监控 Assured Workloads 框架

Assured Workloads 会将已部署数据边界的要求与分配给该数据边界的文件夹或项目进行比较,从而主动监控框架部署是否存在违规情况。当文件夹或项目偏离一个或多个数据边界的云控制要求时,就会发生违规情况。违规类型包括:

  • 位置:当已分配的文件夹或项目中的子资源部署到不合规的位置时,就会发生违规行为。如果修改给定框架的限制资源位置云控制的默认值,则可能会发生此违规情况,该云控制映射到 gcp.resourceLocations 组织政策限制条件。
  • 服务使用情况:如果在分配的文件夹或项目上启用了不合规的服务端点(例如 compute.googleapis.com),则会发生违规行为。如果您修改了给定框架的限制服务使用云控制的默认值(该值映射到 gcp.restrictServiceUsage 组织政策限制条件),则可能会发生此违规情况。
  • 加密:某些数据边界要求将客户管理的加密密钥设置为特定的服务端点集。为了强制执行此要求,系统会应用为受支持的服务强制执行 CMEK 云控制措施。如果您在此云控制中添加不合规的服务或移除现有服务/必需服务,则会发生违规情况。此违规行为与 gcp.restrictNonCmekServices 组织政策限制条件相关联。
  • 访问:部分数据边界要求启用访问权限审批Access Transparency,这两项功能可帮助您授权 Google 人员访问客户数据的请求,并确定此类数据的访问时间和原因。当您修改这些云控制措施时(例如,通过更改启用 Access Transparency 云控制措施的默认值),可能会导致违规情况发生。
  • 配置:将云控制值更改为不合规的值可能会导致违规。

发生违规行为时,您可以解决该违规行为,或在适当的情况下为其创建例外。违规可为以下三种状态之一:

  • 未解决:违规问题尚未解决,或者之前在文件夹或资源上进行不合规的更改之前,曾获得过例外情况。
  • 已解决:违规已通过遵循解决问题的步骤得以解决。
  • 例外:违规已获得例外授权,并且提供了正当的业务理由。

将 Assured Workloads 框架应用于资源时,系统会自动启用监控。

查看组织中的违规

如需查看特定的合规性违规及其详细信息,请完成以下步骤:

  1. 在 Google Cloud 控制台中,前往 Monitoring 页面。

    转至 Monitoring

  2. 如果出现提示,请选择您的组织。

  3. 点击Assured Workloads 违规行为标签页。系统会显示两个标签页:组织政策违规问题资源违规问题。如果存在多项未解决的违规问题,相应标签页上的 图标会处于启用状态。

    系统会默认选中组织政策违规问题标签页。此标签页会显示组织中所有 Assured Workloads 框架文件夹或项目中的所有未解决的组织政策违规问题。

    资源违规标签页会显示与组织中所有 Assured Workloads 框架文件夹或项目中的资源相关联的所有未解决的违规问题。

  4. 对于任一标签页,您都可以使用快速过滤条件选项按违规状态、违规类型、分配、受影响的框架、组织政策控制或特定资源类型进行过滤。

  5. 对于任一标签页,如果存在违规行为,请点击违规 ID 以查看更多详细信息。

违规详细信息页面上,您可以执行以下任务:

  • 复制违规 ID。

  • 查看发生违规的 Assured Workloads 框架资源以及首次发生违规的时间。

  • 查看审核日志,其中包括以下内容:

    • 违规的发生时间。

    • 修改哪个政策导致违规,以及哪个用户进行了该修改。

    • 如果授予了例外,是由哪个用户授予的。

    • 如果适用,请查看违规的具体资源。

  • 查看受影响的组织政策。

  • 查看和添加合规性违规例外。系统会列出相应资源之前的例外情况。这些例外情况包括授予例外权限的用户、用户提供的正当理由以及授予权限的时间。

  • 安装补救步骤解决例外。

对于组织政策违规行为,您还可以看到以下信息:

  • 受影响的组织政策:如需查看与违规行为相关的政策,请点击查看政策
  • 子级资源违规问题:基于资源的组织政策违规问题可能会导致子级资源违规问题。如需查看或解决子级资源违规问题,请点击违规 ID

对于资源违规,您还可以看到以下信息:

  • 父级组织政策违规:如果子级资源违规是由父级组织政策违规引起的,则需要先在子级解决这些违规问题。解决子资源违规问题后,再解决父级组织政策违规问题。如需查看违规详情,请点击查看违规
  • 您还可以看到导致资源违规的具体资源存在的任何其他违规问题。

解决违规

如需补救违规,请完成以下步骤:

  1. 在 Google Cloud 控制台中,前往 Monitoring 页面。

    转至 Monitoring

  2. 如果出现提示,请选择您的组织。

  3. 点击Assured Workloads 违规行为标签页。系统会显示两个标签页:组织政策违规问题资源违规问题。如果存在多项未解决的违规问题,相应标签页上的 图标会处于启用状态。点击要查看违规情况的标签页。

  4. 点击违规 ID 可查看更多详细信息。

  5. 补救部分中,按照说明解决问题。

添加违规例外

有时,违规可能在特定情况下有效。您可以完成以下步骤,为违规行为添加一个或多个例外情况。

  1. 在 Google Cloud 控制台中,前往 Monitoring 页面。

    转至 Monitoring

  2. 如果出现提示,请选择您的组织。

  3. 点击Assured Workloads 违规行为标签页。系统会显示两个标签页:组织政策违规问题资源违规问题。如果存在多项未解决的违规问题,相应标签页上的 图标会处于启用状态。

    系统会默认选中组织政策违规问题标签页。此标签页会显示组织中所有 Assured Workloads 框架文件夹或项目中的所有未解决的组织政策违规问题。

    资源违规标签页会显示与组织中所有 Assured Workloads 框架文件夹或项目中的资源相关联的所有未解决的违规问题。

    点击要查看违规情况的标签页。

  4. 违规 ID 列中,点击要添加例外的违规。

  5. 例外部分中,点击新增

  6. 输入例外情况的业务理由。如果您希望将例外情况应用于所有子级资源,请选中应用于所有现有的子级资源违规问题复选框,然后点击提交

  7. 如需添加更多例外情况,请重复执行上述步骤。

违规状态现在设置为例外

后续步骤