Supervisa los frameworks de Assured Workloads

Assured Workloads supervisa de forma activa las implementaciones de tu framework para detectar incumplimientos comparando los requisitos de un límite de datos implementado con la carpeta o el proyecto al que está asignado. Cuando tu carpeta o proyecto se desvía de uno o más de los requisitos de control de la nube del límite de datos, se produce un incumplimiento. Entre los tipos de incumplimiento, se incluyen los siguientes:

  • Ubicación: Cuando un recurso secundario de una carpeta o un proyecto asignado se implementa en una ubicación que no cumple con las normas, se produce un incumplimiento. Este incumplimiento puede ocurrir si modificas un valor predeterminado para el Restringir ubicaciones de recursos control de la nube para un framework determinado, que se asigna a la gcp.resourceLocations restricción de la política de la organización.
  • Uso del servicio: Cuando se habilita un extremo de servicio que no cumple con las normas (como compute.googleapis.com) en una carpeta o un proyecto asignado, se produce un incumplimiento. Este incumplimiento puede ocurrir si modificas el valor predeterminado para el control de la nube Restringir el uso del servicio para un framework determinado, que se asigna a la gcp.restrictServiceUsage restricción de la política de la organización.
  • Encriptación: Algunos límites de datos requieren claves de encriptación administradas por el cliente establecidas en un conjunto específico de extremos de servicio. Para aplicar este requisito, se aplica el control de la nube Aplicar CMEK para servicios compatibles. Si agregas servicios que no cumplen con las normas o quitas servicios existentes o requeridos de este control de la nube, se producirá un incumplimiento. Este incumplimiento se asigna a la gcp.restrictNonCmekServices restricción de la política de la organización.
  • Acceso: Algunos límites de datos requieren la Aprobación de acceso o la Transparencia de acceso, que, en conjunto, te ayudan a autorizar las solicitudes del personal de Google para acceder a los Datos del cliente y determinar cuándo y por qué se accedió a esos datos. Cuando modificas estos controles de la nube, por ejemplo, si cambias los valores predeterminados para el control de la nube Habilitar la Transparencia de acceso, puedes provocar un incumplimiento.
  • Configuración: Si cambias un valor de control de la nube a un valor que no cumple con las normas, se puede producir un incumplimiento.

Cuando se produce un incumplimiento, puedes resolverlo o crear excepciones para él cuando corresponda. Un incumplimiento puede tener uno de tres estados:

  • Sin resolver: No se abordó el incumplimiento o se otorgó una excepción antes de que se realizaran cambios que no cumplen con las normas en la carpeta o el recurso.
  • Resuelto: El incumplimiento se abordó y se siguieron pasos para solucionar el problema.
  • Excepción: Se otorgó una excepción al incumplimiento y se proporcionó una justificación de la empresa.

La supervisión se habilita automáticamente cuando aplicas un framework de Assured Workloads a un recurso.

Visualiza los incumplimientos en tu organización

Para ver incumplimientos específicos y sus detalles, completa los siguientes pasos:

  1. En la Google Cloud consola, dirígete a la página Monitoring.

    Ir a Monitoring

  2. Si se te solicita, selecciona tu organización.

  3. Haz clic en la pestaña Assured Workloads Violations. Se muestran dos pestañas: Organization Policy Violations y Resource Violations. Si existe más de un incumplimiento sin resolver, el ícono está activo en la pestaña.

    La pestaña Organization Policy Violations está seleccionada de forma predeterminada. En esta pestaña, se muestran todos los incumplimientos de las políticas de la organización sin resolver en las carpetas o los proyectos de los frameworks de Assured Workloads de la organización.

    En la pestaña Resource Violations , se muestran todos los incumplimientos sin resolver asociados con el recurso en todas las carpetas o los proyectos de los frameworks de Assured Workloads de la organización.

  4. En cualquiera de las pestañas, usa las opciones de Quick filters para filtrar por estado de incumplimiento, tipo de incumplimiento, asignación, frameworks afectados, control de políticas de la organización o tipos de recursos específicos.

  5. En cualquiera de las pestañas, si hay incumplimientos existentes, haz clic en un ID de incumplimiento para ver información más detallada.

En la página Violation details, puedes realizar las siguientes tareas:

  • Copiar el ID del incumplimiento.

  • Ver el recurso del framework de Assured Workloads en el que se produjo el incumplimiento y cuándo ocurrió por primera vez.

  • Ver el registro de auditoría, que incluye lo siguiente:

    • Cuándo ocurrió el incumplimiento.

    • Qué política se modificó que causó el incumplimiento y qué usuario realizó esa modificación.

    • Si se otorgó una excepción, qué usuario la otorgó.

    • Cuando corresponda, consulta el recurso específico en el que se produjo el incumplimiento.

  • Consultar la política de la organización afectada.

  • Ver y agregar excepciones de incumplimiento. Se enumeran las excepciones anteriores para el recurso. Estas excepciones incluyen el usuario que otorgó la excepción, la justificación que proporcionó el usuario y la hora en que se otorgó.

  • Sigue los pasos de corrección para resolver la excepción.

En el caso de los incumplimientos de las políticas de la organización, también puedes ver lo siguiente:

  • Política de la organización afectada: Para ver la política asociada con el incumplimiento, haz clic en Ver política.
  • Incumplimientos de recursos secundarios: Los incumplimientos de las políticas de la organización basados en recursos pueden causar incumplimientos de recursos secundarios. Para ver o resolver incumplimientos de recursos secundarios, haz clic en el ID del incumplimiento.

En el caso de los incumplimientos de recursos, también puedes ver lo siguiente:

  • Incumplimientos de la política de la organización superior: Cuando los incumplimientos de la política de la organización superior son la causa de un incumplimiento de recursos secundarios, primero se deben abordar a nivel secundario. Una vez que se haya resuelto el incumplimiento de recursos secundarios, resuelve el incumplimiento de la política de la organización superior. Para ver los detalles del incumplimiento, haz clic en Ver incumplimiento.
  • También se pueden ver otros incumplimientos en el recurso específico que causa el incumplimiento de recursos.

Resuelve incumplimientos

Para corregir un incumplimiento, sigue estos pasos:

  1. En la Google Cloud consola, dirígete a la página Monitoring.

    Ir a Monitoring

  2. Si se te solicita, selecciona tu organización.

  3. Haz clic en la pestaña Assured Workloads Violations. Se muestran dos pestañas: Organization Policy Violations y Resource Violations. Si existe más de un incumplimiento sin resolver, el ícono está activo en la pestaña. Haz clic en la pestaña para la que deseas ver los incumplimientos.

  4. Haz clic en el ID del incumplimiento para ver información más detallada.

  5. En la sección Remediation, sigue las instrucciones para abordar el problema.

Agrega excepciones de incumplimiento

A veces, un incumplimiento puede ser válido para un caso en particular. Para agregar una o más excepciones a un incumplimiento, completa los siguientes pasos.

  1. En la Google Cloud consola, dirígete a la página Monitoring.

    Ir a Monitoring

  2. Si se te solicita, selecciona tu organización.

  3. Haz clic en la pestaña Assured Workloads Violations. Se muestran dos pestañas: Organization Policy Violations y Resource Violations. Si existe más de un incumplimiento sin resolver, el ícono está activo en la pestaña.

    La pestaña Organization Policy Violations está seleccionada de forma predeterminada. En esta pestaña, se muestran todos los incumplimientos de las políticas de la organización sin resolver en las carpetas o los proyectos de los frameworks de Assured Workloads de la organización.

    En la pestaña Resource Violations , se muestran todos los incumplimientos sin resolver asociados con el recurso en todas las carpetas o los proyectos de los frameworks de Assured Workloads de la organización.

    Haz clic en la pestaña para la que deseas ver los incumplimientos.

  4. En la columna ID del incumplimiento, haz clic en el incumplimiento al que deseas agregar la excepción.

  5. En la sección Exceptions, haz clic en Add New.

  6. Ingresa una justificación comercial para la excepción. Si deseas que la excepción se aplique a todos los recursos secundarios, selecciona la casilla de verificación Aplicar a todas las infracciones de recursos secundarios existentes y haz clic en Enviar.

  7. Para agregar más excepciones, repite estos pasos.

El estado de incumplimiento ahora está configurado como Excepción.

¿Qué sigue?