監控 Assured Workloads 架構

Assured Workloads 會比較已部署資料邊界的需求與指派的資料夾或專案,主動監控架構部署作業是否違反法規。如果資料夾或專案偏離一或多個資料邊界的雲端控管機制規定,就會發生違規情形。違規類型包括:

  • 位置:如果指派資料夾或專案中的子項資源部署到不符規定的位置,就會發生違規情形。如果修改特定架構的「限制資源位置」雲端控制項預設值,就會發生這項違規情形,因為該控制項會對應至gcp.resourceLocations組織政策限制。
  • 服務使用情況:如果指派的資料夾或專案啟用不符規定的服務端點 (例如 compute.googleapis.com),就會發生違規情形。如果您修改特定架構的「限制服務用量」雲端控制項預設值,而該值對應至gcp.restrictServiceUsage組織政策限制,就會發生這項違規情形。
  • 加密:部分資料邊界需要將客戶自行管理的加密金鑰設為一組特定的服務端點。如要強制執行這項規定,請套用「為支援的服務強制執行 CMEK」雲端控制項。如果您新增不符規定的服務,或是從這個雲端控制項中移除現有或必要服務,就會發生違規情形。這項違規事項已對應至 gcp.restrictNonCmekServices 機構政策限制。
  • 存取權:部分資料邊界需要存取權核准資料存取透明化控管機制,協助您授權 Google 人員存取「客戶資料」的要求,並判斷存取這類資料的時間和原因。修改這些雲端控制項時 (例如變更「啟用資料存取透明化控管機制」雲端控制項的預設值),可能會導致違規。
  • 設定:將雲端控制項值變更為不符合規範的值,可能會導致違規。

發生違規情形時,您可以解決問題,或視情況建立例外狀況。違規事項可能呈現以下三種狀態:

  • 未解決:違規問題尚未解決,或先前已獲准例外,但資料夾或資源後來進行了不符合規範的變更。
  • 已解決:您已按照步驟修正問題,因此違規事項已解決。
  • 例外狀況:違規事項已獲得例外狀況,且已提供正當的業務理由。

將 Assured Workloads 架構套用至資源時,系統會自動啟用監控功能。

查看貴機構的違規情形

如要查看特定法規遵循違規事項和詳細資料,請完成下列步驟:

  1. 前往 Google Cloud 控制台的「Monitoring」頁面。

    前往「Monitoring」頁面

  2. 如果系統提示,請選取您的機構。

  3. 按一下「Assured Workloads 違規事項」分頁標籤。系統會顯示兩個分頁:組織政策違規事項資源違規事項。如果有多項違規問題尚未解決,分頁上會顯示圖示。

    系統預設會選取「組織政策違規事項」分頁標籤。這個分頁會顯示機構中,Assured Workloads 架構資料夾或專案的所有未解決機構政策違規事項。

    「資源違規事項」分頁會顯示與機構中所有 Assured Workloads 架構資料夾或專案相關聯,但尚未解決的所有違規事項。

  4. 無論是哪個分頁,您都可以使用「快速篩選器」選項,依違規狀態、違規類型、指派項目、受影響的架構、機構政策控制項或特定資源類型進行篩選。

  5. 在任一分頁中,如果已有違規事項,請按一下違規 ID 查看更詳細的資訊。

在「違規詳細資料」頁面中,您可以執行下列工作:

  • 複製違規事項 ID。

  • 查看發生違規的 Assured Workloads 架構資源,以及首次發生違規的時間。

  • 查看稽核記錄,其中包含下列資訊:

    • 違規行為發生時間。

    • 是哪項政策遭到修改而導致違規,以及是哪位使用者進行了修改。

    • 如果已授予例外狀況,請指出授予者。

    • 如適用,請查看發生違規行為的特定資源。

  • 查看受影響的機構政策。

  • 查看及新增法規遵循違規事項例外狀況。系統會列出資源先前的例外狀況。這些例外狀況包括授予例外狀況的使用者、使用者提供的正當理由,以及授予例外狀況的時間。

  • 請按照修復步驟解決例外狀況。

如果違反機構政策,您也可以查看下列資訊:

  • 受影響的機構政策:如要查看與法規遵循違規事項相關聯的政策,請按一下「查看政策」
  • 子項資源違規事項:如果資源違反機構政策,可能會導致子項資源違規。如要查看或解決子資源違規事項,請按一下「違規事項 ID」

如果是資源違規,您還會看到下列資訊:

  • 違反上層機構政策:如果子項資源違規是因為違反上層機構政策,請先在子項層級解決問題。解決子項資源違規問題後,請解決上層組織政策違規問題。如要查看違規詳情,請按一下「查看違規」
  • 您也可以查看導致資源違規的特定資源是否有其他違規事項。

解決違規問題

如要修正違規問題,請完成下列步驟:

  1. 前往 Google Cloud 控制台的「Monitoring」頁面。

    前往「Monitoring」頁面

  2. 如果系統提示,請選取您的機構。

  3. 按一下「Assured Workloads 違規事項」分頁標籤。系統會顯示兩個分頁:「組織政策違規事項」和「資源違規事項」。如果有多項違規問題尚未解決,分頁上會顯示圖示。按一下要查看違規事項的分頁。

  4. 按一下「違規事項 ID」即可查看詳細資訊。

  5. 在「補救措施」部分中,按照指示解決問題。

新增違規事項例外狀況

有時,違規行為可能在特定情況下有效。如要為違規事項新增一或多項例外狀況,請完成下列步驟。

  1. 前往 Google Cloud 控制台的「Monitoring」頁面。

    前往「Monitoring」頁面

  2. 如果系統提示,請選取您的機構。

  3. 按一下「Assured Workloads 違規事項」分頁標籤。系統會顯示兩個分頁:組織政策違規事項資源違規事項。如果有多項違規問題尚未解決,分頁上會顯示圖示。

    系統預設會選取「組織政策違規事項」分頁標籤。這個分頁會顯示機構中,Assured Workloads 架構資料夾或專案的所有未解決機構政策違規事項。

    「資源違規事項」分頁會顯示與機構中所有 Assured Workloads 架構資料夾或專案相關聯,但尚未解決的所有違規事項。

    按一下要查看違規事項的分頁。

  4. 在「違規事項 ID」欄中,按一下要新增例外狀況的違規事項。

  5. 在「例外狀況」部分中,按一下「新增」

  6. 輸入例外狀況的業務理由。如要將例外狀況套用至所有子項資源,請勾選「套用至所有現有的子項資源違規事項」核取方塊,然後按一下「提交」

  7. 如要新增更多例外狀況,請重複上述步驟。

違規狀態現在會設為「例外狀況」

後續步驟