Jadwalkan dan lakukan audit untuk mengumpulkan bukti yang Anda perlukan untuk menilai Google Cloud organisasi Anda berdasarkan framework yang didukung.
Audit adalah operasi yang berjalan lama dan mungkin memerlukan waktu beberapa jam. Durasi bergantung pada jumlah resource dalam cakupan audit, yaitu organisasi (Pratinjau), project, atau folder yang sebelumnya Anda daftarkan.
Anda dapat menjadwalkan audit (Pratinjau) agar berjalan pada interval reguler dan menentukan jangka waktu untuk audit terjadwal. Anda hanya dapat membuat jadwal untuk framework dan resource tertentu jika jadwal aktif atau dijeda belum ada untuk kombinasi framework dan resource tersebut.
Sebelum memulai
Pastikan Anda memiliki salah satu peran IAM berikut:
- Admin Audit Manager (
roles/auditmanager.admin) - Auditor Audit Manager (
roles/auditmanager.auditor) - Pelihat Compliance Manager
(
roles/cloudsecuritycompliance.viewer) (diperlukan jika Anda mengaudit framework yang telah dibuat menggunakan Compliance Manager)
- Admin Audit Manager (
Pastikan organisasi, project, atau folder Anda telah didaftarkan untuk audit.
Menjalankan audit
Konsol
Di konsol Google Cloud , buka halaman Run assessment di Audit Manager.
Di bagian Pilih resource dan region, lakukan hal berikut:
Pilih organisasi (Pratinjau), folder, atau project yang perlu diaudit.
Pilih framework yang ingin Anda gunakan untuk mengaudit resource. Untuk mengetahui informasi tentang framework yang didukung, lihat Framework yang didukung.
Pilih lokasi tempat penilaian audit harus diproses. Untuk daftar lokasi yang didukung, lihat Lokasi Audit Manager.
Klik Berikutnya.
Pilih framework yang ingin Anda gunakan untuk mengaudit resource, lalu klik Berikutnya. Untuk mengetahui informasi tentang framework yang didukung, lihat Framework yang didukung.
Opsional: Di bagian Lihat Rencana Penilaian, Anda dapat mendownload file ODS yang berisi informasi tentang cakupan audit berdasarkan framework yang Anda pilih. Untuk mendownload file, klik link, lalu klik Berikutnya.
Di bagian Pilih bucket penyimpanan, pilih bucket penyimpanan tempat laporan audit dan bukti harus disimpan, lalu klik Selesai. Jika bucket Anda tidak tercantum, minta administrator Anda untuk mendaftarkan resource Anda dengan bucket penyimpanan Anda.
(Pratinjau) Opsional: Di bagian Jadwal, tetapkan salah satu opsi berikut:
Seberapa sering audit diulang (harian, bulanan, per kuartal, atau tahunan).
Jangka waktu yang akan disertakan dalam audit. Jika Anda memilih Tidak pernah berakhir, audit akan terus berjalan dari tanggal mulai yang Anda tentukan, hingga Anda menghentikannya secara manual.
Untuk memulai audit, klik Run Audit atau Run Scheduled Audit.
Anda dapat melihat status audit di halaman Lihat penilaian.
gcloud
Opsional: Membuat penilaian audit
Sebelum menjalankan audit yang sebenarnya, Anda dapat membuat penilaian audit (atau cakupan) yang mencakup perincian tugas mendetail untuk audit berdasarkan framework kepatuhan yang Anda pilih.
Perintah gcloud audit-manager audit-scopes generate
menghasilkan cakupan audit.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
- RESOURCE_TYPE: jenis resource, yang dapat berupa organisasi (Pratinjau), folder, atau project. Misalnya:
foldersatauprojects. - RESOURCE_ID: ID resource organisasi (Pratinjau), project, atau folder. Misalnya:
8767234 - LOCATION: lokasi endpoint Audit Manager API. Untuk mengetahui daftar
endpoint yang tersedia, lihat Lokasi Audit Manager. Misalnya:
us-central1 - FRAMEWORK: ID framework yang akan diaudit. Contoh:
builtin-cis-v8. Untuk menemukan ID framework, lihat halaman Lihat penilaian di Audit Manager. - AUDIT_REPORT_FORMAT: format laporan audit output.
Hanya format ODF yang didukung:
AUDIT_REPORT_FORMAT_ODF. - OUTPUT_DIRECTORY: direktori tempat output harus disimpan. Contoh:
reports. - OUTPUT_FILENAME: nama file output. Jangan sertakan ekstensi file dalam nama file. Misalnya:
scopeReport.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud audit-manager audit-scopes generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --output-directory=OUTPUT_DIRECTORY \ --output-file-name=OUTPUT_FILENAME
Windows (PowerShell)
gcloud audit-manager audit-scopes generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --output-directory=OUTPUT_DIRECTORY ` --output-file-name=OUTPUT_FILENAME
Windows (cmd.exe)
gcloud audit-manager audit-scopes generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --output-directory=OUTPUT_DIRECTORY ^ --output-file-name=OUTPUT_FILENAME
Menjalankan audit sesuai permintaan
Anda tidak dapat menjadwalkan audit (Pratinjau) atau menjalankan laporan tingkat organisasi (Pratinjau) menggunakan gcloud CLI.
Perintah
gcloud audit-manager audit-reports generate
menjalankan audit.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
- RESOURCE_TYPE: jenis resource, yang dapat berupa organisasi (Pratinjau), folder, atau project. Misalnya:
foldersatauprojects. - RESOURCE_ID: ID resource organisasi (Pratinjau), project, atau folder. Misalnya:
8767234 - LOCATION: lokasi endpoint Audit Manager API. Untuk mengetahui daftar
endpoint yang tersedia, lihat Lokasi Audit Manager. Misalnya:
us-central1 - FRAMEWORK: ID framework yang akan diaudit. Contoh:
builtin-cis-v8. Untuk menemukan ID framework, lihat halaman Lihat penilaian di Audit Manager. - BUCKET_URI: URI bucket Cloud Storage. Contoh:
gs://testbucketauditmanager - AUDIT_REPORT_FORMAT: format laporan audit output.
Hanya format ODF yang didukung:
AUDIT_REPORT_FORMAT_ODF.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud audit-manager audit-reports generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --gcs-uri=BUCKET_URI
Windows (PowerShell)
gcloud audit-manager audit-reports generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --gcs-uri=BUCKET_URI
Windows (cmd.exe)
gcloud audit-manager audit-reports generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --gcs-uri=BUCKET_URI
Anda akan melihat respons seperti berikut:
done: false name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24
REST
Opsional: Membuat penilaian audit
Sebelum menjalankan audit yang sebenarnya, Anda dapat membuat penilaian audit (atau cakupan) yang mencakup perincian tugas mendetail untuk audit berdasarkan framework kepatuhan yang Anda pilih.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
- RESOURCE_TYPE: jenis resource, yang dapat berupa organisasi (Pratinjau), folder, atau project. Misalnya:
foldersatauprojects. - RESOURCE_ID: ID resource organisasi (Pratinjau), project, atau folder. Misalnya:
8767234 - LOCATION: lokasi endpoint Audit Manager API. Untuk mengetahui daftar
endpoint yang tersedia, lihat Lokasi Audit Manager. Misalnya:
us-central1 - FRAMEWORK: ID framework yang akan diaudit. Contoh:
builtin-cis-v8. Untuk menemukan ID framework, lihat halaman Lihat penilaian di Audit Manager. - AUDIT_REPORT_FORMAT: format laporan audit output.
Hanya format ODF yang didukung:
AUDIT_REPORT_FORMAT_ODF.
Metode HTTP dan URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate
Meminta isi JSON:
{
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:
curl
Simpan isi permintaan dalam file bernama request.json,
dan jalankan perintah berikut:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"
PowerShell
Simpan isi permintaan dalam file bernama request.json,
dan jalankan perintah berikut:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content
Anda akan melihat respons JSON seperti berikut:
{
"scope_report_contents" : "980u43nrf090834uhbkfehf......"
"name" : "folders/8767234/locations/us-west"
}
Responsnya berisi informasi berikut:
name: ID string unik dari resource yang berlaku.
Kolom scope_reports_contents adalah format byte dari konten,
yang harus dikonversi ke format ODF sebelum ditinjau.
Menjalankan audit sesuai permintaan
Anda tidak dapat menjadwalkan audit (Pratinjau) menggunakan REST API.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
- RESOURCE_TYPE: jenis resource, yang dapat berupa organisasi (Pratinjau), folder, atau project. Misalnya:
foldersatauprojects. - RESOURCE_ID: ID resource organisasi (Pratinjau), project, atau folder. Misalnya:
8767234 - LOCATION: lokasi endpoint Audit Manager API. Untuk mengetahui daftar
endpoint yang tersedia, lihat Lokasi Audit Manager. Misalnya:
us-central1 - FRAMEWORK: ID framework yang akan diaudit. Contoh:
builtin-cis-v8. Untuk menemukan ID framework, lihat halaman Lihat penilaian di Audit Manager. - BUCKET_URI: URI bucket Cloud Storage. Contoh:
gs://testbucketauditmanager - AUDIT_REPORT_FORMAT: format laporan audit output.
Hanya format ODF yang didukung:
AUDIT_REPORT_FORMAT_ODF.
Metode HTTP dan URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate
Meminta isi JSON:
{
"destination" : {
"gcs_uri" : "BUCKET_URI"
},
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:
curl
Simpan isi permintaan dalam file bernama request.json,
dan jalankan perintah berikut:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"
PowerShell
Simpan isi permintaan dalam file bernama request.json,
dan jalankan perintah berikut:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content
Anda akan melihat respons JSON seperti berikut:
{
"name": "organizations/834/projects/10398413/locations/987234/operations/098234",
"done": false
}
Responsnya berisi informasi berikut:
name: ID string unik dari permintaan operasi penilaian audit. ID ini digunakan untuk melacak progres proses penilaian audit. Contoh:operation/098234.done: Flag boolean yang disetel kefalseyang menunjukkan bahwa proses telah dipicu. Nilai ini ditetapkan ketruesaat penilaian audit selesai.
Memperbarui audit terjadwal
Anda dapat menjeda, melanjutkan, dan menghentikan audit berulang. Jika ingin mengubah jadwal, Anda harus menghapus audit terjadwal yang ada, lalu membuat audit terjadwal baru.
Konsol
Di konsol Google Cloud , buka halaman Pengelolaan audit di Audit Manager.
Di tab Jadwal, temukan audit terjadwal yang ingin Anda perbarui.
Lakukan salah satu hal berikut:
Untuk menjeda jadwal audit, klik Jeda jadwal.
Untuk memulai ulang audit yang Anda jeda, klik Lanjutkan jadwal.
Untuk menghapus audit terjadwal, klik Hentikan jadwal.