Ressource für Auditing registrieren

Auf dieser Seite wird beschrieben, wie Sie eine Organisation, einen Ordner oder ein Projekt als Ressource für Audits in Audit Manager registrieren.

Bei der Registrierung werden die folgenden Aufgaben ausgeführt:

  • Es wird ein von Google verwalteter Dienst-Agent erstellt, der mit Audit Manager verknüpft ist und die angegebene Ressource in Ihrem Namen überwacht. Die E-Mail-Adresse des Dienst-Agents hat das folgende Format, wobei RESOURCE_ID die Organisations-ID, Ordner-ID oder Projekt-ID ist.

    RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.com

    Wenn Sie die Rollen dieses Dienst-Agents widerrufen, kann es sein, dass Audit Manager die Ressource nicht mehr prüft.

  • Die angegebenen Cloud Storage-Buckets werden als Zielort zum Speichern der Auditing-Daten konfiguriert.

Wenn Sie eine Ressource registrieren, werden auch ihre untergeordneten Ressourcen registriert. Wenn Sie beispielsweise eine Organisation registrieren, werden auch alle Projekte in dieser Organisation registriert. Wenn eine übergeordnete Ressource bereits registriert ist und Sie versuchen, eine ihrer untergeordneten Ressourcen zu registrieren, wird die untergeordnete Ressource unabhängig registriert.

Hinweise

  • Prüfen Sie, ob Sie die folgenden IAM-Rollen und ‑Berechtigungen haben:

  • Wenn Sie eine Organisation oder einen Ordner registrieren möchten, benötigen Sie die folgenden zusätzlichen Berechtigungen:

    • Organisation: resourcemanager.organizations.setIamPolicy
    • Ordner: resourcemanager.folders.setIamPolicy

  • Legen Sie Cloud Storage-Buckets fest oder erstellen Sie sie, in die die Auditing-Daten exportiert werden sollen.

    Informationen zum Erstellen von Cloud Storage-Buckets finden Sie unter Bucket erstellen.

Ressource für die Prüfung registrieren

Sie können eine Organisation, einen Ordner oder ein Projekt für Audits in Audit Manager registrieren.

Am einfachsten registrieren Sie eine Ressource über die Google Cloud Console. Alternativ können Sie die Audit Manager API oder die Google Cloud CLI verwenden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Audit Manager auf.

    Audit Manager aufrufen

  2. Klicken Sie auf Einstellungen.

    Je nachdem, welche Ressource Sie in der Projektauswahl ausgewählt haben, wird auf der Seite Einstellungen eine Liste mit Ordnern oder Projekten angezeigt.

  3. Wählen Sie auf der Seite Einstellungen die Ressource aus, die Sie für Audit Manager registrieren möchten, und klicken Sie in der Spalte Status auf Registrieren.

  4. Wählen Sie im Dialogfeld Details zum Speicher-Bucket auswählen einen oder mehrere Cloud Storage-Buckets aus, in denen Sie Ihre Berichte und Nachweise speichern möchten, und klicken Sie auf Registrieren.

    Ihre Ressource ist jetzt für die Prüfung registriert.

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Ressourcentyp. Mögliche Werte sind organization, folder und project.
  • RESOURCE_ID: Die Ressourcen-ID der Organisation, des Ordners oder des Projekts. Beispiel: 8767234
  • BUCKET_URI: Der URI des Cloud Storage-Bucket. Beispiel: gs://testbucketauditmanager

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud audit-manager enrollments add \
    --RESOURCE_TYPE=RESOURCE_ID \
    --eligible-gcs-buckets=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager enrollments add `
    --RESOURCE_TYPE=RESOURCE_ID `
    --eligible-gcs-buckets=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager enrollments add ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --eligible-gcs-buckets=BUCKET_URI

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Ressourcentyp. Mögliche Werte sind organizations, folders und projects.
  • RESOURCE_ID: Die Ressourcen-ID der Organisation, des Ordners oder des Projekts. Beispiel: 8767234
  • BUCKET_URI: Der URI des Cloud Storage-Bucket. Beispiel: gs://testbucketauditmanager

HTTP-Methode und URL: 

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource

JSON-Text der Anfrage:

{
  "destinations": [
    {
      "eligibleGcsBucket": "BUCKET_URI"
    }
  ]
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource" | Select-Object -Expand Content

Sie sollten einen erfolgreichen Statuscode (2xx) und eine leere Antwort als Ausgabe erhalten.

Wenn Sie den Speicherort für Prüfdaten nach der Registrierung ändern möchten, müssen Sie die Registrierung Ihrer Ressource aktualisieren und die neuen Speicherorte angeben. Die vorherige Registrierung und die Speicherorte werden durch die neue Anfrage überschrieben.

Nächste Schritte