מעקב אחרי תיקייה ב-Assured Workloads כדי לזהות הפרות

השירות Assured Workloads עוקב באופן פעיל אחרי תיקיות Assured Workloads כדי לזהות הפרות של דרישות התאימות. הוא עושה זאת על ידי השוואה בין הדרישות של חבילת אמצעי הבקרה של התיקייה לבין הפרטים הבאים:

  • מדיניות הארגון: כל תיקייה ב-Assured Workloads מוגדרת עם הגבלות ספציפיות של מדיניות הארגון, שעוזרות להבטיח תאימות. כשמשנים את ההגדרות האלה באופן שלא עומד בדרישות, מתרחשת הפרה. מידע נוסף זמין בקטע הפרות מדיניות בארגונים שבמעקב.
  • משאבים: בהתאם להגדרות מדיניות הארגון של תיקיית Assured Workloads, יכול להיות שהמשאבים שמתחת לתיקייה יהיו מוגבלים, למשל הסוג והמיקום שלהם. מידע נוסף זמין בקטע הפרות של משאבים בפיקוח. אם יש משאבים שלא עומדים בדרישות, מתרחשת הפרה.

כשמתרחשת הפרה, אפשר לפתור אותה או ליצור חריגים במקרים המתאימים. להפרה יכול להיות אחד משלושת הסטטוסים הבאים:

  • לא נפתרה: לא טיפלתם בהפרה, או שבעבר קיבלתם חריגה לפני שבוצעו שינויים בתיקייה או במשאב שלא עומדים בדרישות.
  • הבעיה נפתרה: בוצעו השלבים לפתרון הבעיה.
  • חריג: אושר חריג להפרה, וסופקה הצדקה עסקית.

המעקב אחרי Assured Workloads מופעל באופן אוטומטי כשיוצרים תיקיית Assured Workloads.

לפני שמתחילים

התפקידים וההרשאות הנדרשים ב-IAM

כדי להציג הפרות של מדיניות הארגון או הפרות של משאבים, צריך לקבל תפקיד IAM בתיקיית Assured Workloads שכולל את ההרשאות הבאות:

  • assuredworkloads.violations.get
  • assuredworkloads.violations.list

ההרשאות האלה כלולות בתפקידי ה-IAM הבאים ב-Assured Workloads:

  • אדמין של Assured Workloads (roles/assuredworkloads.admin)
  • עורך Assured Workloads (roles/assuredworkloads.editor)
  • בעל הרשאת קריאה של Assured Workloads (roles/assuredworkloads.reader)

כדי להפעיל את המעקב אחר הפרות של משאבים, צריך לקבל תפקיד IAM בתיקיית Assured Workloads שמכיל את ההרשאות הבאות:

  • assuredworkloads.workload.update: ההרשאה הזו כלולה בתפקידים הבאים:

    • אדמין של Assured Workloads (roles/assuredworkloads.admin)
    • עורך Assured Workloads (roles/assuredworkloads.editor)

  • resourcemanager.folders.setIamPolicy: ההרשאה הזו כלולה בתפקידי אדמין, כמו:

    • אדמין ארגוני (roles/resourcemanager.organizationAdmin)
    • Security Admin (roles/iam.securityAdmin)

כדי לספק חריגים להפרות תאימות, צריך לקבל תפקיד IAM בתיקיית Assured Workloads שמכיל את ההרשאה הבאה:

  • assuredworkloads.violations.update: ההרשאה הזו כלולה בתפקידים הבאים:

    • אדמין של Assured Workloads (roles/assuredworkloads.admin)
    • עורך Assured Workloads (roles/assuredworkloads.editor)

בנוסף, כדי לפתור הפרות של מדיניות הארגון ולצפות ביומני ביקורת, צריך להקצות את תפקידי ה-IAM הבאים:

  • אדמין של מדיניות הארגון (roles/orgpolicy.policyAdmin)
  • צפייה ביומנים (roles/logging.viewer)

הגדרת התראות באימייל על הפרות

כשמתרחשת הפרה של דרישות התאימות בארגון, כשמטפלים בה או כשניתן חריג, חברי הקטגוריה Legal בEssential Contacts מקבלים על כך אימייל כברירת מחדל. ההתנהגות הזו נדרשת כי הצוות המשפטי שלכם צריך לקבל עדכונים על כל בעיה שקשורה לעמידה בתקנות.

כדאי להוסיף את הצוות שמנהל את ההפרות כאיש קשר בקטגוריה 'משפטי', בין אם מדובר בצוות אבטחה או בצוות אחר. כך הם יקבלו התראות באימייל כשיבוצעו שינויים.

הפעלה או השבתה של התראות

כדי להפעיל או להשבית את ההתראות בתיקייה ספציפית של Assured Workloads:

  1. נכנסים לדף Assured Workloads במסוף Google Cloud :

    כניסה אל Assured Workloads

  2. בעמודה Name (שם), לוחצים על השם של תיקיית Assured Workloads שרוצים לשנות את הגדרות ההתראות שלה.

  3. בכרטיס Assured Workloads Monitoring (מעקב אחרי עומסי עבודה מאובטחים), מבטלים את הסימון של התיבה Enable notifications (הפעלת התראות) כדי להשבית את ההתראות, או מסמנים אותה כדי להפעיל את ההתראות עבור התיקייה.

בדף Assured Workloads folders (תיקיות של עומסי עבודה מאובטחים), בתיקיות שההתראות מושבתות בהן מופיע הכיתוב Monitoring email notifications disabled (ההתראות באימייל של Monitoring מושבתות).

הצגת הפרות בארגון

אפשר לראות את ההפרות בארגון גם במסוףGoogle Cloud וגם ב-CLI של gcloud.

המסוף

בדף Assured Workloads שבקטע תאימות במסוףGoogle Cloud , או בדף Monitoring שבקטע תאימות, אפשר לראות כמה הפרות יש בארגון.

הדף Assured Workloads

כדי לראות את ההפרות במבט חטוף, עוברים לדף Assured Workloads:

כניסה אל Assured Workloads

בחלק העליון של הדף מוצג סיכום של הפרות מדיניות ארגוניות והפרות של משאבים. לוחצים על הקישור הצגה כדי לעבור לדף מעקב.

בכל תיקייה של Assured Workloads ברשימה, כל ההפרות מוצגות בעמודות הפרות של מדיניות הארגון והפרות של משאבים. הסמל פעיל ליד הפרות שלא נפתרו, והסמל פעיל ליד חריגים. אפשר לבחור הפרה או חריגה כדי לראות פרטים נוספים.

אם לא מופעלת תיקון אוטומטי של הפרות מדיניות בתיקייה, הסמל פעיל בעמודה Updates עם הקישור Enable Resource violation monitoring. לוחצים על הקישור כדי להפעיל את התכונה. אפשר גם להפעיל את התכונה בלחיצה על הלחצן הפעלה בדף הפרטים של תיקיית Assured Workloads.

דף המעקב

כדי לראות פרטים נוספים על ההפרות, עוברים לדף מעקב:

מעבר למעקב

מוצגות שתי כרטיסיות: הפרות של מדיניות הארגון והפרות של משאבים. אם יש יותר מהפרה אחת שלא נפתרה, הסמל פעיל בכרטיסייה.

בכל אחת מהכרטיסיות, ההפרות שלא נפתרו מוצגות כברירת מחדל. מידע נוסף זמין בקטע הצגת פרטי ההפרה שבהמשך.

‫CLI של gcloud

כדי להציג את ההפרות הנוכחיות של דרישות התאימות בארגון, מריצים את הפקודה הבאה:

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

כאשר:

התשובה כוללת את הפרטים הבאים לגבי כל הפרה:

  • קישור ליומן ביקורת שבו מפורטת ההפרה.
  • הפעם הראשונה שבה התרחשה ההפרה.
  • סוג ההפרה.
  • תיאור של ההפרה.
  • שם ההפרה, שאפשר להשתמש בו כדי לאחזר פרטים נוספים.
  • מדיניות הארגון שהושפעה והמגבלה שקשורה למדיניות.
  • המצב הנוכחי של ההפרה. הערכים החוקיים הם unresolved,‏ resolved או exception.

מידע על דגלים אופציונליים מופיע במאמרי העזרה בנושא Cloud SDK.

הצגת פרטי ההפרה

כדי לראות הפרות ספציפיות של מדיניות ותקנות ותיאור שלהן, צריך לבצע את השלבים הבאים:

המסוף

  1. נכנסים לדף Monitoring במסוף Google Cloud .

    מעבר למעקב

    בדף Monitoring, הכרטיסייה Organization Policy Violations מסומנת כברירת מחדל. בכרטיסייה הזו מוצגים כל ההפרות של מדיניות הארגון שלא נפתרו בתיקיות של Assured Workloads בארגון.

    בכרטיסייה Resource Violations מוצגות כל ההפרות שלא נפתרו שמשויכות למשאב בכל התיקיות של Assured Workloads בארגון.

  2. בכל אחד מהכרטיסים האלה, אפשר להשתמש באפשרויות של מסננים מהירים כדי לסנן לפי סטטוס ההפרה, סוג ההפרה, סוג חבילת הבקרה, סוג ההפרה, תיקיות ספציפיות, אילוצים ספציפיים של מדיניות הארגון או סוגי משאבים ספציפיים.

  3. בכל אחת מהכרטיסיות, אם יש הפרות קיימות, לוחצים על מזהה ההפרה כדי לראות מידע מפורט יותר.

בדף פרטי ההפרה אפשר לבצע את המשימות הבאות:

  • מעתיקים את מזהה ההפרה.

  • לראות את תיקיית Assured Workloads שבה התרחשה ההפרה, ואת השעה שבה היא התרחשה לראשונה.

  • צפייה ביומן הביקורת, שכולל:

    • מתי ההפרה התרחשה.

    • איזו מדיניות שונתה וגרמה להפרה, ואיזה משתמש ביצע את השינוי הזה.

    • אם אושרה חריגה, מי המשתמש שאשר אותה.

    • במקרים הרלוונטיים, אפשר לראות את המשאב הספציפי שבו התרחשה ההפרה.

  • צפייה במדיניות הארגון שהושפעה.

  • צפייה בחריגים להפרות של דרישות התאימות והוספה של חריגים. מוצגת רשימה של חריגים קודמים לתיקייה או למשאב, כולל המשתמש שהעניק את החריג וההצדקה שסופקה על ידו.

  • פועלים לפי השלבים לפתרון הבעיה כדי לפתור את החריגה.

במקרה של הפרות של מדיניות הארגון, אפשר לראות גם את הפרטים הבאים:

  • המדיניות הארגונית שהושפעה: כדי לראות את המדיניות הספציפית שמשויכת להפרת התאימות, לוחצים על הצגת המדיניות.
  • הפרות של משאבי צאצא: הפרות של מדיניות הארגון שמבוססת על משאבים יכולות לגרום להפרות של משאבי צאצא. כדי לראות הפרות של משאבי צאצא או לפתור אותן, לוחצים על מזהה ההפרה.

במקרה של הפרות שקשורות למשאבים, אפשר לראות גם את הפרטים הבאים:

  • הפרות של מדיניות הארגון ברמה העליונה: אם הפרות של מדיניות הארגון ברמה העליונה הן הגורם להפרה במשאב צאצא, צריך לטפל בהן ברמה העליונה. כדי לראות את פרטי ההפרה ברמת ההורה, לוחצים על הצגת ההפרה.
  • בנוסף, מוצגות הפרות אחרות במשאב הספציפי שגורמות להפרה של המשאב.

‫CLI של gcloud

כדי לראות את הפרטים של הפרת תאימות, מריצים את הפקודה הבאה:

gcloud assured workloads violations describe VIOLATION_PATH

כאשר VIOLATION_PATH הוא בפורמט הבא:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

הערך VIOLATION_PATH מוחזר בשדה name של התגובה list לכל הפרה.

התשובה כוללת את הפרטים הבאים:

  • קישור ליומן ביקורת שבו מפורטת ההפרה.

  • הפעם הראשונה שבה התרחשה ההפרה.

  • סוג ההפרה.

  • תיאור של ההפרה.

  • מדיניות הארגון שהושפעה והמגבלה שקשורה למדיניות.

  • פעולות לתיקון ההפרה.

  • המצב הנוכחי של ההפרה. הערכים התקפים הם unresolved,‏ resolved או exception.

מידע על דגלים אופציונליים מופיע במאמרי העזרה בנושא Cloud SDK.

פתרון בעיות שקשורות להפרות

כדי לפתור הפרה, מבצעים את השלבים הבאים:

המסוף

  1. נכנסים לדף Monitoring במסוף Google Cloud .

    מעבר למעקב

  2. כדי לראות מידע מפורט יותר, לוחצים על מזהה ההפרה.

  3. בקטע Remediation, פועלים לפי ההוראות לשימוש ב-Google Cloud console או ב-CLI כדי לפתור את הבעיה.

‫CLI של gcloud

  1. הצגת פרטי ההפרה באמצעות ה-CLI של gcloud

  2. פועלים לפי השלבים לתיקון שמופיעים בתגובה כדי לפתור את ההפרה.

הוספת חריגים להפרות

לפעמים הפרה מסוימת עשויה להיות תקפה בסיטואציה מסוימת. כדי להוסיף חריגה אחת או יותר להפרה, פועלים לפי השלבים הבאים.

המסוף

  1. נכנסים לדף Monitoring במסוף Google Cloud .

    מעבר למעקב

  2. בעמודה מספר הפרה, לוחצים על ההפרה שרוצים להוסיף לה את החריג.

  3. בקטע חריגים, לוחצים על הוספת חריג חדש.

  4. מזינים הצדקה עסקית לחריגה. אם רוצים שהחריגה תחול על כל משאבי הצאצא, מסמנים את התיבה החלת החריגה על כל ההפרות הקיימות של משאבי צאצא ולוחצים על שליחה.

  5. אפשר להוסיף חריגים נוספים לפי הצורך. לשם כך, חוזרים על השלבים האלה ולוחצים על הוספת חריג חדש.

סטטוס ההפרה משתנה לחריגה.

‫CLI של gcloud

כדי להוסיף חריגה להפרה, מריצים את הפקודה הבאה:

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

כאשר BUSINESS_JUSTIFICATION היא הסיבה לחריגה, ו-VIOLATION_PATH הוא בפורמט הבא:

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

הערך VIOLATION_PATH מוחזר בשדה name של התגובה list לכל הפרה.

אחרי שהפקודה נשלחת בהצלחה, סטטוס ההפרה משתנה לחריגה.

הפרות של מדיניות הארגון שנמצאות במעקב

הכלי Assured Workloads עוקב אחרי הפרות שונות של הגבלות במדיניות הארגון, בהתאם לחבילת הבקרה שמוחלת על התיקייה של Assured Workloads. אפשר להשתמש ברשימה הבאה כדי לסנן את ההפרות לפי חבילת אמצעי הבקרה שהושפעה.

אילוץ של מדיניות הארגון סוג ההפרה תיאור חבילות הבקרה שהושפעו
גישה לנתוני Cloud SQL שלא עומדת בדרישות התאימות גישה

השגיאה הזו מתרחשת כשמאפשרים גישה לא תואמת לנתוני אבחון לא תואמים של Cloud SQL.

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של חבילת אמצעי הבקרה עבור האילוץ sql.restrictNoncompliantDiagnosticDataAccess .
גבולות נתונים באיחוד האירופי עם הצדקות גישה
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)
גישה לנתונים ב-Compute Engine שלא עומדת בדרישות גישה

האירוע מתרחש כשמאפשרים גישה לא תואמת לנתונים של מופע Compute Engine.

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של חבילת הבקרה עבור האילוץ compute.disableInstanceDataAccessApis.
Data Boundary for Criminal Justice Information Systems (CJIS)
גבולות נתונים באיחוד האירופי עם הצדקות גישה
Data Boundary for International Traffic in Arms Regulations (ITAR)
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)
סוגי אימות ב-Cloud Storage שלא עומדים בדרישות גישה

מתרחש כשסוגי אימות שלא עומדים בדרישות מורשים לשימוש ב-Cloud Storage.

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של חבילת הבקרה עבור האילוץ storage.restrictAuthTypes.
גבולות נתונים באיחוד האירופי עם הצדקות גישה
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)
גישה לקטגוריות של Cloud Storage שלא עומדת בדרישות התאימות גישה

השגיאה מתרחשת כשמאפשרים גישה לא אחידה ברמת הקטגוריה ב-Cloud Storage שלא עומדת בדרישות.

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של חבילת הבקרה עבור האילוץ storage.uniformBucketLevelAccess.
גבולות נתונים באיחוד האירופי עם הצדקות גישה
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)
גישה לנתוני GKE שלא עומדת בדרישות התאימות גישה

השגיאה מתרחשת כשמאפשרים גישה לנתוני אבחון של GKE שלא עומדת בדרישות.

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של חבילת הבקרה עבור האילוץ container.restrictNoncompliantDiagnosticDataAccess.
גבולות נתונים באיחוד האירופי עם הצדקות גישה
Data Boundary לרמת השפעה 4 (IL4)
רמת השפעה 5 (IL5)
Data Boundary for International Traffic in Arms Regulations (ITAR)
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)
תכונות אבחון לא תואמות של Compute Engine הגדרות אישיות

מתרחש כשתכונות אבחון לא תואמות של Compute Engine מופעלות.

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של חבילת הבקרה עבור האילוץ compute.enableComplianceMemoryProtection.
גבולות נתונים באיחוד האירופי עם הצדקות גישה
Data Boundary for International Traffic in Arms Regulations (ITAR)
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)
הגדרה של איזון עומסים גלובלי ב-Compute Engine שלא עומדת בדרישות הגדרות אישיות

השגיאה מתרחשת כשמוגדר ערך לא תואם להגדרת איזון העומסים הגלובלי ב-Compute Engine.

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של חבילת הבקרה עבור האילוץ compute.disableGlobalLoadBalancing.
Data Boundary for International Traffic in Arms Regulations (ITAR)
הגדרת FIPS ב-Compute Engine שלא עומדת בדרישות הגדרות אישיות

השגיאה מתרחשת כשערך לא תואם מוגדר להגדרת FIPS ב-Compute Engine.

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של חבילת הבקרה עבור האילוץ compute.disableNonFIPSMachineTypes.
Data Boundary for International Traffic in Arms Regulations (ITAR)
הגדרת SSL ב-Compute Engine שלא עומדת בדרישות הגדרות אישיות

השגיאה הזו מתרחשת כשמוגדר ערך לא תואם לאישור גלובלי בניהול עצמי.

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של חבילת הבקרה עבור האילוץ compute.disableGlobalSelfManagedSslCertificate.
Data Boundary for International Traffic in Arms Regulations (ITAR)
הגדרת SSH בדפדפן של Compute Engine שלא עומדת בדרישות הגדרות אישיות

האירוע הזה מתרחש כשמוגדר ערך לא תואם לתכונה SSH בדפדפן ב-Compute Engine.

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של חבילת הבקרה עבור האילוץ compute.disableSshInBrowser.
גבולות נתונים באיחוד האירופי עם הצדקות גישה
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)
יצירת משאב ב-Cloud SQL שלא עומד בדרישות התאימות הגדרות אישיות

השגיאה מתרחשת כשמאפשרים יצירה של משאב Cloud SQL שלא עומד בדרישות.

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של חבילת הבקרה עבור האילוץ sql.restrictNoncompliantResourceCreation.
גבולות נתונים באיחוד האירופי עם הצדקות גישה
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)
הגבלה חסרה של מפתח Cloud KMS הצפנה

השגיאה מתרחשת כשלא מציינים פרויקטים שיספקו מפתחות הצפנה ל- CMEK .

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של האילוץ gcp.restrictCmekCryptoKeyProjects בחבילת הבקרה, שעוזר למנוע מתיקיות או מפרויקטים לא מאושרים לספק מפתחות הצפנה.
גבולות נתונים באיחוד האירופי עם הצדקות גישה
Data Boundary for International Traffic in Arms Regulations (ITAR)
Data Boundary for Criminal Justice Information Systems (CJIS)
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)
שירות שלא עומד בדרישות ולא מופעל בו CMEK הצפנה

השגיאה מתרחשת כשעומס העבודה מופעל בשירות שלא תומך ב- CMEK .

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של חבילת הבקרה עבור האילוץ gcp.restrictNonCmekServices.
גבולות נתונים באיחוד האירופי עם הצדקות גישה
Data Boundary for International Traffic in Arms Regulations (ITAR)
Data Boundary for Criminal Justice Information Systems (CJIS)
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)
רמות הגנה ב-Cloud KMS שלא עומדות בדרישות הצפנה

השגיאה מתרחשת כשמציינים רמות הגנה שלא עומדות בדרישות לשימוש ב-Cloud Key Management Service‏ (Cloud KMS). מידע נוסף זמין במאמר בנושא Cloud KMS reference .

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של חבילת הבקרה עבור האילוץ cloudkms.allowedProtectionLevels.
גבולות נתונים באיחוד האירופי עם הצדקות גישה
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)
מיקומי משאבים שלא עומדים בדרישות מיקום המשאב

הבעיה מתרחשת כשמשאבים של שירותים נתמכים בחבילת אמצעי בקרה מסוימת של Assured Workloads נוצרים מחוץ לאזור המותר לעומס העבודה, או מועברים ממיקום מותר למיקום אסור.

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של חבילת אמצעי הבקרה עבור האילוץ gcp.resourceLocations .

Data Boundary for Criminal Justice Information Systems (CJIS)
Data Boundary ל-FedRAMP Moderate
Data Boundary ל-FedRAMP High
גבולות נתונים בארה"ב לתחום הבריאות ומדעי החיים
גבולות נתונים בארה"ב לתחום הבריאות ומדעי החיים עם תמיכה
Data Boundary לרמת השפעה 2 (IL2)
Data Boundary לרמת השפעה 4 (IL4)
Data Boundary for Impact Level 5 (IL5)
Data Boundary for International Traffic in Arms Regulations (ITAR)
Australia Data Boundary
גבולות נתונים ותמיכה באוסטרליה
Brazil Data Boundary
Canada Data Boundary
Data Boundary בקנדה ותמיכה
Data Boundary for Canada Protected B
Data Boundary בצ'ילה
EU Data Boundary
גבולות נתונים ותמיכה באיחוד האירופי
גבולות נתונים באיחוד האירופי עם הצדקות גישה
הגבלת גישה לנתונים בהונג קונג
Data Boundary
Indonesia Data Boundary
Israel Data Boundary
גבולות נתונים ותמיכה בישראל
Japan Data Boundary
Qatar Data Boundary
Singapore Data Boundary
Data Boundary בדרום אפריקה
גבולות הנתונים בקוריאה הדרומית
Data Boundary בשווייץ
Taiwan Data Boundary
UK Data Boundary
US Data Boundary
גבולות נתונים ותמיכה בארה"ב
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)
שירותים שלא עומדים בדרישות שימוש בשירות

השגיאה מתרחשת כשמשתמש מפעיל שירות שלא נתמך על ידי חבילת בקרה מסוימת של Assured Workloads בתיקייה של Assured Workloads.

ההפרה הזו נגרמת כתוצאה משינוי הערך התואם של חבילת הבקרה עבור האילוץ gcp.restrictServiceUsage.
Data Boundary for Criminal Justice Information Systems (CJIS)
Data Boundary ל-FedRAMP Moderate
Data Boundary ל-FedRAMP High
גבולות נתונים בארה"ב לתחום הבריאות ומדעי החיים
גבולות נתונים בארה"ב לתחום הבריאות ומדעי החיים עם תמיכה
Data Boundary לרמת השפעה 2 (IL2)
Data Boundary לרמת השפעה 4 (IL4)
Data Boundary for Impact Level 5 (IL5)
Data Boundary for International Traffic in Arms Regulations (ITAR)
Australia Data Boundary
גבולות נתונים ותמיכה באוסטרליה
Brazil Data Boundary
Canada Data Boundary
Data Boundary בקנדה ותמיכה
Data Boundary for Canada Protected B
Data Boundary בצ'ילה
EU Data Boundary
גבולות נתונים ותמיכה באיחוד האירופי
גבולות נתונים באיחוד האירופי עם הצדקות גישה
הגבלת גישה לנתונים בהונג קונג
Data Boundary
Indonesia Data Boundary
Israel Data Boundary
גבולות נתונים ותמיכה בישראל
Japan Data Boundary
Qatar Data Boundary
Singapore Data Boundary
Data Boundary בדרום אפריקה
גבולות הנתונים בקוריאה הדרומית
Data Boundary בשווייץ
Taiwan Data Boundary
UK Data Boundary
US Data Boundary
גבולות נתונים ותמיכה בארה"ב
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)

הפרות של משאבים במעקב

השירות Assured Workloads עוקב אחרי הפרות שונות של משאבים, בהתאם לחבילת אמצעי הבקרה שהוחלה על תיקיית Assured Workloads. כדי לראות אילו סוגי משאבים נמצאים במעקב, אפשר לעיין במאמר סוגי משאבים נתמכים במסמכי מאגר משאבי ענן. אפשר להשתמש ברשימה הבאה כדי לסנן את ההפרות לפי חבילת הבקרה שהן משפיעות עליה:

אילוץ של מדיניות הארגון תיאור חבילות הבקרה שהושפעו
מיקום משאב שלא עומד בדרישות

השגיאה מתרחשת כשהמיקום של משאב נמצא באזור שלא עומד בדרישות.

ההפרה הזו נגרמת בגלל האילוץ gcp.resourceLocations .
גבולות נתונים ותמיכה באוסטרליה
Data Boundary for Canada Protected B
Data Boundary בקנדה ותמיכה
Data Boundary for Criminal Justice Information Systems (CJIS)
גבולות נתונים ותמיכה באיחוד האירופי
גבולות נתונים באיחוד האירופי עם הצדקות גישה
Data Boundary ל-FedRAMP Moderate
Data Boundary ל-FedRAMP High
גבולות נתונים בארה"ב לתחום הבריאות ומדעי החיים
גבולות נתונים בארה"ב לתחום הבריאות ומדעי החיים עם תמיכה
Data Boundary לרמת השפעה 4 (IL4)
Data Boundary for Impact Level 5 (IL5)
גבולות נתונים ותמיכה בישראל
Data Boundary for International Traffic in Arms Regulations (ITAR)
Japan Data Boundary
גבולות נתונים ותמיכה בארה"ב
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)
משאבים בתיקייה שלא עומדים בדרישות

השגיאה מתרחשת כשנוצר משאב לשירות לא נתמך בתיקיית Assured Workloads.

ההפרה הזו נגרמת בגלל האילוץ gcp.restrictServiceUsage .
Data Boundary for Criminal Justice Information Systems (CJIS)
Data Boundary ל-FedRAMP Moderate
Data Boundary ל-FedRAMP High
גבולות נתונים בארה"ב לתחום הבריאות ומדעי החיים
גבולות נתונים בארה"ב לתחום הבריאות ומדעי החיים עם תמיכה
Data Boundary לרמת השפעה 2 (IL2)
Data Boundary לרמת השפעה 4 (IL4)
Data Boundary for Impact Level 5 (IL5)
Data Boundary for International Traffic in Arms Regulations (ITAR)
Australia Data Boundary
גבולות נתונים ותמיכה באוסטרליה
Brazil Data Boundary
Canada Data Boundary
Data Boundary בקנדה ותמיכה
Data Boundary for Canada Protected B
Data Boundary בצ'ילה
EU Data Boundary
גבולות נתונים ותמיכה באיחוד האירופי
גבולות נתונים באיחוד האירופי עם הצדקות גישה
הגבלת גישה לנתונים בהונג קונג
Data Boundary
Indonesia Data Boundary
Israel Data Boundary
גבולות נתונים ותמיכה בישראל
Japan Data Boundary
Qatar Data Boundary
Singapore Data Boundary
Data Boundary בדרום אפריקה
Data Boundary בשווייץ
Taiwan Data Boundary
UK Data Boundary
US Data Boundary
גבולות נתונים ותמיכה בארה"ב
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)
מקורות מידע לא מוצפנים (שלא מוצפנים באמצעות CMEK)

השגיאה מתרחשת כשיוצרים משאב ללא הצפנה באמצעות CMEK בשירות שנדרשת בו הצפנה באמצעות CMEK.

ההפרה הזו נגרמת בגלל האילוץ gcp.restrictNonCmekServices .
Data Boundary for Criminal Justice Information Systems (CJIS)
גבולות נתונים באיחוד האירופי עם הצדקות גישה
Data Boundary for Impact Level 5 (IL5)
Data Boundary for International Traffic in Arms Regulations (ITAR)
Local Controls by S3NS (Sovereign Controls by Partners)
Sovereign Controls by SIA/Minsait (Sovereign Controls by Partners)
T-Systems Sovereign Cloud (אמצעי בקרה של השותפים לשליטה בריבונות)

המאמרים הבאים