註冊資源以利稽核

本頁說明如何在稽核管理員中,將機構、資料夾或專案註冊為稽核資源。

註冊程序會完成下列工作:

  • 系統會建立與稽核管理員相關聯的 Google 代管服務代理,代表您監控指定資源。服務代理程式的電子郵件地址格式如下,其中 RESOURCE_ID 是機構 ID、資料夾 ID 或專案 ID。

    RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.com

    撤銷這項服務代理的角色,可能會導致稽核管理員停止稽核資源。

  • 指定的 Cloud Storage 值區會設為稽核資料的儲存目的地。

註冊資源時,系統也會註冊其子項資源。舉例來說,如果您註冊機構,該機構內的所有專案也會一併註冊。如果父項資源已註冊,而您嘗試註冊其中一個子項資源,則子項資源會獨立註冊。

事前準備

  • 確認您具備下列 IAM 角色和權限:

  • 如要註冊機構或資料夾,您必須具備下列額外權限:

    • 機構:resourcemanager.organizations.setIamPolicy
    • 資料夾:resourcemanager.folders.setIamPolicy

  • 找出或建立要匯出稽核資料的 Cloud Storage bucket。

    如要瞭解如何建立 Cloud Storage bucket,請參閱「建立 bucket」。

註冊資源以利稽核

您可以在稽核管理員中註冊機構、資料夾或專案,以進行稽核。

如要註冊資源,最簡單的方式是透過 Google Cloud 控制台。您也可以使用 Audit Manager API 或 Google Cloud CLI。

控制台

  1. 前往 Google Cloud 控制台的「Audit Manager」頁面。

    前往稽核管理工具

  2. 按一下「設定」

    「設定」頁面會根據您在專案選取器中選取的資源,顯示資料夾或專案清單。

  3. 在「設定」頁面中,選取要註冊 Audit Manager 的資源,然後按一下「狀態」欄中的「註冊」

  4. 在「選取儲存空間值區詳細資料」對話方塊中,選取一或多個要儲存報表和證據的 Cloud Storage 值區,然後按一下「註冊」

    資源已註冊稽核。

gcloud

使用下列任何指令資料之前,請先替換以下項目:

  • RESOURCE_TYPE:資源類型。可能的值為 organizationfolderproject
  • RESOURCE_ID:機構、資料夾或專案的資源 ID。例如:8767234
  • BUCKET_URI:Cloud Storage bucket 的 URI。例如:gs://testbucketauditmanager

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud audit-manager enrollments add \
    --RESOURCE_TYPE=RESOURCE_ID \
    --eligible-gcs-buckets=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager enrollments add `
    --RESOURCE_TYPE=RESOURCE_ID `
    --eligible-gcs-buckets=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager enrollments add ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --eligible-gcs-buckets=BUCKET_URI

REST

使用任何要求資料之前,請先修改下列項目的值:

  • RESOURCE_TYPE:資源類型。可能的值為 organizationsfoldersprojects
  • RESOURCE_ID:機構、資料夾或專案的資源 ID。例如:8767234
  • BUCKET_URI:Cloud Storage bucket 的 URI。例如:gs://testbucketauditmanager

HTTP 方法和網址:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource

JSON 要求內文:

{
  "destinations": [
    {
      "eligibleGcsBucket": "BUCKET_URI"
    }
  ]
}

如要傳送要求,請選擇以下其中一個選項:

curl

將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource"

PowerShell

將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource" | Select-Object -Expand Content

您應該會收到執行成功的狀態碼 (2xx) 和空白回應。

如要在註冊後變更稽核資料的儲存位置,請更新資源註冊,並指定新的儲存位置。新的要求會覆寫先前的註冊和儲存位置。

後續步驟