監控 Assured Workloads 資料夾的違規事項
Assured Workloads 會比較資料夾的控管機制套件需求與下列詳細資料,主動監控 Assured Workloads 資料夾的法規遵循違規事項:
- 機構政策:每個 Assured Workloads 資料夾都設定了特定的機構政策限制條件,有助於確保符合規範。如果以不符規定的方式變更這些設定,就會發生違規情形。詳情請參閱「受監控的組織政策違規事項」一節。
- 資源:視 Assured Workloads 資料夾的機構政策設定而定,資料夾下方的資源可能會受到限制,例如類型和位置。詳情請參閱「受監控資源違規」一節。如有任何資源不符合規定,就會發生違規情形。
發生違規情形時,您可以解決問題,或視情況建立例外狀況。違規事項可能呈現以下三種狀態:
建立 Assured Workloads 資料夾時,系統會自動啟用 Assured Workloads 監控功能。
事前準備
必要 IAM 角色和權限
如要查看違反機構政策或資源規定的事項,您必須在 Assured Workloads 資料夾中獲派 IAM 角色,且該角色具備下列權限:
assuredworkloads.violations.getassuredworkloads.violations.list
下列 Assured Workloads IAM 角色具備這些權限:
- Assured Workloads 管理員 (
roles/assuredworkloads.admin) - Assured Workloads 編輯者 (
roles/assuredworkloads.editor) - Assured Workloads 讀取者 (
roles/assuredworkloads.reader)
如要啟用資源違規監控功能,您必須在 Assured Workloads 資料夾中取得 IAM 角色,並具備下列權限:
assuredworkloads.workload.update:下列角色具備這項權限:- Assured Workloads 管理員 (
roles/assuredworkloads.admin) - Assured Workloads 編輯者 (
roles/assuredworkloads.editor)
- Assured Workloads 管理員 (
resourcemanager.folders.setIamPolicy:這項權限包含在管理角色中,例如:- 機構管理員 (
roles/resourcemanager.organizationAdmin) - 安全管理員 (
roles/iam.securityAdmin)
- 機構管理員 (
如要提供法規遵循違規事項的例外狀況,您必須在包含下列權限的 Assured Workloads 資料夾中,獲得 IAM 角色:
assuredworkloads.violations.update:下列角色具備這項權限:- Assured Workloads 管理員 (
roles/assuredworkloads.admin) - Assured Workloads 編輯者 (
roles/assuredworkloads.editor)
- Assured Workloads 管理員 (
此外,如要解決組織政策違規問題及查看稽核記錄,必須授予下列 IAM 角色:
- 組織政策管理員 (
roles/orgpolicy.policyAdmin) - 記錄檢視器 (
roles/logging.viewer)
設定違規電子郵件通知
如果發生或解決機構法規遵循違規事項,或是獲得例外情況,系統預設會傳送電子郵件給重要聯絡人中「法律」類別的成員。這是必要做法,因為您的法務團隊需要掌握所有法規遵循問題的最新資訊。
管理違規事項的團隊 (無論是安全團隊或其他團隊) 也應新增為「法律」類別的聯絡人。這樣一來,系統就會在發生變更時傳送電子郵件通知。
啟用或停用通知
如要啟用或停用特定 Assured Workloads 資料夾的通知,請按照下列步驟操作:
前往 Google Cloud 控制台的「Assured Workloads」頁面:
在「名稱」欄中,按一下要變更通知設定的 Assured Workloads 資料夾名稱。
在「Assured Workloads Monitoring」資訊卡中,取消勾選「Enable notifications」核取方塊即可停用通知,勾選則可啟用資料夾通知。
在「Assured Workloads folders」(Assured Workloads 資料夾) 頁面上,如果資料夾已停用通知,會顯示 「Monitoring email notifications disabled」(已停用監控電子郵件通知)。
查看貴機構的違規情形
您可以在Google Cloud 控制台和 gcloud CLI 中查看整個機構的違規事項。
控制台
您可以在Google Cloud 控制台的「法規遵循」部分,前往「Assured Workloads」頁面或「監控」頁面,查看貴機構的違規次數。
Assured Workloads 頁面
前往「Assured Workloads」頁面,即可一目瞭然地查看違規事項:
頁面頂端會顯示機構政策違規和資源違規摘要。按一下「查看」連結,前往「監控」頁面。
清單中每個 Assured Workloads 資料夾的違規事項,都會顯示在「機構政策違規事項」和「資源違規事項」欄中。未解決的違規事項會顯示有效狀態的 圖示,例外狀況則會顯示有效狀態的 圖示。選取違規事項或例外狀況,即可查看詳細資料。
如果資料夾未啟用資源違規事項監控功能, 圖示會在「更新」欄中啟用,並顯示「啟用資源違規事項監控功能」連結。按一下連結啟用這項功能。您也可以在 Assured Workloads 資料夾詳細資料頁面上,按一下「啟用」按鈕來啟用這項功能。
「監控」頁面
前往「監控」頁面,查看違規事項的詳細資料:
系統會顯示兩個分頁:「組織政策違規事項」和「資源違規事項」。如果有多項違規事項尚未解決,分頁上會顯示有效的 圖示。
gcloud CLI
如要列出機構目前的法規遵循違規事項,請執行下列指令:
gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID
其中:
LOCATION 是 Assured Workloads 資料夾的位置。
ORGANIZATION_ID 是要查詢的機構 ID。
WORKLOAD_ID 是父項工作負載 ID,您可以列出工作負載來找出該 ID。
回應會針對每項違規事項提供下列資訊:
- 違規事項的稽核記錄連結。
- 首次違規時間。
- 違規事項類型。
- 違規事項說明。
- 違規事項名稱,可用於擷取更多詳細資料。
- 受影響的組織政策和相關政策限制條件。
- 違規事項的目前狀態。有效值為「unresolved」、「resolved」或「exception」。
如需選用旗標,請參閱 Cloud SDK 說明文件。
查看違規詳情
如要查看特定法規遵循違規事項及其詳細資料,請完成下列步驟:
控制台
前往 Google Cloud 控制台的「Monitoring」頁面。
在「監控」頁面上,系統預設會選取「機構政策違規事項」分頁標籤。這個分頁會顯示機構中所有 Assured Workloads 資料夾未解決的機構政策違規事項。
「資源違規事項」分頁會顯示機構中所有 Assured Workloads 資料夾,與資源相關的所有未解決違規事項。
無論是哪個分頁,您都可以使用「快速篩選器」選項,依違規狀態、違規類型、控管機制套件類型、違規類型、特定資料夾、特定組織政策限制或特定資源類型進行篩選。
在任一分頁中,如果已有違規事項,請按一下違規 ID 查看更詳細的資訊。
在「違規詳細資料」頁面中,您可以執行下列工作:
複製違規事項 ID。
查看發生違規的 Assured Workloads 資料夾,以及首次發生違規的時間。
查看稽核記錄,包括:
違規行為發生時間。
是哪項政策遭到修改而導致違規,以及是哪位使用者進行了修改。
如果已授予例外狀況,則為授予例外狀況的使用者。
如適用,請查看發生違規的特定資源。
查看受影響的機構政策。
查看及新增法規遵循違規事項例外狀況。系統會顯示資料夾或資源的先前例外狀況清單,包括授予例外狀況的使用者,以及使用者提供的正當理由。
- 請按照修復步驟解決例外狀況。
如果違反組織政策,您也可以查看下列資訊:
- 受影響的機構政策:如要查看與違規事項相關的具體政策,請按一下「查看政策」。
- 子項資源違規事項:如果資源違反機構政策,可能會導致子項資源違規。如要查看或解決子資源違規問題,請按一下「違規事項 ID」。
如果是資源違規,您還會看到下列資訊:
- 違反上層組織政策:如果子項資源違規是由違反上層組織政策所致,則必須在上層解決問題。如要查看主要違規事項的詳細資料,請按一下「查看違規事項」。
- 您也可以查看導致資源違規的特定資源是否有其他違規事項。
gcloud CLI
如要查看違規事項的詳細資料,請執行下列指令:
gcloud assured workloads violations describe VIOLATION_PATH
其中 VIOLATION_PATH 的格式如下:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
系統會針對每項違規事項,在清單回應的 name 欄位中傳回 VIOLATION_PATH。
回覆內容包含下列資訊:
違規事項的稽核記錄連結。
首次違規時間。
違規事項類型。
違規事項說明。
受影響的組織政策和相關政策限制條件。
解決違規問題的補救步驟。
違規事項的目前狀態。有效值為
unresolved、resolved或exception。
如需選用旗標,請參閱 Cloud SDK 說明文件。
解決違規問題
如要修正違規問題,請完成下列步驟:
控制台
前往 Google Cloud 控制台的「Monitoring」頁面。
按一下違規事項 ID,即可查看更詳細的資訊。
在「修復」部分中,按照Google Cloud 控制台或 CLI 的操作說明解決問題。
gcloud CLI
按照回覆中的補救步驟解決違規問題。
新增違規事項例外狀況
有時違規行為可能在特定情況下成立。如要為違規事項新增一或多項例外狀況,請完成下列步驟。
控制台
前往 Google Cloud 控制台的「Monitoring」頁面。
在「違規事項 ID」欄中,按一下要新增例外狀況的違規事項。
在「例外狀況」部分中,按一下「新增」。
輸入例外狀況的業務理由。如要將例外狀況套用至所有子項資源,請選取「套用至所有現有的子項資源違規事項」核取方塊,然後按一下「提交」。
視需要重複上述步驟並點選「新增」,即可新增其他例外狀況。
違規狀態現在設為「例外狀況」。
gcloud CLI
如要為違規事項新增例外狀況,請執行下列指令:
gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"
其中 BUSINESS_JUSTIFICATION 是例外狀況的原因,而 VIOLATION_PATH 的格式如下:
ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID
系統會針對每項違規事項,在清單回應的 name 欄位中傳回 VIOLATION_PATH。
成功傳送指令後,違規狀態會設為「例外狀況」。
受監控的機構政策違規事項
Assured Workloads 會監控不同的組織政策限制違規情形,具體視套用至 Assured Workloads 資料夾的控制套件而定。使用下列清單,依受影響的控制項套件篩選違規事項。
| 組織政策限制 | 違規類型 | 說明 | 受影響的控管機制套件 | ||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 不符合規範的 Cloud SQL 資料存取 | 存取 |
允許不符規定的存取權存取不符規定的 Cloud SQL 診斷資料時,就會發生這種情況。 如果變更控制套件的
|
|
||||||||||||||||||||||||||||||||||||||
| 不符合規範的 Compute Engine 資料存取權 | 存取 |
允許不符合規範的 Compute Engine 執行個體資料存取作業時,就會發生這種情況。 如果變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符規定的 Cloud Storage 驗證類型 | 存取 |
如果允許使用不符規定的驗證類型搭配 Cloud Storage,就會發生這種情況。 這項違規事項是因為變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符合規定的 Cloud Storage 值區存取權 | 存取 |
允許對 Cloud Storage 進行不符合規範的非統一 bucket 層級存取時,就會發生這種情況。 如果變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符合規範的 GKE 資料存取 | 存取 |
允許不符規定的存取權,存取 GKE 診斷資料時會發生這種情況。 如果變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符合規範的 Compute Engine 診斷功能 | 設定 |
啟用不符規定的 Compute Engine 診斷功能時,就會發生這種情況。 如果變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符合規定的 Compute Engine 全域負載平衡設定 | 設定 |
當您在 Compute Engine 中為全域負載平衡設定不相容的值時,就會發生這個問題。 如果變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符合規定的 Compute Engine FIPS 設定 | 設定 |
如果為 Compute Engine 中的 FIPS 設定設定不相容的值,就會發生這個錯誤。 這項違規事項是因為變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符合規定的 Compute Engine SSL 設定 | 設定 |
為全域自行管理憑證設定不符規定的值時,就會發生這個事件。 如果變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符合規範的 Compute Engine 瀏覽器內 SSH 設定 | 設定 |
當您為 Compute Engine 中的「透過瀏覽器建立 SSH 連線」功能設定不相容的值時,就會發生這個錯誤。 如果變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 建立不符規定的 Cloud SQL 資源 | 設定 |
允許建立不符規定的 Cloud SQL 資源時,就會發生這種情況。 如果變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 缺少 Cloud KMS 金鑰限制 | 加密 |
如果未指定任何專案來提供 CMEK 的加密金鑰,就會發生這種情況。 這項違規事項是因變更 |
|
||||||||||||||||||||||||||||||||||||||
| 不符合規定且未啟用 CMEK 的服務 | 加密 |
當工作負載啟用不支援 CMEK 的服務時,就會發生這種情況。 這項違規事項是因為變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符合規定的 Cloud KMS 防護等級 | 加密 |
如果指定與 Cloud Key Management Service (Cloud KMS) 搭配使用的保護層級不符規定,就會發生這種情況。詳情請參閱 Cloud KMS 參考資料 。 如果變更控制套件的 |
|
||||||||||||||||||||||||||||||||||||||
| 不符規定的資源位置 | 資源地區 |
如果特定 Assured Workloads 控制套件支援的服務資源是在工作負載允許的區域外建立,或是從允許的位置移至不允許的位置,就會發生違規情形。
這項違規事項是因為您變更了控制套件的
|
|
||||||||||||||||||||||||||||||||||||||
| 不符規定的服務 | 服務用量 |
當使用者在 Assured Workloads 資料夾中啟用服務時,如果該服務不支援指定的 Assured Workloads 控制套件,就會發生這類違規事項。 如果變更控制套件的 |
|
受監控的資源違規事項
Assured Workloads 會監控不同的資源違規事項,具體視套用至 Assured Workloads 資料夾的控制套件而定。如要查看受監控的資源類型,請參閱 Cloud Asset Inventory 說明文件中的「支援的資源類型」。使用下列清單,依受影響的控制項套件篩選違規事項:
| 組織政策限制 | 說明 | 受影響的控管機制套件 | |||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 不符規範的資源位置 |
資源位置位於不符規定的區域時,就會發生這種情況。 這項違規事項是由
|
|
|||||||||||||||||||||||||||||||||||||
| 資料夾中不符規範的資源 |
在 Assured Workloads 資料夾中建立不支援的服務資源時,就會發生這種情況。 這項違規事項是由
|
|
|||||||||||||||||||||||||||||||||||||
| 未加密 (非 CMEK) 的資源 |
如果服務需要 CMEK 加密,但建立資源時未採用這項加密方式,就會發生這種情況。 這項違規事項是由
|
|