이 페이지에서는 조직, 폴더 또는 프로젝트를 감사 관리자의 감사 리소스로 등록하는 방법을 설명합니다.
등록 시 다음 태스크가 수행됩니다.
감사 관리자와 연결된 Google 관리 서비스 에이전트가 생성되며 이 에이전트는 사용자를 대신하여 지정된 리소스를 모니터링합니다. 서비스 에이전트의 이메일 주소는 다음 형식을 사용합니다. 여기서 RESOURCE_ID는 조직 ID, 폴더 ID 또는 프로젝트 ID입니다.
RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.com이 서비스 에이전트의 역할을 취소하면 감사 관리자가 리소스 감사를 중지할 수 있습니다.
지정된 Cloud Storage 버킷이 감사 데이터를 저장할 대상으로 구성됩니다.
리소스를 등록하면 하위 리소스도 등록됩니다. 예를 들어 조직을 등록하면 해당 조직 내의 모든 프로젝트도 등록됩니다. 상위 리소스가 이미 등록되어 있고 하위 리소스 중 하나를 등록하려고 하면 하위 리소스가 독립적으로 등록됩니다.
시작하기 전에
다음 IAM 역할과 권한이 있는지 확인합니다.
- 감사 관리자 (
roles/auditmanager.admin) - 스토리지 관리자(
roles/storage.admin) 또는 스토리지 기존 버킷 소유자 (roles/storage.legacyBucketOwner)
- 감사 관리자 (
조직 또는 폴더를 등록하려면 다음 추가 권한이 있어야 합니다.
- 조직:
resourcemanager.organizations.setIamPolicy - 폴더:
resourcemanager.folders.setIamPolicy
- 조직:
감사 데이터를 내보내야 하는 Cloud Storage 버킷을 식별하거나 만듭니다.
Cloud Storage 버킷을 만드는 방법을 알아보려면 버킷 만들기를 참고하세요.
감사할 리소스 등록
감사 관리자에서 조직, 폴더 또는 프로젝트를 감사에 등록할 수 있습니다.
리소스를 등록하는 가장 간단한 방법은 Google Cloud 콘솔을 사용하는 것입니다. 또는 감사 관리자 API나 Google Cloud CLI를 사용할 수 있습니다.
콘솔
Google Cloud 콘솔에서 감사 관리자 페이지로 이동합니다.
설정을 클릭합니다.
프로젝트 선택기에서 선택한 리소스에 따라 설정 페이지에 폴더 또는 프로젝트 목록이 표시됩니다.
설정 페이지에서 감사 관리자에 등록할 리소스를 선택하고 상태 열에서 등록을 클릭합니다.
스토리지 버킷 세부정보 선택 대화상자에서 보고서와 증거를 저장할 Cloud Storage 버킷을 하나 이상 선택하고 등록을 클릭합니다.
이제 리소스가 감사용으로 등록되었습니다.
gcloud
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
-
RESOURCE_TYPE: 리소스 유형입니다. 가능한 값은organization,folder,project입니다. -
RESOURCE_ID: 조직, 폴더 또는 프로젝트의 리소스 ID입니다. 예를 들면8767234입니다. -
BUCKET_URI: Cloud Storage 버킷의 URI입니다. 예를 들면gs://testbucketauditmanager입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud audit-manager enrollments add \ --RESOURCE_TYPE=RESOURCE_ID \ --eligible-gcs-buckets=BUCKET_URI
Windows(PowerShell)
gcloud audit-manager enrollments add ` --RESOURCE_TYPE=RESOURCE_ID ` --eligible-gcs-buckets=BUCKET_URI
Windows(cmd.exe)
gcloud audit-manager enrollments add ^ --RESOURCE_TYPE=RESOURCE_ID ^ --eligible-gcs-buckets=BUCKET_URI
REST
요청 데이터를 사용하기 전에 다음을 바꿉니다.
-
RESOURCE_TYPE: 리소스 유형입니다. 가능한 값은organizations,folders,projects입니다. -
RESOURCE_ID: 조직, 폴더 또는 프로젝트의 리소스 ID입니다. 예를 들면8767234입니다. -
BUCKET_URI: Cloud Storage 버킷의 URI입니다. 예를 들면gs://testbucketauditmanager입니다.
HTTP 메서드 및 URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource
JSON 요청 본문:
{
"destinations": [
{
"eligibleGcsBucket": "BUCKET_URI"
}
]
}
요청을 보내려면 다음 옵션 중 하나를 선택합니다.
curl
요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource"
PowerShell
요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource" | Select-Object -Expand Content
성공 상태 코드(2xx)와 빈 응답을 받게 됩니다.
등록 후 감사 데이터의 스토리지 위치를 변경하려면 리소스의 등록을 업데이트하고 새 스토리지 위치를 지정해야 합니다. 이전 등록 및 스토리지 위치는 새 요청으로 덮어쓰여집니다.