监控 Assured Workloads 文件夹是否存在违规
Assured Workloads 会将文件夹的控制措施套餐的要求与以下详细信息进行比较,从而主动监控 Assured Workloads 文件夹是否存在违规情况:
- 组织政策:每个 Assured Workloads 文件夹都配置了特定的组织政策限制条件设置,有助于确保合规性。如果以不合规的方式更改这些设置,则会发生违规行为。如需了解详情,请参阅受监控的组织政策违规行为部分。
- 资源:根据 Assured Workloads 文件夹的组织政策设置,该文件夹下的资源可能会受到限制,例如资源类型和位置。如需了解详情,请参阅受监控的资源违规行为部分。 如果任何资源不合规,则会发生违规情况。
发生违规行为时,您可以解决这些违规行为,也可以在适当的情况下为它们创建例外。违规可为以下三种状态之一:
创建 Assured Workloads 文件夹时,系统会自动启用 Assured Workloads 监控。
准备工作
所需的 IAM 角色和权限
如需查看组织政策违规或资源违规,您必须在 Assured Workloads 文件夹中获得包含以下权限的 IAM 角色:
assuredworkloads.violations.getassuredworkloads.violations.list
以下 Assured Workloads IAM 角色包含这些权限:
- Assured Workloads Administrator (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor) - Assured Workloads Reader (
roles/assuredworkloads.reader)
如需启用资源违规监控,您必须在 Assured Workloads 文件夹中获得包含以下权限的 IAM 角色:
assuredworkloads.workload.update:以下角色包含此权限:- Assured Workloads Administrator (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor)
- Assured Workloads Administrator (
resourcemanager.folders.setIamPolicy:此权限包含在以下管理角色中:- Organization Administrator (
roles/resourcemanager.organizationAdmin) - Security Admin (
roles/iam.securityAdmin)
- Organization Administrator (
如需针对违规行为提供例外情况,您必须在 Assured Workloads 文件夹中获得包含以下权限的 IAM 角色:
assuredworkloads.violations.update:以下角色包含此权限:- Assured Workloads Administrator (
roles/assuredworkloads.admin) - Assured Workloads Editor (
roles/assuredworkloads.editor)
- Assured Workloads Administrator (
此外,如需解决组织政策违规并查看审核日志,必须授予以下 IAM 角色:
- Organization Policy Administrator (
roles/orgpolicy.policyAdmin) - Logs Viewer (
roles/logging.viewer)
设置违规电子邮件通知
当发生组织违规情况、违规情况得到解决或创建了例外时,系统会默认向重要联系人中的法律类别的成员发送电子邮件。这种行为是必要的,因为您的法律团队需要及时了解任何监管合规性问题。
还应该将管理违规的团队(无论是安全团队还是其他团队)添加到法律类别联系人。这样一来,在发生更改时,他们就会收到电子邮件通知。
启用或停用通知
如需为特定 Assured Workloads 文件夹启用或停用通知,请执行以下操作:
前往 Google Cloud 控制台中的 Assured Workloads 页面:
在名称列中,点击要更改通知设置的 Assured Workloads 文件夹的名称。
在 Assured Workloads Monitoring 卡片中,清除启用通知复选框可停用通知,选中该复选框可为相应文件夹启用通知。
在 Assured Workloads 文件夹页面上,如果文件夹的通知已停用,则会显示 监控电子邮件通知已停用。
查看组织中的违规
您可以在Google Cloud 控制台和 gcloud CLI 中查看整个组织的违规。
控制台
您可以在Google Cloud 控制台合规性部分的 Assured Workloads 页面或监控页面上查看组织中有多少违规。
Assured Workloads 页面
前往 Assured Workloads 页面,即可一目了然地查看违规情况:
页面顶部会显示组织政策违规和资源违规的摘要。点击查看链接前往监控页面。
对于列表中的每个 Assured Workloads 文件夹,任何违规问题都会显示在组织政策违规和资源违规列中。未解决的违规问题会显示 图标,而例外情况会显示 图标。您可以选择违规或例外情况,以查看更多详情。
如果未对文件夹启用资源违规问题监控功能,则图标会在更新列中处于有效状态,并显示启用资源违规问题监控功能链接。点击相应链接以启用该功能。您还可以通过点击 Assured Workloads 文件夹详情页面上的启用按钮来启用此功能。
“监控”页面
前往监控页面,查看违规行为的更多详细信息:
系统会显示两个标签页:组织政策违规问题和资源违规问题。如果存在多项未解决的违规问题,相应标签页上的 图标会处于有效状态。
在这两个标签页中,系统默认显示未解决的违规问题。如需了解详情,请参阅下文中的查看违规详情部分。
gcloud CLI
如需列出组织中当前的合规性违规,请运行以下命令:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
其中:
LOCATION 是 Assured Workloads 文件夹的位置。
ORGANIZATION_ID 是要查询的组织 ID。
WORKLOAD_ID 是父级工作负载 ID,可通过列出工作负载找到。
对于每次违规,响应都包含以下信息:
- 违规的审核日志链接。
- 违规的首次发生时间。
- 违规的类型。
- 对违规情况的详细说明。
- 违规的名称,可用于检索更多详细信息。
- 受影响的组织政策和相关政策限制。
- 违规行为的当前状态。有效值为未解决、已解决或例外。
如需了解可选标志,请参阅 Cloud SDK 文档。
查看违规详细信息
如需查看特定的合规性违规及其详细信息,请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往 Monitoring 页面。
在监控页面上,系统会默认选择组织政策违规标签页。此标签页会显示组织中所有 Assured Workloads 文件夹中所有未解决的组织政策违规问题。
资源违规问题标签页会显示组织中所有 Assured Workloads 文件夹中与资源关联的所有未解决的违规问题。
对于任一标签页,您都可以使用快速过滤条件选项按违规状态、违规类型、控制措施包类型、违规类型、特定文件夹、特定组织政策限制或特定资源类型进行过滤。
对于任一标签页,如果存在违规行为,请点击违规 ID 以查看更多详细信息。
在违规详细信息页面上,您可以执行以下任务:
复制违规 ID。
查看发生违规的 Assured Workloads 文件夹以及首次发生的时间。
查看审核日志,其中包括:
违规的发生时间。
修改哪个政策导致违规,以及哪个用户进行了该修改。
如果授予了例外,是由哪个用户授予的。
如果适用,请查看违规的具体资源。
查看受影响的组织政策。
查看和添加合规性违规例外。系统会显示文件夹或资源之前的所有例外情况,包括授予例外权限的用户及其提供的正当理由。
- 安装补救步骤解决例外。
对于组织政策违规行为,您还可以看到以下信息:
- 受影响的组织政策:如需查看与违规行为关联的具体政策,请点击查看政策。
- 子级资源违规问题:基于资源的组织政策违规问题可能会导致子级资源违规。如需查看或解决子资源违规问题,请点击违规 ID。
对于资源违规,您还可以看到以下信息:
- 父级组织政策违规:如果子级资源违规是由父级组织政策违规引起的,则需要在父级层面解决这些违规问题。如需查看父违规问题的详细信息,请点击查看违规问题。
- 您还可以看到导致资源违规的具体资源存在的任何其他违规问题。
gcloud CLI
如需查看合规性违规的详细信息,请运行以下命令:
gcloud assured workloads violations describe VIOLATION_PATH
其中 VIOLATION_PATH 采用以下格式:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
每次违规的 list 响应的 name 字段中都会返回 VIOLATION_PATH。
响应包含以下信息:
违规的审核日志链接。
违规的首次发生时间。
违规的类型。
对违规情况的详细说明。
受影响的组织政策和相关政策限制。
解决违规的补救步骤。
违规行为的当前状态。有效值为
unresolved、resolved或exception。
如需了解可选标志,请参阅 Cloud SDK 文档。
解决违规
如需补救违规,请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往 Monitoring 页面。
点击违规 ID 可查看更多详细信息。
在修复部分中,按照适用于Google Cloud 控制台或 CLI 的说明解决问题。
gcloud CLI
按照响应中的补救步骤来解决违规。
添加违规例外
有时,违规可能在特定情况下有效。您可以完成以下步骤,为违规行为添加一个或多个例外情况。
控制台
在 Google Cloud 控制台中,前往 Monitoring 页面。
在违规 ID 列中,点击要添加例外的违规。
在例外部分中,点击新增。
输入例外情况的业务理由。如果您希望将例外情况应用于所有子级资源,请选中应用于所有现有的子级资源违规问题复选框,然后点击提交。
您可以根据需要重复上述步骤并点击添加新项来添加其他例外情况。
违规状态现在设置为例外。
gcloud CLI
如需添加违规的例外,请运行以下命令:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
其中,BUSINESS_JUSTIFICATION 是例外的原因,VIOLATION_PATH 采用以下格式:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
每次违规的 list 响应的 name 字段中都会返回 VIOLATION_PATH。
成功发送命令后,违规状态将设置为例外。
受监控的组织政策违规问题
Assured Workloads 会监控不同的组织政策限制条件违规情况,具体取决于应用于 Assured Workloads 文件夹的控制包。您可以使用以下列表按受影响的控制软件包过滤违规情况。
| 组织政策限制条件 | 违规的类型 | 说明 | 受影响的控制软件包 | ||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 对 Cloud SQL 数据的不合规访问 | 访问 |
如果允许对不合规的 Cloud SQL 诊断数据进行不合规访问,就会出现此错误。 此违规是由更改控制软件包的
|
|
||||||||||||||||||||||||||||||||||||||
| 对 Compute Engine 数据的不合规访问 | 访问 |
如果允许对 Compute Engine 实例数据进行不合规访问,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的 Cloud Storage 身份验证类型 | 访问 |
如果允许不合规的身份验证类型与 Cloud Storage 搭配使用,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 对 Cloud Storage 存储桶的不合规访问 | 访问 |
如果允许对 Cloud Storage 进行不合规的非统一存储桶级访问,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 对 GKE 数据的不合规访问 | 访问 |
如果允许对 GKE 诊断数据进行不合规访问,就会出现此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的 Compute Engine 诊断功能 | 配置 |
如果启用了不合规的 Compute Engine 诊断功能,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的 Compute Engine 全球负载均衡设置 | 配置 |
如果为 Compute Engine 中的全局负载平衡设置了不合规的值,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的 Compute Engine FIPS 设置 | 配置 |
如果为 Compute Engine 中的 FIPS 设置设置了不合规的值,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的 Compute Engine SSL 设置 | 配置 |
如果为全局自行管理的证书设置了不合规的值,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 浏览器设置中的不合规的 Compute Engine SSH | 配置 |
如果为 Compute Engine 中的 SSH 浏览器功能设置了不合规的值,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 创建不合规的 Cloud SQL 资源 | 配置 |
如果允许创建不合规的 Cloud SQL 资源,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 缺少 Cloud KMS 密钥限制 | 加密 |
如果未指定项目来为 CMEK 提供加密密钥,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的不支持 CMEK 的服务 | 加密 |
如果为工作负载启用了不支持 CMEK 的服务,就会发生此错误。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的 Cloud KMS 保护级别 | 加密 |
如果指定不合规的保护级别以用于 Cloud Key Management Service (Cloud KMS),就会发生此错误。如需了解详情,请参阅 Cloud KMS 参考文档 。 此违规是由更改控制软件包的 |
|
||||||||||||||||||||||||||||||||||||||
| 不合规的资源位置 | 资源位置 |
如果针对给定 Assured Workloads 控制软件包的受支持服务的资源是在工作负载的允许区域之外创建的,或者从允许的位置移动到不允许的位置,就会发生此错误。
此违规是由于更改控制软件包的
|
|
||||||||||||||||||||||||||||||||||||||
| 不合规的服务 | 服务使用情况 |
如果用户在 Assured Workloads 文件夹中启用给定 Assured Workloads 控制措施软件包不支持的服务,就会发生此错误。 此违规是由更改控制软件包的 |
|
受监控的资源违规情况
Assured Workloads 会监控不同的资源违规情况,具体取决于应用于 Assured Workloads 文件夹的控制措施套餐。如需查看受监控的资源类型,请参阅 Cloud Asset Inventory 文档中的支持的资源类型。使用以下列表按受影响的控制软件包过滤违规情况:
| 组织政策限制条件 | 说明 | 受影响的控制软件包 | |||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 不合规的资源位置 |
当资源的位置位于不合规的区域时,系统会创建此活动。 此违规是由
|
|
|||||||||||||||||||||||||||||||||||||
| 文件夹中的不合规资源 |
如果在 Assured Workloads 文件夹中创建了不受支持的服务的资源,就会发生此错误。 此违规是由
|
|
|||||||||||||||||||||||||||||||||||||
| 未加密(非 CMEK)的资源 |
如果为需要 CMEK 加密的服务创建资源时未进行 CMEK 加密,就会发生此错误。 此违规是由
|
|