Ressource für Auditing registrieren

Auf dieser Seite wird beschrieben, wie Sie eine Organisation, einen Ordner oder ein Projekt als Ressource für Audits in Audit Manager registrieren.

Bei der Registrierung werden die folgenden Aufgaben ausgeführt:

  • Es wird ein von Google verwalteter Dienst-Agent erstellt, der mit Audit Manager verknüpft ist und die angegebene Ressource in Ihrem Namen überwacht. Die E-Mail-Adresse des Dienst-Agents hat eines der folgenden Formate:

    • Für die Aktivierung auf Organisationsebene:

      service-org-ORGANIZATION_ID@gcp-sa-audit-manager.iam.gserviceaccount.com
      
    • Für die Aktivierung auf Ordnerebene:

      service-folder-FOLDER_ID@gcp-sa-audit-manager.iam.gserviceaccount.com
      
    • Für die Aktivierung auf Projektebene:

      service-PROJECT_NUMBER@gcp-sa-audit-manager.iam.gserviceaccount.com
      
  • Die angegebenen Cloud Storage-Buckets werden als Ziel für die Speicherung der Audit-Daten konfiguriert.

Wenn Sie eine Ressource registrieren, werden auch ihre untergeordneten Ressourcen registriert. Wenn Sie beispielsweise eine Organisation registrieren, werden auch alle Projekte in dieser Organisation registriert. Wenn eine übergeordnete Ressource bereits registriert ist und Sie versuchen, eine ihrer untergeordneten Ressourcen zu registrieren, wird die untergeordnete Ressource unabhängig registriert.

Sie können Ressourcen registrieren und Cloud Storage-Buckets für Audits einrichten . Verwenden Sie dazu Audit Manager oder Compliance Manager. Die von Ihnen registrierten Ressourcen und Buckets können sowohl von Audit Manager als auch von Compliance Manager für Audits verwendet werden.

Hinweis

  • Prüfen Sie, ob Sie die folgenden IAM-Rollen und ‑Berechtigungen haben:

  • Zum Registrieren einer Organisation oder eines Ordners benötigen Sie die folgenden zusätzlichen Berechtigungen:

    • Organisation: resourcemanager.organizations.setIamPolicy
    • Ordner: resourcemanager.folders.setIamPolicy
  • Erstellen oder ermitteln Sie Cloud Storage-Buckets, in die die Audit-Daten exportiert werden sollen.

    Informationen zum Erstellen von Cloud Storage-Buckets finden Sie unter Bucket erstellen.

Ressource für Audits registrieren

Sie können eine Organisation, einen Ordner oder ein Projekt für Audits in Audit Manager oder Compliance Manager registrieren.

Am einfachsten registrieren Sie eine Ressource über die Google Cloud Console. Alternativ können Sie die Audit Manager API, die Google Cloud CLI, oder die Compliance Manager Consoleverwenden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Audit Manager auf.

    Zu Audit Manager

  2. Klicken Sie auf die Einstellungen.

    Je nach der in der Projektauswahl ausgewählten Ressource wird auf der Seite Einstellungen eine Liste von Ordnern oder Projekten angezeigt.

  3. Wählen Sie auf der Seite Einstellungen die Ressource aus, die Sie für Audit Manager registrieren möchten, und klicken Sie in der Spalte Status auf Registrieren.

  4. Wählen Sie im Dialogfeld Details zum Speicher-Bucket auswählen einen oder mehrere Cloud Storage-Buckets aus, in denen Sie Ihre Berichte und Nachweise speichern möchten, und klicken Sie auf Registrieren.

    Ihre Ressource ist jetzt für Audits registriert.

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Typ der Ressource. Mögliche Werte sind organization, folder, und project.
  • RESOURCE_ID: Die Ressourcen-ID der Organisation, des Ordners oder des Projekts. Beispiel: 8767234.
  • BUCKET_URI: Die URI des Cloud Storage-Bucket. Beispiel: gs://testbucketauditmanager.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud audit-manager enrollments add \
    --RESOURCE_TYPE=RESOURCE_ID \
    --eligible-gcs-buckets=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager enrollments add `
    --RESOURCE_TYPE=RESOURCE_ID `
    --eligible-gcs-buckets=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager enrollments add ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --eligible-gcs-buckets=BUCKET_URI

REST

Ersetzen Sie folgende Werte in den Anfragedaten:

  • RESOURCE_TYPE: Der Typ der Ressource. Mögliche Werte sind organizations, folders und projects.
  • RESOURCE_ID: Die Ressourcen-ID der Organisation, des Ordners oder des Projekts. Beispiel: 8767234.
  • BUCKET_URI: Die URI des Cloud Storage-Bucket. Beispiel: gs://testbucketauditmanager.

HTTP-Methode und URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource

JSON-Text der Anfrage:

{
  "destinations": [
    {
      "eligibleGcsBucket": "BUCKET_URI"
    }
  ]
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource" | Select-Object -Expand Content

Sie sollten einen erfolgreichen Statuscode (2xx) und eine leere Antwort als Ausgabe erhalten.

Wenn Sie den Speicherort für Audit-Daten nach der Registrierung ändern möchten, müssen Sie die Registrierung Ihrer Ressource aktualisieren und die neuen Speicherorte angeben. Die vorherige Registrierung und die vorherigen Speicherorte werden durch die neue Anfrage überschrieben.

Nächste Schritte