Questa pagina descrive come registrare un'organizzazione, una cartella o un progetto come risorsa per l'audit in Audit Manager.
La registrazione esegue le seguenti attività:
Viene creato un agente di servizio gestito da Google associato ad Audit Manager, che monitora la risorsa specificata per tuo conto. L'indirizzo email dell'agente di servizio utilizza il seguente formato, dove RESOURCE_ID è l'ID organizzazione, l'ID cartella o l'ID progetto.
RESOURCE_ID@gcp-sa-audit-manager.iam.gserviceaccount.comLa revoca dei ruoli di questo service agent può causare l'interruzione dell'audit della risorsa da parte di Audit Manager.
I bucket Cloud Storage specificati sono configurati come destinazione per archiviare i dati di controllo.
Quando registri una risorsa, vengono registrate anche le relative risorse figlio. Ad esempio, se registri un'organizzazione, vengono registrati anche tutti i progetti al suo interno. Se una risorsa principale è già registrata e tenti di registrare una delle sue risorse secondarie, quest'ultima viene registrata in modo indipendente.
Prima di iniziare
Assicurati di disporre dei seguenti ruoli e autorizzazioni IAM:
- Amministratore Audit Manager (
roles/auditmanager.admin). - Amministratore Storage(
roles/storage.admin) o Proprietario bucket legacy Storage (roles/storage.legacyBucketOwner)
- Amministratore Audit Manager (
Per registrare un'organizzazione o una cartella, devi disporre delle seguenti autorizzazioni aggiuntive:
- Organizzazione:
resourcemanager.organizations.setIamPolicy - Cartella:
resourcemanager.folders.setIamPolicy
- Organizzazione:
Identifica o crea bucket Cloud Storage in cui esportare i dati di audit.
Per scoprire come creare bucket Cloud Storage, consulta Crea un bucket.
Registrare una risorsa per il controllo
Puoi registrare un'organizzazione, una cartella o un progetto per l'audit in Audit Manager.
Il modo più semplice per registrare una risorsa è tramite la console Google Cloud . In alternativa, puoi utilizzare l'API Audit Manager o Google Cloud CLI.
Console
Nella console Google Cloud , vai alla pagina Audit Manager.
Fai clic su Impostazioni.
A seconda della risorsa selezionata nel selettore di progetti, nella pagina Impostazioni viene visualizzato un elenco di cartelle o progetti.
Nella pagina Impostazioni, seleziona la risorsa che vuoi registrare per Audit Manager, fai clic su Registra nella colonna Stato.
Nella finestra di dialogo Seleziona i dettagli del bucket di archiviazione, seleziona uno o più bucket Cloud Storage in cui vuoi salvare i report e le prove e fai clic su Registra.
La risorsa è ora registrata per il controllo.
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
RESOURCE_TYPE: Il tipo di risorsa. I valori possibili sonoorganization,foldereproject. -
RESOURCE_ID: l'ID risorsa dell'organizzazione, della cartella o del progetto. Ad esempio:8767234. -
BUCKET_URI: l'URI del bucket Cloud Storage. Ad esempio:gs://testbucketauditmanager.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud audit-manager enrollments add \ --RESOURCE_TYPE=RESOURCE_ID \ --eligible-gcs-buckets=BUCKET_URI
Windows (PowerShell)
gcloud audit-manager enrollments add ` --RESOURCE_TYPE=RESOURCE_ID ` --eligible-gcs-buckets=BUCKET_URI
Windows (cmd.exe)
gcloud audit-manager enrollments add ^ --RESOURCE_TYPE=RESOURCE_ID ^ --eligible-gcs-buckets=BUCKET_URI
REST
Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:
-
RESOURCE_TYPE: Il tipo di risorsa. I valori possibili sonoorganizations,folderseprojects. -
RESOURCE_ID: l'ID risorsa dell'organizzazione, della cartella o del progetto. Ad esempio:8767234. -
BUCKET_URI: l'URI del bucket Cloud Storage. Ad esempio:gs://testbucketauditmanager.
Metodo HTTP e URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource
Corpo JSON della richiesta:
{
"destinations": [
{
"eligibleGcsBucket": "BUCKET_URI"
}
]
}
Per inviare la richiesta, scegli una di queste opzioni:
curl
Salva il corpo della richiesta in un file denominato request.json,
quindi esegui il comando seguente:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource"
PowerShell
Salva il corpo della richiesta in un file denominato request.json,
quindi esegui il comando seguente:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource" | Select-Object -Expand Content
Dovresti ricevere un codice di stato riuscito (2xx) e una risposta vuota.
Se vuoi modificare la posizione di archiviazione dei dati di controllo dopo la registrazione, devi aggiornare la registrazione della risorsa e specificare le nuove posizioni di archiviazione. Le posizioni di registrazione e archiviazione precedenti vengono sovrascritte dalla nuova richiesta.