Memantau framework Assured Workloads
Assured Workloads secara aktif memantau deployment framework Anda untuk mendeteksi pelanggaran kepatuhan dengan membandingkan persyaratan batas data yang di-deploy dengan folder atau project tempat batas data tersebut ditetapkan. Jika folder atau project Anda menyimpang dari satu atau beberapa persyaratan kontrol cloud batas data, pelanggaran akan terjadi. Jenis pelanggaran meliputi:
- Lokasi: Jika resource turunan dalam folder atau project yang ditetapkan di-deploy ke lokasi yang tidak sesuai, akan terjadi pelanggaran. Pelanggaran ini dapat terjadi dengan mengubah nilai default untuk kontrol cloud Membatasi Lokasi Resource untuk framework tertentu, yang dipetakan ke batasan kebijakan organisasi
gcp.resourceLocations. - Penggunaan layanan: Jika endpoint layanan yang tidak mematuhi kebijakan (seperti
compute.googleapis.com) diaktifkan di folder atau project yang ditetapkan, pelanggaran akan terjadi. Pelanggaran ini dapat terjadi jika Anda mengubah nilai default untuk kontrol cloud Batasi Penggunaan Layanan untuk framework tertentu, yang dipetakan ke batasan kebijakan organisasigcp.restrictServiceUsage. - Enkripsi: Beberapa batas data memerlukan
Kunci enkripsi yang dikelola pelanggan yang ditetapkan ke serangkaian
endpoint layanan tertentu. Untuk menerapkan persyaratan ini, kontrol cloud Terapkan CMEK untuk Layanan yang Didukung diterapkan. Jika Anda menambahkan layanan yang tidak mematuhi atau menghapus layanan yang ada atau yang diperlukan dari kontrol cloud ini, pelanggaran akan terjadi. Pelanggaran ini dipetakan ke batasan kebijakan organisasi
gcp.restrictNonCmekServices. - Akses: Beberapa batas data memerlukan Persetujuan Akses atau Transparansi Akses, yang bersama-sama membantu Anda mengizinkan permintaan dari personel Google untuk mengakses Data Pelanggan dan menentukan kapan dan mengapa data tersebut diakses. Saat mengubah kontrol cloud ini, misalnya, dengan mengubah nilai default untuk kontrol cloud Aktifkan Transparansi Akses, Anda dapat menyebabkan terjadinya pelanggaran.
- Konfigurasi: Mengubah nilai kontrol cloud menjadi nilai yang tidak sesuai dapat menyebabkan terjadinya pelanggaran.
Jika terjadi pelanggaran, Anda dapat menyelesaikannya atau membuat pengecualian untuk pelanggaran tersebut jika sesuai. Pelanggaran dapat memiliki salah satu dari tiga status berikut:
- Belum terselesaikan: Pelanggaran belum ditangani, atau sebelumnya diberikan pengecualian sebelum perubahan yang tidak mematuhi kebijakan dilakukan pada folder atau resource.
- Selesai: Pelanggaran telah ditangani dengan mengikuti langkah-langkah untuk memperbaiki masalah ini.
- Pengecualian: Pelanggaran telah diberi pengecualian, dan justifikasi bisnis telah diberikan.
Pemantauan diaktifkan secara otomatis saat Anda menerapkan framework Assured Workloads ke resource.
Melihat pelanggaran di organisasi Anda
Untuk melihat pelanggaran kepatuhan tertentu dan detailnya, selesaikan langkah-langkah berikut:
Di Konsol Google Cloud , buka halaman Monitoring.
Jika diminta, pilih organisasi Anda.
Klik tab Pelanggaran Assured Workloads. Dua tab ditampilkan: Pelanggaran Kebijakan Organisasi dan Pelanggaran Resource. Jika ada lebih dari satu pelanggaran yang belum terselesaikan, ikon akan aktif di tab.
Tab Pelanggaran Kebijakan Organisasi dipilih secara default. Tab ini menampilkan semua pelanggaran kebijakan organisasi yang belum terselesaikan di seluruh folder atau project framework Assured Workloads dalam organisasi.
Tab Pelanggaran Resource menampilkan semua pelanggaran yang belum terselesaikan yang terkait dengan resource di semua folder atau project framework Assured Workloads dalam organisasi.
Untuk kedua tab, gunakan opsi Quick filters untuk memfilter menurut status pelanggaran, jenis pelanggaran, penetapan, framework yang terpengaruh, kontrol kebijakan organisasi, atau jenis resource tertentu.
Untuk kedua tab, jika ada pelanggaran yang sudah ada, klik ID pelanggaran untuk melihat informasi yang lebih mendetail.
Dari halaman Detail pelanggaran, Anda dapat melakukan tugas berikut:
Salin ID pelanggaran.
Lihat resource framework Assured Workloads tempat terjadinya pelanggaran dan kapan pelanggaran tersebut pertama kali terjadi.
Melihat log audit, yang mencakup hal berikut:
Kapan pelanggaran terjadi.
Kebijakan mana yang diubah sehingga menyebabkan pelanggaran dan pengguna mana yang melakukan perubahan tersebut.
Jika pengecualian diberikan, pengguna mana yang memberikannya.
Jika berlaku, lihat resource tertentu tempat terjadinya pelanggaran.
Lihat kebijakan organisasi yang terpengaruh.
Melihat dan menambahkan pengecualian pelanggaran kepatuhan. Pengecualian sebelumnya untuk resource dicantumkan. Pengecualian ini mencakup pengguna yang memberikan pengecualian, alasan yang diberikan pengguna, dan waktu pengecualian diberikan.
Ikuti langkah-langkah perbaikan untuk menyelesaikan pengecualian.
Untuk pelanggaran kebijakan organisasi, Anda juga dapat melihat hal berikut:
- Kebijakan organisasi yang terpengaruh: Untuk melihat kebijakan yang terkait dengan pelanggaran kepatuhan, klik Lihat Kebijakan.
- Pelanggaran resource turunan: Pelanggaran kebijakan organisasi berbasis resource dapat menyebabkan pelanggaran resource turunan. Untuk melihat atau menyelesaikan pelanggaran sumber daya turunan, klik ID Pelanggaran.
Untuk pelanggaran sumber daya, Anda juga dapat melihat hal berikut:
- Pelanggaran kebijakan organisasi induk: Jika pelanggaran kebijakan organisasi induk menjadi penyebab pelanggaran resource turunan, pelanggaran tersebut harus ditangani terlebih dahulu di tingkat turunan. Setelah pelanggaran resource turunan diselesaikan, selesaikan pelanggaran kebijakan organisasi induk. Untuk melihat detail pelanggaran, klik Lihat Pelanggaran.
- Pelanggaran lain pada resource tertentu yang menyebabkan pelanggaran resource juga terlihat.
Mengatasi pelanggaran
Untuk memperbaiki pelanggaran, selesaikan langkah-langkah berikut:
Di Konsol Google Cloud , buka halaman Monitoring.
Jika diminta, pilih organisasi Anda.
Klik tab Pelanggaran Assured Workloads. Dua tab ditampilkan: Pelanggaran Kebijakan Organisasi dan Pelanggaran Resource. Jika ada lebih dari satu pelanggaran yang belum terselesaikan, ikon akan aktif di tab. Klik tab yang ingin Anda lihat pelanggarannya.
Klik ID Pelanggaran untuk melihat informasi yang lebih mendetail.
Di bagian Perbaikan, ikuti petunjuk untuk mengatasi masalah tersebut.
Menambahkan pengecualian pelanggaran
Terkadang, pelanggaran mungkin valid untuk situasi tertentu. Anda dapat menambahkan satu atau beberapa pengecualian untuk pelanggaran dengan menyelesaikan langkah-langkah berikut.
Di Konsol Google Cloud , buka halaman Monitoring.
Jika diminta, pilih organisasi Anda.
Klik tab Pelanggaran Assured Workloads. Dua tab ditampilkan: Pelanggaran Kebijakan Organisasi dan Pelanggaran Resource. Jika ada lebih dari satu pelanggaran yang belum terselesaikan, ikon akan aktif di tab.
Tab Pelanggaran Kebijakan Organisasi dipilih secara default. Tab ini menampilkan semua pelanggaran kebijakan organisasi yang belum terselesaikan di seluruh folder atau project framework Assured Workloads dalam organisasi.
Tab Pelanggaran Resource menampilkan semua pelanggaran yang belum terselesaikan yang terkait dengan resource di semua folder atau project framework Assured Workloads dalam organisasi.
Klik tab yang pelanggarannya ingin Anda lihat.
Di kolom ID Pelanggaran, klik pelanggaran yang ingin Anda tambahi pengecualian.
Di bagian Pengecualian, klik Tambahkan Baru.
Masukkan justifikasi bisnis untuk pengecualian. Jika Anda ingin pengecualian berlaku untuk semua resource turunan, centang kotak Terapkan ke semua pelanggaran resource turunan yang ada, lalu klik Kirim.
Untuk menambahkan pengecualian lainnya, ulangi langkah-langkah ini.
Status pelanggaran kini disetel ke Pengecualian.
Langkah berikutnya
- Pahami framework dan batas data yang tersedia untuk Assured Workloads.
- Pelajari produk yang didukung untuk setiap batas data.