Complianceprüfung in Google Cloud ausführen

Führen Sie ein Audit durch, um die Nachweise zu sammeln, die Sie benötigen, um IhreGoogle Cloud -Organisation anhand von Compliance-Frameworks zu bewerten.

Eine Prüfung ist ein Vorgang mit langer Ausführungszeit, der einige Stunden dauern kann. Die Dauer hängt von der Anzahl der Ressourcen im Prüfbereich ab. Das ist das Projekt oder der Ordner, für das bzw. den Sie sich zuvor registriert haben.

Hinweise

  • Prüfen Sie, ob Sie eine der folgenden IAM-Rollen haben:

    • Audit Manager-Administrator (roles/auditmanager.admin)
    • Audit Manager Auditor (roles/auditmanager.auditor)

  • Wenn Sie eine Prüfung für ein benutzerdefiniertes Compliance-Framework (Vorabversion) ausführen möchten, benötigen Sie die IAM-Rolle „Audit Manager Custom Compliance Framework Viewer“ (roles/auditmanager.ccfViewer).

  • Prüfen Sie, ob Ihr Projekt oder Ordner für die Prüfung registriert wurde.

Audit ausführen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Run assessment (Bewertung ausführen) in Audit Manager auf.

    Audit Manager aufrufen

  2. Führen Sie im Abschnitt Ressource und Verordnung auswählen die folgenden Schritte aus:

    1. Wählen Sie das Projekt oder den Ordner aus, das bzw. der geprüft werden muss.

    2. Wählen Sie das Compliance-Framework aus, anhand dessen Sie Ihre Ressource prüfen möchten. Sie können entweder ein integriertes oder ein benutzerdefiniertes Compliance-Framework (Vorabversion) aus der Liste Verfügbare Frameworks auswählen. Weitere Informationen finden Sie unter Unterstützte Compliance-Frameworks.

    3. Wählen Sie den Standort aus, an dem die Audit-Bewertung verarbeitet werden muss. Eine Liste der unterstützten Standorte finden Sie unter Audit Manager-Standorte.

    4. Klicken Sie auf Weiter.

  3. Optional: Im Abschnitt Bewertungsplan ansehen können Sie eine ODS-Datei herunterladen, die Informationen zum Prüfbereich basierend auf dem ausgewählten Compliance-Framework enthält. Klicken Sie zum Herunterladen der Datei auf den Link und dann auf Weiter.

  4. Wählen Sie im Abschnitt Speicher-Bucket auswählen einen Speicher-Bucket aus, in dem der Prüfbericht und die Nachweise gespeichert werden sollen, und klicken Sie auf Fertig. Wenn Ihr Bucket nicht aufgeführt ist, bitten Sie Ihren Administrator, Ihre Ressource mit Ihrem Speicher-Bucket zu registrieren.

  5. Klicken Sie auf Prüfung ausführen, um die Prüfung zu starten.

    Sie können den Prüfstatus auf der Seite Prüfungen ansehen einsehen.

gcloud

Optional: Audit-Bewertung erstellen

Bevor Sie eine tatsächliche Prüfung durchführen, können Sie eine Prüfungsbewertung (oder einen Prüfungsbereich) erstellen, die eine detaillierte Aufschlüsselung der Aufgaben für die Prüfung basierend auf dem von Ihnen ausgewählten Compliance-Framework enthält.

Mit dem Befehl gcloud audit-manager audit-scopes generate wird ein Prüfbereich generiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Ressourcentyp, entweder ein Projekt oder ein Ordner. Beispiel: folder
  • RESOURCE_ID: die Ressourcen-ID des Projekts oder Ordners. Beispiel: 8767234
  • LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel: us-central1.
  • COMPLIANCE_TYPE: Das Compliance-Framework, anhand dessen geprüft werden soll.
    • Geben Sie für ein integriertes Compliance-Framework den Namen des Frameworks an, das geprüft werden soll. Beispiel: CIS_CONTROLS_V8.
    • Geben Sie für ein benutzerdefiniertes Compliance-Framework (Vorabversion) den Namen des Frameworks im folgenden Format an: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • Ersetzen Sie Folgendes:
      • ORG_ID: die Organisations-ID
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: die ID des benutzerdefinierten Compliance-Frameworks
  • AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts. Es wird nur das ODF-Format unterstützt: odf.
  • OUTPUT_DIRECTORY: Das Verzeichnis, in dem die Ausgabe gespeichert werden muss. Beispiel: reports
  • OUTPUT_FILENAME: Der Name der Ausgabedatei. Geben Sie die Dateiendung nicht im Dateinamen an. Beispiel:scopeReport.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud audit-manager audit-scopes generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=COMPLIANCE_TYPE \
    --report-format=AUDIT_REPORT_FORMAT \
    --output-directory=OUTPUT_DIRECTORY \
    --output-file-name=OUTPUT_FILENAME

Windows (PowerShell)

gcloud audit-manager audit-scopes generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=COMPLIANCE_TYPE `
    --report-format=AUDIT_REPORT_FORMAT `
    --output-directory=OUTPUT_DIRECTORY `
    --output-file-name=OUTPUT_FILENAME

Windows (cmd.exe)

gcloud audit-manager audit-scopes generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=COMPLIANCE_TYPE ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --output-directory=OUTPUT_DIRECTORY ^
    --output-file-name=OUTPUT_FILENAME

Audit ausführen

Mit dem Befehl gcloud audit-manager audit-reports generate wird eine Prüfung ausgeführt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Ressourcentyp, entweder ein Projekt oder ein Ordner. Beispiel: folder
  • RESOURCE_ID: die Ressourcen-ID des Projekts oder Ordners. Beispiel: 8767234
  • LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel: us-central1.
  • COMPLIANCE_TYPE: Das Compliance-Framework, anhand dessen geprüft werden soll.
    • Geben Sie für ein integriertes Compliance-Framework den Namen des Frameworks an, das geprüft werden soll. Beispiel: CIS_CONTROLS_V8.
    • Geben Sie für ein benutzerdefiniertes Compliance-Framework (Vorabversion) den Namen des Frameworks im folgenden Format an: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • Ersetzen Sie Folgendes:
      • ORG_ID: die Organisations-ID
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: die ID des benutzerdefinierten Compliance-Frameworks
  • BUCKET_URI: Der URI des Cloud Storage-Bucket. Beispiel: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts. Es wird nur das ODF-Format unterstützt: odf.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud audit-manager audit-reports generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=COMPLIANCE_TYPE \
    --report-format=AUDIT_REPORT_FORMAT \
    --gcs-uri=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager audit-reports generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=COMPLIANCE_TYPE `
    --report-format=AUDIT_REPORT_FORMAT `
    --gcs-uri=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager audit-reports generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=COMPLIANCE_TYPE ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --gcs-uri=BUCKET_URI

Sie sollten eine Antwort ähnlich der folgenden erhalten:

done: false
name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24

REST

Optional: Audit-Bewertung erstellen

Bevor Sie eine tatsächliche Prüfung durchführen, können Sie eine Prüfungsbewertung (oder einen Prüfungsbereich) erstellen, die eine detaillierte Aufschlüsselung der Aufgaben für die Prüfung basierend auf dem von Ihnen ausgewählten Compliance-Framework enthält.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Ressourcentyp, entweder ein Projekt oder ein Ordner. Beispiel: folder
  • RESOURCE_ID: die Ressourcen-ID des Projekts oder Ordners. Beispiel: 8767234
  • LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel: us-central1.
  • COMPLIANCE_TYPE: Das Compliance-Framework, anhand dessen geprüft werden soll.
    • Geben Sie für ein integriertes Compliance-Framework den Namen des Frameworks an, das geprüft werden soll. Beispiel: CIS_CONTROLS_V8.
    • Geben Sie für ein benutzerdefiniertes Compliance-Framework (Vorabversion) den Namen des Frameworks im folgenden Format an: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • Ersetzen Sie Folgendes:
      • ORG_ID: die Organisations-ID
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: die ID des benutzerdefinierten Compliance-Frameworks
  • AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts. Es wird nur das ODF-Format unterstützt: odf.
  • OUTPUT_DIRECTORY: Das Verzeichnis, in dem die Ausgabe gespeichert werden muss. Beispiel: reports
  • OUTPUT_FILENAME: Der Name der Ausgabedatei. Geben Sie die Dateiendung nicht im Dateinamen an. Beispiel:scopeReport.

HTTP-Methode und URL: 

POST https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate

JSON-Text der Anfrage:


{
  "compliance_framework" : "COMPLIANCE_TYPE"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{

  "scope_report_contents" : "980u43nrf090834uhbkfehf......"
  "name" : "folders/8767234/locations/us-west"
}

Audit ausführen

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Ressourcentyp, entweder ein Projekt oder ein Ordner. Beispiel: folder
  • RESOURCE_ID: die Ressourcen-ID des Projekts oder Ordners. Beispiel: 8767234
  • LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel: us-central1.
  • COMPLIANCE_TYPE: Das Compliance-Framework, anhand dessen geprüft werden soll.
    • Geben Sie für ein integriertes Compliance-Framework den Namen des Frameworks an, das geprüft werden soll. Beispiel: CIS_CONTROLS_V8.
    • Geben Sie für ein benutzerdefiniertes Compliance-Framework (Vorabversion) den Namen des Frameworks im folgenden Format an: 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • Ersetzen Sie Folgendes:
      • ORG_ID: die Organisations-ID
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: die ID des benutzerdefinierten Compliance-Frameworks
  • BUCKET_URI: Der URI des Cloud Storage-Bucket. Beispiel: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts. Es wird nur das ODF-Format unterstützt: odf.

HTTP-Methode und URL: 

POST https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION//auditReport:generate

JSON-Text der Anfrage:


{
  "destination" : {
    "gcs_uri" : "BUCKET_URI"
  },
  "compliance_framework" : "COMPLIANCE_TYPE"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION//auditReport:generate"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION//auditReport:generate" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "organizations/834/projects/10398413/locations/987234/operations/098234",
  "done": false
}

Die Antwort enthält die folgenden Informationen:

  • name: Eine eindeutige String-ID für die Anfrage des Audit-Bewertungsvorgangs. Diese Kennung wird verwendet, um den Fortschritt des Audit-Bewertungsprozesses zu verfolgen. Beispiel: operation/098234
  • done: Ein boolesches Flag, das auf false gesetzt ist und angibt, dass der Prozess ausgelöst wurde. Dieser Wert wird auf true gesetzt, wenn die Prüfung abgeschlossen ist.

Das Feld scope_reports_contents enthält den Inhalt im Byte-Format, der vor der Überprüfung in das ODF-Format konvertiert werden muss.

Nächste Schritte