Assured Workloads フレームワークをモニタリングする
Assured Workloads は、デプロイされたデータ境界の要件と、そのデータ境界が割り当てられているフォルダまたはプロジェクトを比較することで、フレームワークのデプロイのコンプライアンス違反を積極的にモニタリングします。フォルダまたはプロジェクトが 1 つ以上のデータ境界のクラウド コントロール要件から逸脱すると、違反が発生します。違反の種類には次のものがあります。
- ロケーション: 割り当てられたフォルダまたはプロジェクトの子リソースが非準拠のロケーションにデプロイされると、違反が発生します。この違反は、特定のフレームワークの [リソース ロケーションを制限する] クラウド制御のデフォルト値を変更することで発生する可能性があります。このフレームワークは、
gcp.resourceLocations組織のポリシー制約にマッピングされています。 - サービスの使用状況: 割り当てられたフォルダまたはプロジェクトで非準拠のサービス エンドポイント(
compute.googleapis.comなど)が有効になっている場合、違反が発生します。この違反は、特定のフレームワークの サービスの使用を制限するクラウド コントロールのデフォルト値を変更した場合に発生することがあります。このフレームワークは、gcp.restrictServiceUsage組織のポリシーの制約にマッピングされています。 - 暗号化: 一部のデータ境界では、特定のサービス エンドポイントのセットに設定された顧客管理の暗号鍵が必要です。この要件を適用するには、サポートされているサービスに CMEK を適用するクラウド制御を適用します。このクラウド コントロールに非準拠のサービスを追加したり、既存のサービスや必要なサービスを削除したりすると、違反が発生します。この違反は、
gcp.restrictNonCmekServices組織のポリシーの制約にマッピングされます。 - アクセス: 一部のデータ境界では、Access Approval またはアクセスの透明性が必要です。これらを組み合わせることで、Google の担当者によるお客様データへのアクセス リクエストを承認し、そのようなデータがいつ、なぜアクセスされたかを判断できます。たとえば、[アクセスの透明性を有効にする] クラウド コントロールのデフォルト値を変更するなど、これらのクラウド コントロールを変更すると、違反が発生する可能性があります。
- 構成: クラウド コントロールの値を非準拠値に変更すると、違反が発生する可能性があります。
違反が発生した場合は、違反を解決するか、必要に応じて例外を作成できます。違反のステータスは次の 3 つのうちのいずれかになります。
- 未解決: 違反が対処されていない、または、非準拠の変更がフォルダまたはリソースに加えられた前に例外が付与されている。
- 解決済み:問題を解決するための手順により、違反に対処されています。
- 例外: 違反が例外として認められ、ビジネス上の正当な理由が提供されています。
Assured Workloads フレームワークをリソースに適用すると、モニタリングが自動的に有効になります。
組織内の違反を表示します
特定のコンプライアンス違反とそれらの詳細を表示するには、次の手順を行います。
Google Cloud コンソールで、[モニタリング] ページに移動します。
表示された指示に従って組織を選択します。
[Assured Workloads の違反] タブをクリックします。[組織のポリシー違反] と [リソース違反] の 2 つのタブが表示されます。複数の未解決の違反が存在する場合、タブで アイコンがアクティブになります。
デフォルトでは [組織のポリシー違反] タブが選択されています。このタブには、組織内の Assured Workloads フレームワークのフォルダまたはプロジェクト全体で未解決の組織のポリシー違反がすべて表示されます。
[リソース違反] タブには、組織内のすべての Assured Workloads フレームワーク フォルダまたはプロジェクト全体のリソースに関連付けられた未解決のすべての違反が表示されます。
どちらのタブでも、[クイック フィルタ] オプションを使用して、違反ステータス、違反タイプ、割り当て、影響を受けるフレームワーク、組織ポリシー コントロール、または特定のリソースタイプでフィルタできます。
どちらのタブでも、既存の違反がある場合は違反 ID をクリックすると、詳細情報が表示されます。
[違反の詳細] ページから、次のタスクを実行できます。
違反 ID をコピーします。
違反が発生した Assured Workloads フレームワークのリソースと、違反が最初に発生した日時を確認します。
監査ログを確認します。次のものが含まれます。
違反が発生した日時。
違反の原因となった変更ポリシーとその変更を行ったユーザー。
例外が付与された場合、それを付与したユーザー。
違反が発生した特定のリソースを表示します(該当する場合)。
影響を受ける組織のポリシーを表示します。
コンプライアンス違反の例外を追加して確認します。 リソースの以前の例外が一覧表示されます。これらの例外には、例外を付与したユーザー、ユーザーが提出した理由、付与された時刻が含まれます。
修正手順に沿って例外を解決します。
組織のポリシー違反では、次の情報も確認できます。
- 影響を受ける組織のポリシー: コンプライアンス違反に関連付けられているポリシーを表示するには、[ポリシーを表示] をクリックします。
- 子リソース違反: リソースベースの組織のポリシー違反は、子リソース違反を引き起こす可能性があります。子リソースの違反を表示または解決するには、違反 ID をクリックします。
リソース違反では、次の情報も確認できます。
- 親組織のポリシー違反: 親組織のポリシー違反が子リソース違反の原因である場合は、まず子レベルで対処する必要があります。子リソース違反が解決したら、親組織のポリシー違反を解決します。違反の詳細を表示するには、[違反を表示] をクリックします。
- リソース違反を引き起こしている特定のリソースの他の違反も表示されます。
違反を解決する
違反を修復するには、次の手順を行います。
Google Cloud コンソールで、[モニタリング] ページに移動します。
表示された指示に従って組織を選択します。
[Assured Workloads の違反] タブをクリックします。[組織のポリシー違反] と [リソース違反] の 2 つのタブが表示されます。複数の未解決の違反が存在する場合、タブで アイコンがアクティブになります。違反を表示するタブをクリックします。
[違反 ID] をクリックすると、詳細情報が表示されます。
[修復] セクションで、手順に沿って問題を解決します。
違反の例外を追加する
違反は、特定の状況で有効である場合があります。次の手順で、違反の例外を 1 つ以上追加できます。
Google Cloud コンソールで、[モニタリング] ページに移動します。
表示された指示に従って組織を選択します。
[Assured Workloads の違反] タブをクリックします。[組織のポリシー違反] と [リソース違反] の 2 つのタブが表示されます。複数の未解決の違反が存在する場合、タブで アイコンがアクティブになります。
デフォルトでは [組織のポリシー違反] タブが選択されています。このタブには、組織内の Assured Workloads フレームワークのフォルダまたはプロジェクト全体で未解決の組織のポリシー違反がすべて表示されます。
[リソース違反] タブには、組織内のすべての Assured Workloads フレームワーク フォルダまたはプロジェクト全体のリソースに関連付けられた未解決のすべての違反が表示されます。
違反を表示するタブをクリックします。
[違反 ID] 列で、例外を追加する違反をクリックします。
[例外] セクションで [新しく追加] をクリックします。
例外に対するビジネス上の正当な理由を入力します。すべての子リソースに例外を適用する場合は、[既存のすべての子リソース違反に適用する] チェックボックスをオンにして、[送信] をクリックします。
例外を追加するには、上記の手順を繰り返します。
違反ステータスが [例外] に設定されます。
次のステップ
- Assured Workloads で利用可能なフレームワークとデータ境界について理解する。
- 各データ境界でサポートされているプロダクトを確認する。