Auf dieser Seite wird beschrieben, wie Sie eine Organisation, einen Ordner oder ein Projekt als Ressource für Audits in Audit Manager registrieren.
Bei der Registrierung werden die folgenden Aufgaben ausgeführt:
Ein von Google verwalteter Dienst-Agent, der mit Audit Manager verknüpft ist, wird erstellt und überwacht die angegebene Ressource in Ihrem Namen. Die E-Mail-Adresse des Dienst-Agents hat eines der folgenden Formate:
Aktivierung auf Organisationsebene:
service-org-ORGANIZATION_ID@gcp-sa-audit-manager.iam.gserviceaccount.comSo aktivieren Sie die Funktion auf Ordnerebene:
service-folder-FOLDER_ID@gcp-sa-audit-manager.iam.gserviceaccount.comSo aktivieren Sie die API auf Projektebene:
service-PROJECT_NUMBER@gcp-sa-audit-manager.iam.gserviceaccount.com
Die angegebenen Cloud Storage-Buckets werden als Zielort zum Speichern der Auditing-Daten konfiguriert.
Wenn Sie eine Ressource registrieren, werden auch ihre untergeordneten Ressourcen registriert. Wenn Sie beispielsweise eine Organisation registrieren, werden auch alle Projekte in dieser Organisation registriert. Wenn eine übergeordnete Ressource bereits registriert ist und Sie versuchen, eine ihrer untergeordneten Ressourcen zu registrieren, wird die untergeordnete Ressource unabhängig registriert.
Sie können Ressourcen registrieren und Cloud Storage-Buckets für Audits mit Audit Manager oder Compliance Manager einrichten. Die Ressourcen und Buckets, die Sie registrieren, können sowohl von Audit Manager als auch von Compliance Manager für Auditzwecke verwendet werden.
Hinweis
Prüfen Sie, ob Sie die folgenden IAM-Rollen und -Berechtigungen haben:
- Audit Manager-Administrator (
roles/auditmanager.admin). - Storage-Administrator (
roles/storage.admin) oder Inhaber von Legacy-Storage-Buckets (roles/storage.legacyBucketOwner)
- Audit Manager-Administrator (
Wenn Sie eine Organisation oder einen Ordner registrieren möchten, benötigen Sie die folgenden zusätzlichen Berechtigungen:
- Organisation:
resourcemanager.organizations.setIamPolicy - Ordner:
resourcemanager.folders.setIamPolicy
- Organisation:
Legen Sie Cloud Storage-Buckets fest oder erstellen Sie sie, in die die Auditing-Daten exportiert werden sollen.
Informationen zum Erstellen von Cloud Storage-Buckets finden Sie unter Bucket erstellen.
Ressource für die Prüfung registrieren
Sie können eine Organisation, einen Ordner oder ein Projekt für Audits in Audit Manager oder Compliance Manager registrieren.
Am einfachsten registrieren Sie eine Ressource über die Google Cloud Console. Alternativ können Sie die Audit Manager API, die Google Cloud CLI oder die Compliance Manager-Konsole verwenden.
Console
Rufen Sie in der Google Cloud Console die Seite Audit Manager auf.
Klicken Sie auf Einstellungen.
Abhängig von der Ressource, die Sie in der Projektauswahl ausgewählt haben, wird auf der Seite Einstellungen eine Liste mit Ordnern oder Projekten angezeigt.
Wählen Sie auf der Seite Einstellungen die Ressource aus, die Sie für Audit Manager registrieren möchten, und klicken Sie in der Spalte Status auf Registrieren.
Wählen Sie im Dialogfeld Details zum Speicher-Bucket auswählen einen oder mehrere Cloud Storage-Buckets aus, in denen Sie Ihre Berichte und Nachweise speichern möchten, und klicken Sie auf Registrieren.
Ihre Ressource ist jetzt für die Prüfung registriert.
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
RESOURCE_TYPE: Der Ressourcentyp. Mögliche Werte sindorganization,folderundproject. -
RESOURCE_ID: Die Ressourcen-ID der Organisation, des Ordners oder des Projekts. Beispiel:8767234 -
BUCKET_URI: Der URI des Cloud Storage-Bucket. Beispiel:gs://testbucketauditmanager
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud audit-manager enrollments add \ --RESOURCE_TYPE=RESOURCE_ID \ --eligible-gcs-buckets=BUCKET_URI
Windows (PowerShell)
gcloud audit-manager enrollments add ` --RESOURCE_TYPE=RESOURCE_ID ` --eligible-gcs-buckets=BUCKET_URI
Windows (cmd.exe)
gcloud audit-manager enrollments add ^ --RESOURCE_TYPE=RESOURCE_ID ^ --eligible-gcs-buckets=BUCKET_URI
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
RESOURCE_TYPE: Der Ressourcentyp. Mögliche Werte sindorganizations,foldersundprojects. -
RESOURCE_ID: Die Ressourcen-ID der Organisation, des Ordners oder des Projekts. Beispiel:8767234 -
BUCKET_URI: Der URI des Cloud Storage-Bucket. Beispiel:gs://testbucketauditmanager
HTTP-Methode und URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource
JSON-Text der Anfrage:
{
"destinations": [
{
"eligibleGcsBucket": "BUCKET_URI"
}
]
}
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource"
PowerShell
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global:enrollResource" | Select-Object -Expand Content
Sie sollten einen erfolgreichen Statuscode (2xx) und eine leere Antwort als Ausgabe erhalten.
Wenn Sie den Speicherort für Prüfdaten nach der Registrierung ändern möchten, müssen Sie die Registrierung Ihrer Ressource aktualisieren und die neuen Speicherorte angeben. Die vorherige Registrierung und die Speicherorte werden durch die neue Anfrage überschrieben.