Assured Workloads 프레임워크 모니터링
Assured Workloads는 배포된 데이터 경계의 요구사항을 할당된 폴더 또는 프로젝트와 비교하여 프레임워크 배포의 규정 준수 위반을 적극적으로 모니터링합니다. 폴더 또는 프로젝트가 하나 이상의 데이터 경계의 클라우드 제어 요구사항에서 벗어나면 위반이 발생합니다. 위반 유형에는 다음이 포함됩니다.
- 위치: 할당된 폴더 또는 프로젝트의 하위 리소스가 정책을 준수하지 않는 위치에 배포되면 위반이 발생합니다. 이 위반은
gcp.resourceLocations조직 정책 제약 조건에 매핑되는 특정 프레임워크의 리소스 위치 제한 클라우드 제어의 기본값을 수정하여 발생할 수 있습니다. - 서비스 사용량: 할당된 폴더 또는 프로젝트에서 규정을 준수하지 않는 서비스 엔드포인트(예:
compute.googleapis.com)가 사용 설정되면 위반이 발생합니다. 이 위반은gcp.restrictServiceUsage조직 정책 제약조건에 매핑되는 특정 프레임워크의 서비스 사용량 제한 클라우드 컨트롤의 기본값을 수정하는 경우 발생할 수 있습니다. - 암호화: 일부 데이터 경계에는 특정 서비스 엔드포인트 집합으로 설정된 고객 관리 암호화 키가 필요합니다. 이 요구사항을 적용하려면 지원되는 서비스에 CMEK 적용 클라우드 컨트롤을 적용합니다. 규정을 준수하지 않는 서비스를 추가하거나 이 클라우드 컨트롤에서 기존 서비스 또는 필수 서비스를 삭제하면 위반이 발생합니다. 이 위반은
gcp.restrictNonCmekServices조직 정책 제약 조건에 매핑됩니다. - 액세스: 일부 데이터 경계에는 액세스 승인 또는 액세스 투명성이 필요하며, 이를 통해 Google 직원의 고객 데이터 액세스 요청을 승인하고 이러한 데이터에 액세스한 시점과 이유를 확인할 수 있습니다. 예를 들어 액세스 투명성 사용 설정 클라우드 컨트롤의 기본값을 변경하는 등 이러한 클라우드 컨트롤을 수정하면 위반이 발생할 수 있습니다.
- 구성: 클라우드 제어 값을 규정 비준수 값으로 변경하면 위반이 발생할 수 있습니다.
위반이 발생하면 이를 해결하거나 적절한 경우 예외를 만들 수 있습니다. 위반 상태는 다음 세 가지 중 하나일 수 있습니다.
- 해결되지 않음: 위반사항이 해결되지 않았거나 규정을 준수하지 않는 변경 사항이 폴더 또는 리소스에 적용되기 전에 예외가 허용되었습니다.
- 해결됨: 문제를 해결하기 위한 단계에 따라 위반이 해결되었습니다.
- 예외: 위반에 예외가 부여되었으며 비즈니스 근거가 제공되었습니다.
Assured Workloads 프레임워크를 리소스에 적용하면 모니터링이 자동으로 사용 설정됩니다.
조직의 위반 보기
특정 규정 준수 위반 및 세부정보를 보려면 다음 단계를 완료하세요.
Google Cloud 콘솔에서 Monitoring 페이지로 이동합니다.
메시지가 표시되면 조직을 선택합니다.
Assured Workloads 위반 탭을 클릭합니다. 조직 정책 위반 및 리소스 위반이라는 두 개의 탭이 표시됩니다. 해결되지 않은 위반이 두 개 이상 있으면 탭에 아이콘이 활성 상태로 표시됩니다.
기본적으로 조직 정책 위반 탭이 선택되어 있습니다. 이 탭에는 조직의 Assured Workloads 프레임워크 폴더 또는 프로젝트에서 해결되지 않은 모든 조직 정책 위반이 표시됩니다.
리소스 위반 탭에는 조직의 모든 Assured Workloads 프레임워크 폴더 또는 프로젝트에 있는 리소스와 관련된 모든 해결되지 않은 위반 사항이 표시됩니다.
두 탭 중 하나에서 빠른 필터 옵션을 사용하여 위반 상태, 위반 유형, 할당, 영향을 받는 프레임워크, 조직 정책 컨트롤 또는 특정 리소스 유형을 기준으로 필터링합니다.
두 탭 모두 기존 위반 사항이 있으면 위반 ID를 클릭하여 자세한 정보를 확인할 수 있습니다.
위반 세부정보 페이지에서 다음 태스크를 수행할 수 있습니다.
위반 ID를 복사합니다.
위반이 발생한 Assured Workloads 프레임워크의 리소스와 위반이 처음 발생한 시간을 확인합니다.
다음을 포함하는 감사 로그를 확인합니다.
위반이 발생한 시간
위반의 원인인 수정된 정책과 수정한 사용자
예외가 부여된 경우 이를 부여한 사용자
해당되는 경우 위반이 발생한 특정 리소스를 확인합니다.
영향을 받는 조직 정책을 확인합니다.
규정 준수 위반 예외를 조회하고 추가합니다. 리소스의 이전 예외가 나열됩니다. 이러한 예외에는 예외를 허용한 사용자, 사용자가 제공한 근거, 허용된 시간이 포함됩니다.
해결 단계에 따라 예외를 해결합니다.
조직 정책 위반의 경우 다음을 확인할 수도 있습니다.
- 영향을 받는 조직 정책: 규정 준수 위반과 관련된 정책을 보려면 정책 보기를 클릭합니다.
- 하위 리소스 위반: 리소스 기반 조직 정책 위반으로 인해 하위 리소스 위반이 발생할 수 있습니다. 하위 리소스 위반을 보거나 해결하려면 위반 ID를 클릭합니다.
리소스 위반의 경우 다음을 확인할 수도 있습니다.
- 상위 조직 정책 위반: 상위 조직 정책 위반이 하위 리소스 위반의 원인인 경우 하위 수준에서 먼저 해결해야 합니다. 하위 리소스 위반이 해결되면 상위 조직 정책 위반을 해결합니다. 위반 세부정보를 보려면 위반 보기를 클릭합니다.
- 리소스 위반을 일으키는 특정 리소스에 대한 다른 위반도 표시됩니다.
위반 해결
위반을 해결하려면 다음 단계를 수행합니다.
Google Cloud 콘솔에서 Monitoring 페이지로 이동합니다.
메시지가 표시되면 조직을 선택합니다.
Assured Workloads 위반 탭을 클릭합니다. 조직 정책 위반 및 리소스 위반이라는 두 개의 탭이 표시됩니다. 해결되지 않은 위반이 두 개 이상 있으면 탭에 아이콘이 활성 상태로 표시됩니다. 위반사항을 보려는 탭을 클릭합니다.
자세한 내용을 보려면 위반 ID를 클릭합니다.
해결 섹션에서 안내에 따라 문제를 해결합니다.
위반 예외 추가
경우에 따라 위반 사항이 특정 상황에서 유효할 수 있습니다. 다음 단계를 완료하여 위반에 대한 하나 이상의 예외를 추가할 수 있습니다.
Google Cloud 콘솔에서 Monitoring 페이지로 이동합니다.
메시지가 표시되면 조직을 선택합니다.
Assured Workloads 위반 탭을 클릭합니다. 조직 정책 위반 및 리소스 위반이라는 두 개의 탭이 표시됩니다. 해결되지 않은 위반이 두 개 이상 있으면 탭에 아이콘이 활성 상태로 표시됩니다.
기본적으로 조직 정책 위반 탭이 선택되어 있습니다. 이 탭에는 조직의 Assured Workloads 프레임워크 폴더 또는 프로젝트에서 해결되지 않은 모든 조직 정책 위반이 표시됩니다.
리소스 위반 탭에는 조직의 모든 Assured Workloads 프레임워크 폴더 또는 프로젝트에 있는 리소스와 관련된 모든 해결되지 않은 위반 사항이 표시됩니다.
위반사항을 보려는 탭을 클릭합니다.
위반 ID 열에서 예외를 추가할 위반을 클릭합니다.
예외 섹션에서 새로 추가를 클릭합니다.
예외에 대한 비즈니스 근거를 입력합니다. 모든 하위 리소스에 예외를 적용하려면 모든 기존 하위 리소스 위반에 적용 체크박스를 선택하고 제출을 클릭합니다.
예외를 더 추가하려면 이 단계를 반복합니다.
위반 상태가 예외로 설정됩니다.
다음 단계
- Assured Workloads에 사용할 수 있는 프레임워크 및 데이터 경계를 이해합니다.
- 각 데이터 경계에서 지원되는 제품을 알아봅니다.