
決定哪些雲端控制項適用於機構或特定資料夾/專案中的資源後,即可建立架構。您可以建立自訂架構,也可以複製現有架構並加以修改。複製架構時,系統會一併複製所有內建雲端控制項的最新版本。
前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。
如果系統提示,請選取您的機構。
按一下「建立自訂架構」。
完成下列任一操作:
如要使用現有框架,請完成下列步驟:
選取「依據現有架構開始建立」。
選取要複製的架構。
如要建立自訂架構,請選取「開始新架構」。
輸入架構的名稱、專屬 ID 和說明。按一下「Continue」(繼續)。
在「為架構設定位置」步驟中,選取特定區域或多區域。如要進一步瞭解可用區域,請參閱「Assured Workloads 區域」。然後點按「繼續」。
如果您要複製現有架構,系統會顯示現有架構中的雲端控管機制清單。
如要新增所需雲端控管機制,請完成下列步驟:
如要新增現有的雲端控管措施,請按一下「新增雲端控管措施」。選取所有需要的雲端控管機制,然後按一下「新增」。
新增控制項時,請確認控制項類型 (偵測、預防或稽核)。如果您想使用架構監控環境並偵測違規行為,請勿在架構中加入僅限稽核的控管措施。您無法部署僅限稽核的控管機制。
如要建立自訂雲端控管機制,請按一下「建立自訂雲端控管機制」。 如需操作說明,請參閱「建立自訂雲端控管機制」。
按一下「繼續」。
新增雲端控管機制要求的其他參數。
舉例來說,您可以設定 Cloud Logging 儲存位置、資源位置,以及修改允許的服務端點。
點選「建立」。
部署架構
將框架部署至資料夾或專案,即可使用框架的雲端控管機制控管及監控這些資源。您可以透過下列方式部署架構:
- 單一資源 (無論是資料夾或專案) 只能有一個內建的預防性架構,例如部署至該資源的資料邊界。
- 單一資源 (資料夾或專案) 可以部署多個偵探架構。
- 多個資源可以部署相同的預防或偵測架構。舉例來說,父項資料夾可部署與子項專案相同的預防或偵測架構。
資料夾和專案會透過 Google Cloud 資源階層繼承架構。因此,如果您在資料夾層級和專案層級部署架構,這兩個架構中的所有雲端控制項都會套用至專案中的資源。如果雲端控制項定義有任何差異,專案中的資源會使用較低層級的雲端控制項。舉例來說,如果雲端控管規則在資料夾層級設為「允許」,在專案層級設為「拒絕」,則專案層級的「拒絕」設定會套用至專案中的資源。
最佳做法是,在資料夾層級部署框架,其中包含可套用至所有專案的雲端控制項。然後再將更嚴格的架構部署到需要這些架構的個別專案。
如果您選擇巢狀部署架構 (例如將一個架構部署至父項資料夾,然後將不同架構部署至子項專案),您有責任解決父項和子項資源可能發生的任何法規遵循違規問題。
前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。
如果系統提示,請選取您的機構。
針對要部署的架構,依序點選 「More Actions」(更多動作)>「Apply to resources」(套用至資源)。
您可以選擇下列其中一個選項:
如要只監控偏移情形,請選擇「監控」。
如要監控變異情形並主動防止違規,請選擇「監控並防止」。
選取要部署架構的資源。您可以選擇現有資料夾或專案。如果您選擇主動防範違規行為,可以建立新的資料夾或專案,並將架構部署至其中。如果架構需要其他詳細資料,例如 CMEK 專案或其他設定詳細資料,您必須提供這些資訊。
完成下列任一操作:
如果選取「Monitor」(監控),請完成下列步驟:
- 驗證資訊。
- 按一下「監控」。
如果您選取「監控及防範」,請完成下列步驟:
- 點選「下一步」。查看雲端控制選項和模式。
- 按一下「繼續」。
- 如果顯示,請驗證部分雲端控管機制所需的額外資訊。
- 點選「下一步」。
- 檢查所選項目,然後按一下「強制執行」。
部署架構後,您可以監控環境,瞭解是否與定義的雲端控制項有任何差異。Assured Workloads 的監控功能會將漂移情況回報為違規事項,供您查看、篩選及解決。部署架構後,違規事項大約需要六小時才會顯示。
編輯自訂架構
建立框架後,您可以變更名稱和說明、新增或移除雲端控制項,以及更新任何參數。您只能編輯自己建立的架構,無法編輯內建架構。
前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。
如果系統提示,請選取您的機構。
按一下要編輯的架構。
在「架構詳細資料」頁面中,確認架構未指派給資源。視需要移除指派作業。
依序點選「動作」>「編輯」。
在「更新架構詳細資料」頁面中,視需要變更名稱和說明。按一下「Continue」(繼續)。
如要變更架構中包含的雲端控制項,請完成下列步驟:
如要新增現有的雲端控管措施,請按一下「新增雲端控管措施」。選取所有需要的雲端控管機制,然後按一下「新增」。
如要建立自訂雲端控管機制,請按一下「建立自訂雲端控管機制」。 如需操作說明,請參閱「建立自訂雲端控管機制」。
如要移除雲端控管機制,請選取該機制,然後按一下「移除」。
按一下「繼續」。
新增雲端控管機制要求的其他參數。
按一下 [儲存]。
從已部署的架構中移除資源
您可以移除指派給已部署架構的資料夾或專案。移除資源後,架構就不會再針對資源階層的該節點產生違規事項。
前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。
如果系統提示,請選取您的機構。
按一下要取消指派資源的架構。
在「架構詳細資料」頁面中,依序點選「動作」>「管理資源指派項目」。
在「已指派的資源」表格中,找出要移除的資源,然後按一下「刪除」圖示 。
詳閱確認訊息,然後按一下「取消指派」。
將架構更新為新版
當服務部署新功能或出現新的最佳做法時,Google 會定期更新內建架構。您可以在「設定」分頁的架構資訊主頁,或架構詳細資料頁面中,查看內建架構的版本。
發生下列更新時,Google 會在控制台和版本資訊中通知您:
- 在架構中新增或移除內建雲端控管機制
- 內建雲端控制選項已更新
如要更新架構,請完成下列步驟:
前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。
如果系統提示,請選取您的機構。
按一下要更新的架構。
在「架構詳細資料」頁面的「已指派的資源」表格中,查看所有標示為「有可用更新」的指派項目「更新狀態」。
如要套用變更,請完成下列步驟:
重新將架構部署至資源,Assured Workloads 架構即可繼續監控資源並建立違規事項。
刪除自訂架構
不再需要架構時,請刪除該架構。您只能刪除自己建立的架構,無法刪除內建架構。
前往 Google Cloud 控制台的「Frameworks」(架構) 頁面。
如果系統提示,請選取您的機構。
按一下要取消指派資源的架構。
在「架構詳細資料」頁面中,確認架構未指派給資源。視需要移除指派作業。
依序點選「動作」>「刪除」。
在「刪除」視窗中,查看訊息。輸入
Delete,然後按一下「確認」。
後續步驟
- 進一步瞭解 Assured Workloads 架構。
- 瞭解如何管理雲端控制選項。