Daftarkan referensi untuk audit

Halaman ini menjelaskan cara mendaftarkan organisasi, folder, atau project sebagai resource untuk audit di Audit Manager.

Pendaftaran menyelesaikan tugas berikut:

Agen layanan yang dikelola Google yang terkait dengan Audit Manager akan dibuat, yang memantau resource yang ditentukan atas nama Anda. Alamat email agen layanan menggunakan format berikut, dengan RESOURCE_ID adalah ID organisasi, ID folder, atau ID project.
```
RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.com
```
Mencabut peran agen layanan ini dapat menyebabkan Audit Manager berhenti mengaudit resource.
Bucket Cloud Storage yang ditentukan dikonfigurasi sebagai tujuan untuk menyimpan data audit.

Saat Anda mendaftarkan resource, resource turunannya juga akan didaftarkan. Misalnya, jika Anda mendaftarkan organisasi, semua project dalam organisasi tersebut juga akan didaftarkan. Jika resource induk sudah terdaftar dan Anda mencoba mendaftarkan salah satu resource turunannya, resource turunan tersebut akan didaftarkan secara terpisah.

Sebelum memulai

Pastikan Anda memiliki peran dan izin IAM berikut:
- Audit Manager Admin (roles/auditmanager.admin).
- Storage Admin(roles/storage.admin) atau Storage Legacy Bucket Owner (roles/storage.legacyBucketOwner)
Untuk mendaftarkan organisasi atau folder, Anda harus memiliki izin tambahan berikut:
- Organisasi: resourcemanager.organizations.setIamPolicy
- Folder: resourcemanager.folders.setIamPolicy
Identifikasi atau buat bucket Cloud Storage tempat data audit perlu diekspor.

Untuk mempelajari cara membuat bucket Cloud Storage, lihat Membuat bucket.

Mendaftarkan resource untuk audit

Anda dapat mendaftarkan organisasi, folder, atau project untuk diaudit di Audit Manager.

Cara paling sederhana untuk mendaftarkan resource adalah melalui konsol Google Cloud . Atau, Anda dapat menggunakan Audit Manager API atau Google Cloud CLI.

Konsol

Di konsol Google Cloud , buka halaman Audit Manager.

Buka Audit Manager
Klik Setelan.

Bergantung pada resource yang telah Anda pilih di pemilih project, daftar folder atau project akan ditampilkan di halaman Settings.
Di halaman Setelan, pilih resource yang ingin Anda daftarkan ke Audit Manager, klik Daftarkan di kolom Status.
Dalam dialog Select storage bucket details, pilih satu atau beberapa bucket Cloud Storage tempat Anda ingin menyimpan laporan dan bukti, lalu klik Daftar.

Resource Anda kini terdaftar untuk diaudit.

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource. Nilai yang mungkin adalah organization, folder, dan project.
RESOURCE_ID: ID resource organisasi, folder, atau project. Contoh: 8767234.
BUCKET_URI: URI bucket Cloud Storage. Contoh: gs://testbucketauditmanager.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud audit-manager enrollments add \
    --RESOURCE_TYPE=RESOURCE_ID \
    --eligible-gcs-buckets=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager enrollments add `
    --RESOURCE_TYPE=RESOURCE_ID `
    --eligible-gcs-buckets=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager enrollments add ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --eligible-gcs-buckets=BUCKET_URI

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

RESOURCE_TYPE: Jenis resource. Nilai yang mungkin adalah organizations, folders, dan projects.
RESOURCE_ID: ID resource organisasi, folder, atau project. Contoh: 8767234.
BUCKET_URI: URI bucket Cloud Storage. Contoh: gs://testbucketauditmanager.

Metode HTTP dan URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource

Meminta isi JSON:

{
  "destinations": [
    {
      "eligibleGcsBucket": "BUCKET_URI"
    }
  ]
}

Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

curl

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login, atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI. Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource"

PowerShell

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login. Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource" | Select-Object -Expand Content

Anda akan menerima kode status berhasil (2xx) dan respons kosong.

Jika ingin mengubah lokasi penyimpanan untuk data audit setelah pendaftaran, Anda harus memperbarui pendaftaran resource dan menentukan lokasi penyimpanan baru. Lokasi penyimpanan dan pendaftaran sebelumnya akan digantikan oleh permintaan baru.

Daftarkan referensi untuk audit Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Sebelum memulai

Mendaftarkan resource untuk audit

Konsol

gcloud

Linux, macOS, atau Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl

PowerShell

Langkah berikutnya

Daftarkan referensi untuk audit