Auf dieser Seite wird beschrieben, wie Sie eine Organisation, einen Ordner oder ein Projekt als Ressource für Audits in Audit Manager registrieren.
Bei der Registrierung werden die folgenden Aufgaben ausgeführt:
Es wird ein von Google verwalteter Dienst-Agent erstellt, der mit Audit Manager verknüpft ist und die angegebene Ressource in Ihrem Namen überwacht. Die E-Mail-Adresse des Dienst-Agents hat eines der folgenden Formate:
Für die Aktivierung auf Organisationsebene:
service-org-ORGANIZATION_ID@gcp-sa-audit-manager.iam.gserviceaccount.comFür die Aktivierung auf Ordnerebene:
service-folder-FOLDER_ID@gcp-sa-audit-manager.iam.gserviceaccount.comFür die Aktivierung auf Projektebene:
service-PROJECT_NUMBER@gcp-sa-audit-manager.iam.gserviceaccount.com
Die angegebenen Cloud Storage-Buckets werden als Ziel für die Speicherung der Audit-Daten konfiguriert.
Wenn Sie eine Ressource registrieren, werden auch ihre untergeordneten Ressourcen registriert. Wenn Sie beispielsweise eine Organisation registrieren, werden auch alle Projekte in dieser Organisation registriert. Wenn eine übergeordnete Ressource bereits registriert ist und Sie versuchen, eine ihrer untergeordneten Ressourcen zu registrieren, wird die untergeordnete Ressource unabhängig registriert.
Sie können Ressourcen registrieren und Cloud Storage-Buckets für Audits einrichten . Verwenden Sie dazu Audit Manager oder Compliance Manager. Die von Ihnen registrierten Ressourcen und Buckets können sowohl von Audit Manager als auch von Compliance Manager für Audits verwendet werden.
Hinweis
Prüfen Sie, ob Sie die folgenden IAM-Rollen und ‑Berechtigungen haben:
- Audit Manager-Administrator (
roles/auditmanager.admin) - Storage-Administrator (
roles/storage.admin) oder Inhaber alter Storage-Buckets (roles/storage.legacyBucketOwner)
- Audit Manager-Administrator (
Zum Registrieren einer Organisation oder eines Ordners benötigen Sie die folgenden zusätzlichen Berechtigungen:
- Organisation:
resourcemanager.organizations.setIamPolicy - Ordner:
resourcemanager.folders.setIamPolicy
- Organisation:
Erstellen oder ermitteln Sie Cloud Storage-Buckets, in die die Audit-Daten exportiert werden sollen.
Informationen zum Erstellen von Cloud Storage-Buckets finden Sie unter Bucket erstellen.
Ressource für Audits registrieren
Sie können eine Organisation, einen Ordner oder ein Projekt für Audits in Audit Manager oder Compliance Manager registrieren.
Am einfachsten registrieren Sie eine Ressource über die Google Cloud Console. Alternativ können Sie die Audit Manager API, die Google Cloud CLI, oder die Compliance Manager Consoleverwenden.
Console
Rufen Sie in der Google Cloud Console die Seite Audit Manager auf.
Klicken Sie auf die Einstellungen.
Je nach der in der Projektauswahl ausgewählten Ressource wird auf der Seite Einstellungen eine Liste von Ordnern oder Projekten angezeigt.
Wählen Sie auf der Seite Einstellungen die Ressource aus, die Sie für Audit Manager registrieren möchten, und klicken Sie in der Spalte Status auf Registrieren.
Wählen Sie im Dialogfeld Details zum Speicher-Bucket auswählen einen oder mehrere Cloud Storage-Buckets aus, in denen Sie Ihre Berichte und Nachweise speichern möchten, und klicken Sie auf Registrieren.
Ihre Ressource ist jetzt für Audits registriert.
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
RESOURCE_TYPE: Der Typ der Ressource. Mögliche Werte sindorganization,folder, undproject. -
RESOURCE_ID: Die Ressourcen-ID der Organisation, des Ordners oder des Projekts. Beispiel:8767234. -
BUCKET_URI: Die URI des Cloud Storage-Bucket. Beispiel:gs://testbucketauditmanager.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud audit-manager enrollments add \ --RESOURCE_TYPE=RESOURCE_ID \ --eligible-gcs-buckets=BUCKET_URI
Windows (PowerShell)
gcloud audit-manager enrollments add ` --RESOURCE_TYPE=RESOURCE_ID ` --eligible-gcs-buckets=BUCKET_URI
Windows (cmd.exe)
gcloud audit-manager enrollments add ^ --RESOURCE_TYPE=RESOURCE_ID ^ --eligible-gcs-buckets=BUCKET_URI
REST
Ersetzen Sie folgende Werte in den Anfragedaten:
-
RESOURCE_TYPE: Der Typ der Ressource. Mögliche Werte sindorganizations,foldersundprojects. -
RESOURCE_ID: Die Ressourcen-ID der Organisation, des Ordners oder des Projekts. Beispiel:8767234. -
BUCKET_URI: Die URI des Cloud Storage-Bucket. Beispiel:gs://testbucketauditmanager.
HTTP-Methode und URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource
JSON-Text der Anfrage:
{
"destinations": [
{
"eligibleGcsBucket": "BUCKET_URI"
}
]
}
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource"
PowerShell
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource" | Select-Object -Expand Content
Sie sollten einen erfolgreichen Statuscode (2xx) und eine leere Antwort als Ausgabe erhalten.
Wenn Sie den Speicherort für Audit-Daten nach der Registrierung ändern möchten, müssen Sie die Registrierung Ihrer Ressource aktualisieren und die neuen Speicherorte angeben. Die vorherige Registrierung und die vorherigen Speicherorte werden durch die neue Anfrage überschrieben.