Assured Workloads-Frameworks überwachen

Assured Workloads überwacht Ihre Framework-Bereitstellungen aktiv auf Complianceverstöße, indem die Anforderungen einer bereitgestellten Datengrenze mit dem Ordner oder Projekt verglichen werden, dem sie zugewiesen ist. Wenn Ihr Ordner oder Projekt von einer oder mehreren Anforderungen der Cloud-Steuerung der Datengrenze abweicht, tritt ein Verstoß auf. Zu den Verstoßtypen gehören:

  • Standort: Wenn eine untergeordnete Ressource in einem zugewiesenen Ordner oder Projekt an einem nicht konformen Standort bereitgestellt wird, tritt ein Verstoß auf. Dieser Verstoß kann auftreten, wenn Sie einen Standardwert für die Cloud-Steuerung „Ressourcenstandorte einschränken“ für ein bestimmtes Framework ändern, das der gcp.resourceLocations Einschränkung der Organisationsrichtlinie zugeordnet ist.
  • Dienstnutzung: Wenn ein nicht konformer Dienstendpunkt (z. B. compute.googleapis.com) in einem zugewiesenen Ordner oder Projekt aktiviert ist, tritt ein Verstoß auf. Dieser Verstoß kann auftreten, wenn Sie den Standardwert für die Service Usage Cloud-Steuerung für ein bestimmtes Framework ändern, das der gcp.restrictServiceUsage Einschränkung der Organisationsrichtlinie zugeordnet ist.
  • Verschlüsselung: Für einige Datengrenzen sind vom Kunden verwaltete Verschlüsselungsschlüssel erforderlich, die auf eine bestimmte Gruppe von Dienstendpunkten festgelegt sind. Um diese Anforderung zu erzwingen, wird die Cloud-Steuerung CMEK für unterstützte Dienste erzwingen angewendet. Wenn Sie nicht konforme Dienste hinzufügen oder vorhandene oder erforderliche Dienste aus dieser Cloud-Steuerung entfernen, tritt ein Verstoß auf. Dieser Verstoß ist der gcp.restrictNonCmekServices Einschränkung der Organisationsrichtlinie zugeordnet.
  • Zugriff: Für einige Datengrenzen sind Access Approval oder Access Transparency erforderlich. Mit diesen Diensten können Sie Anfragen von Google-Mitarbeitern für den Zugriff auf Kundendaten autorisieren und festlegen, wann und warum auf diese Daten zugegriffen wurde. Wenn Sie diese Cloud-Steuerungen ändern, z. B. indem Sie die Standardwerte für die Cloud-Steuerung Access Transparency aktivieren ändern, kann ein Verstoß auftreten.
  • Konfiguration: Wenn Sie einen Wert der Cloud-Steuerung in einen nicht konformen Wert ändern, kann ein Verstoß auftreten.

Wenn ein Verstoß auftritt, können Sie ihn beheben oder gegebenenfalls Ausnahmen dafür erstellen. Ein Verstoß kann einen von drei Status haben:

  • Nicht behoben:Der Verstoß wurde nicht behoben oder es wurde zuvor eine Ausnahme gewährt, bevor nicht konforme Änderungen am Ordner oder an der Ressource vorgenommen wurden.
  • Behoben:Der Verstoß wurde durch die folgenden Schritte zur Behebung des Problems behoben.
  • Ausnahme: Dem Verstoß wurde eine Ausnahme gewährt und eine geschäftliche Begründung wurde angegeben.

Die Überwachung wird automatisch aktiviert, wenn Sie ein Assured Workloads-Framework auf eine Ressource anwenden.

Verstöße gegen die Organisation aufrufen

So rufen Sie bestimmte Complianceverstöße und ihre Details auf:

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

  2. Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.

  3. Klicken Sie auf den Tab Assured Workloads-Verstöße. Es werden zwei Tabs angezeigt: Verstöße gegen die Organisationsrichtlinie und Ressourcenverstöße. Wenn mehr als ein nicht behobener Verstoß vorhanden ist, ist das Symbol auf dem Tab aktiv.

    Der Tab Verstöße gegen die Organisationsrichtlinie ist standardmäßig ausgewählt. Auf diesem Tab werden alle nicht behobenen Verstöße gegen die Organisationsrichtlinie in allen Ordnern oder Projekten von Assured Workloads-Frameworks in der Organisation angezeigt.

    Auf dem Tab Ressourcenverstöße werden alle nicht behobenen Verstöße angezeigt, die mit der Ressource in allen Ordnern oder Projekten von Assured Workloads-Frameworks in der Organisation verknüpft sind.

  4. Verwenden Sie auf beiden Tabs die Optionen unter Schnellfilter , um nach Verstoßstatus, Verstoßtyp, Zuweisung, betroffenen Frameworks, Steuerung der Organisationsrichtlinie oder bestimmten Ressourcentypen zu filtern.

  5. Wenn auf einem der beiden Tabs Verstöße vorhanden sind, klicken Sie auf eine Verstoß-ID, um weitere Informationen zu sehen.

Auf der Seite Details zu Verstößen können Sie die folgenden Aufgaben ausführen:

  • Kopieren Sie die ID des Verstoßes.

  • Rufen Sie die Ressource des Assured Workloads-Frameworks auf, in der der Verstoß aufgetreten ist, und den Zeitpunkt, zu dem er zum ersten Mal aufgetreten ist.

  • Prüfen Sie das Audit-Log, das Folgendes enthält:

    • Zeitpunkt des Verstoßes

    • Welche Richtlinie geändert wurde, um den Verstoß zu verursachen, und welcher Nutzer diese Änderung vorgenommen hat

    • Wenn eine Ausnahme gewährt wurde, welcher Nutzer sie erteilt hat.

    • Sehen Sie gegebenenfalls die spezifische Ressource, bei der der Verstoß aufgetreten ist.

  • Rufen Sie die betroffene Organisationsrichtlinie auf.

  • Complianceverstöße aufrufen und Ausnahmen hinzufügen Vorherige Ausnahmen für die Ressource werden aufgeführt. Diese Ausnahmen enthalten den Nutzer, der die Ausnahme gewährt hat, die vom Nutzer angegebene Begründung und den Zeitpunkt, zu dem sie gewährt wurde.

  • Folgen Sie den Schritten, um die Ausnahme zu beheben.

Bei Verstößen gegen die Organisationsrichtlinie können Sie auch Folgendes sehen:

  • Betroffene Organisationsrichtlinie: Klicken Sie auf Richtlinie ansehen, um die Richtlinie aufzurufen, die mit dem Complianceverstoß verknüpft ist.
  • Untergeordnete Ressourcenverstöße: Verstöße gegen die ressourcenbasierte Organisationsrichtlinie können zu Verstößen gegen untergeordnete Ressourcen führen. Klicken Sie auf die Verstoß-ID, um Verstöße gegen untergeordnete Ressourcen aufzurufen oder zu beheben.

Bei Ressourcenverstößen können Sie auch Folgendes sehen:

  • Verstöße gegen die Richtlinie der übergeordneten Organisation: Wenn Verstöße gegen die Richtlinie der übergeordneten Organisation die Ursache für einen Verstoß gegen eine untergeordnete Ressource sind, müssen sie zuerst auf der Ebene der untergeordneten Ressource behoben werden. Sobald der Verstoß gegen die untergeordnete Ressource behoben ist, beheben Sie den Verstoß gegen die Richtlinie der übergeordneten Organisation. Klicken Sie auf Verstoß ansehen, um die Details zum Verstoß aufzurufen.
  • Alle anderen Verstöße gegen die spezifische Ressource, die den Ressourcenverstoß verursacht, sind ebenfalls sichtbar.

Verstöße beheben

Führen Sie folgende Schritte aus, um einen Verstoß zu beheben:

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

  2. Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.

  3. Klicken Sie auf den Tab Assured Workloads-Verstöße. Es werden zwei Tabs angezeigt: Verstöße gegen die Organisationsrichtlinie und Ressourcenverstöße. Wenn mehr als ein nicht behobener Verstoß vorhanden ist, ist das Symbol auf dem Tab aktiv. Klicken Sie auf den Tab, für den Sie Verstöße aufrufen möchten.

  4. Klicken Sie auf die Verstoß-ID , um weitere Informationen zu sehen.

  5. Folgen Sie im Abschnitt Behebung der Anleitung, um das Problem zu beheben.

Ausnahmen für Verstöße hinzufügen

Manchmal ist ein Verstoß für eine bestimmte Situation gültig. Sie können eine oder mehrere Ausnahmen für einen Verstoß hinzufügen. Führen Sie dazu die folgenden Schritte aus.

  1. Rufen Sie in der Google Cloud Console die Seite Monitoring auf.

    Zu Monitoring

  2. Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.

  3. Klicken Sie auf den Tab Assured Workloads-Verstöße. Es werden zwei Tabs angezeigt: Verstöße gegen die Organisationsrichtlinie und Ressourcenverstöße. Wenn mehr als ein nicht behobener Verstoß vorhanden ist, ist das Symbol auf dem Tab aktiv.

    Der Tab Verstöße gegen die Organisationsrichtlinie ist standardmäßig ausgewählt. Auf diesem Tab werden alle nicht behobenen Verstöße gegen die Organisationsrichtlinie in allen Ordnern oder Projekten von Assured Workloads-Frameworks in der Organisation angezeigt.

    Auf dem Tab Ressourcenverstöße werden alle nicht behobenen Verstöße angezeigt, die mit der Ressource in allen Ordnern oder Projekten von Assured Workloads-Frameworks in der Organisation verknüpft sind.

    Klicken Sie auf den Tab, für den Sie Verstöße aufrufen möchten.

  4. Klicken Sie in der Spalte Verstoß-ID auf den Verstoß, für den Sie die Ausnahme hinzufügen möchten.

  5. Klicken Sie im Abschnitt Ausnahmen auf Neu hinzufügen.

  6. Geben Sie eine geschäftliche Begründung für die Ausnahme ein. Wenn die Ausnahme für alle untergeordneten Ressourcen gelten soll, wählen Sie das Kästchen Auf alle vorhandenen untergeordneten Ressourcenverstöße anwenden aus und klicken Sie auf Senden.

  7. Wiederholen Sie diese Schritte, um weitere Ausnahmen hinzuzufügen.

Der Status des Verstoßes ist jetzt Ausnahme.

Nächste Schritte