注册资源以进行审核

本页面介绍了如何在 Audit Manager 中将组织、文件夹或项目注册为审核资源。

注册可完成以下任务：

系统会创建与 Audit Manager 关联的 Google 代管式服务代理，该代理会代表您监控指定资源。服务代理的电子邮件地址采用以下格式，其中 RESOURCE_ID 是组织 ID、文件夹 ID 或项目 ID。
```
RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.com
```
撤消此服务代理的角色可能会导致 Audit Manager 停止审核相应资源。
指定的 Cloud Storage 存储分区配置为用于存储审核数据的目标位置。

注册资源时，其子资源也会一并注册。例如，如果您注册某个组织，该组织内的所有项目也会注册。如果父资源已加入，而您尝试让其某个子资源加入，则该子资源会单独加入。

准备工作

确保您拥有以下 IAM 角色和权限：
- Audit Manager Admin (roles/auditmanager.admin)。
- Storage Admin(roles/storage.admin) 或 Storage Legacy Bucket Owner (roles/storage.legacyBucketOwner)
如需注册组织或文件夹，您必须拥有以下额外权限：
- 组织：resourcemanager.organizations.setIamPolicy
- 文件夹：resourcemanager.folders.setIamPolicy
确定或创建需要导出审核数据的 Cloud Storage 存储分区。

如需了解如何创建 Cloud Storage 存储桶，请参阅创建存储桶。

注册资源以进行审核

您可以在审核管理器中注册组织、文件夹或项目以进行审核。

注册资源的最简单方法是通过 Google Cloud 控制台。或者，您也可以使用 Audit Manager API 或 Google Cloud CLI。

控制台

在 Google Cloud 控制台中，前往审核管理器页面。

前往“审核管理器”
点击设置。

根据您在项目选择器中选择的资源，设置页面上会显示文件夹或项目列表。
在设置页面上，选择要注册到审核管理器的资源，然后在状态列中点击注册。
在选择存储桶详情对话框中，选择要保存报告和证据的一个或多个 Cloud Storage 存储桶，然后点击注册。

您的资源现已注册以供审核。

gcloud

在使用下面的命令数据之前，请先进行以下替换：

RESOURCE_TYPE：资源类型。可能的值包括 organization、folder 和 project。
RESOURCE_ID：组织、文件夹或项目的资源 ID。例如：8767234。
BUCKET_URI：Cloud Storage 存储桶的 URI。例如：gs://testbucketauditmanager。

执行以下命令：

Linux、macOS 或 Cloud Shell

gcloud audit-manager enrollments add \
    --RESOURCE_TYPE=RESOURCE_ID \
    --eligible-gcs-buckets=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager enrollments add `
    --RESOURCE_TYPE=RESOURCE_ID `
    --eligible-gcs-buckets=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager enrollments add ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --eligible-gcs-buckets=BUCKET_URI

REST

在使用任何请求数据之前，请先进行以下替换：

RESOURCE_TYPE：资源类型。可能的值包括 organizations、folders 和 projects。
RESOURCE_ID：组织、文件夹或项目的资源 ID。例如：8767234。
BUCKET_URI：Cloud Storage 存储桶的 URI。例如：gs://testbucketauditmanager。

HTTP 方法和网址：

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource

请求 JSON 正文：

{
  "destinations": [
    {
      "eligibleGcsBucket": "BUCKET_URI"
    }
  ]
}

如需发送请求，请选择以下方式之一：

curl

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI，或者使用了 Cloud Shell，这会使您自动登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource"

PowerShell

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

将请求正文保存在名为 request.json 的文件中，然后执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource" | Select-Object -Expand Content

您应该会收到一个成功的状态代码 (2xx) 和一个空响应。

如果您想在注册后更改审核数据的存储位置，需要更新资源的注册信息并指定新的存储位置。之前的注册和存储位置会被新请求覆盖。

后续步骤

创建自定义合规性框架。
运行审核。

注册资源以进行审核 使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

准备工作

注册资源以进行审核

控制台

gcloud

Linux、macOS 或 Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl

PowerShell

后续步骤

注册资源以进行审核