Google Cloud에서 규정 준수 감사 실행

감사를 실행하여 규정 준수 프레임워크에 따라Google Cloud 조직을 평가하는 데 필요한 증거를 수집합니다.

감사는 몇 시간이 걸릴 수 있는 장기 실행 작업입니다. 소요 시간은 감사 범위 내 리소스 수, 즉 이전에 등록한 프로젝트 또는 폴더 수에 따라 달라집니다.

시작하기 전에

  • 다음 IAM 역할 중 하나가 있는지 확인합니다.

    • 감사 관리자 관리자 (roles/auditmanager.admin)
    • 감사 관리자 감사관 (roles/auditmanager.auditor)

  • 맞춤 규정 준수 프레임워크 (미리보기)에 대해 감사를 실행하려면 감사 관리자 맞춤 규정 준수 프레임워크 뷰어 (roles/auditmanager.ccfViewer) IAM 역할이 있어야 합니다.

  • 프로젝트 또는 폴더가 감사에 등록되어 있는지 확인합니다.

감사 실행

콘솔

  1. Google Cloud 콘솔의 감사 관리자에서 평가 실행 페이지로 이동합니다.

    감사 관리자로 이동

  2. 리소스 및 규정 선택 섹션에서 다음을 수행합니다.

    1. 감사해야 하는 프로젝트 또는 폴더를 선택합니다.

    2. 리소스에 대해 감사를 실행할 규정 준수 프레임워크를 선택합니다. 사용 가능한 프레임워크 목록에서 기본 제공 또는 맞춤 규정 준수 프레임워크 (미리보기)를 선택할 수 있습니다. 자세한 내용은 지원되는 규정 준수 프레임워크를 참고하세요.

    3. 감사 평가를 처리해야 하는 위치를 선택합니다. 지원되는 위치 목록은 감사 관리자 위치를 참고하세요.

    4. 다음을 클릭합니다.

  3. 선택사항: 평가 계획 보기 섹션에서 선택한 규정 준수 프레임워크에 따라 감사 범위에 대한 정보가 포함된 ODS 파일을 다운로드할 수 있습니다. 파일을 다운로드하려면 링크를 클릭하고 다음을 클릭합니다.

  4. 스토리지 버킷 선택 섹션에서 감사 보고서와 증거를 저장해야 하는 스토리지 버킷을 선택하고 완료를 클릭합니다. 버킷이 나열되지 않으면 관리자에게 스토리지 버킷으로 리소스를 등록해 달라고 요청하세요.

  5. 감사를 시작하려면 감사 실행을 클릭합니다.

    평가 보기 페이지에서 감사 상태를 확인할 수 있습니다.

gcloud

선택사항: 감사 평가 생성

실제 감사를 실행하기 전에 선택한 규정 준수 프레임워크를 기반으로 감사에 대한 자세한 태스크 분류가 포함된 감사 평가(또는 범위)를 생성할 수 있습니다.

gcloud audit-manager audit-scopes generate 명령어는 감사 범위를 생성합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 리소스 유형(프로젝트 또는 폴더). 예를 들면 folder입니다.
  • RESOURCE_ID: 프로젝트 또는 폴더의 리소스 ID입니다. 예를 들면 8767234입니다.
  • LOCATION: 감사 관리자 API 엔드포인트의 위치입니다. 사용 가능한 엔드포인트 목록은 감사 관리자 위치를 참고하세요. 예를 들면 us-central1입니다.
  • COMPLIANCE_TYPE: 감사의 기준이 되는 규정 준수 프레임워크입니다.
    • 기본 제공 규정 준수 프레임워크의 경우 감사할 프레임워크의 이름을 지정합니다. 예를 들면 CIS_CONTROLS_V8입니다.
    • 맞춤 규정 준수 프레임워크 (미리보기)의 경우 다음 형식으로 프레임워크 이름을 지정합니다. 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • 다음을 바꿉니다.
      • ORG_ID: 조직 ID
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: 맞춤 규정 준수 프레임워크의 ID
  • AUDIT_REPORT_FORMAT: 출력 감사 보고서의 형식입니다. ODF 형식만 지원됩니다(odf).
  • OUTPUT_DIRECTORY: 출력을 저장해야 하는 디렉터리입니다. 예를 들면 reports입니다.
  • OUTPUT_FILENAME: 출력 파일의 이름입니다. 파일 이름에 파일 확장자를 포함하지 마세요. 예를 들면 scopeReport입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud audit-manager audit-scopes generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=COMPLIANCE_TYPE \
    --report-format=AUDIT_REPORT_FORMAT \
    --output-directory=OUTPUT_DIRECTORY \
    --output-file-name=OUTPUT_FILENAME

Windows(PowerShell)

gcloud audit-manager audit-scopes generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=COMPLIANCE_TYPE `
    --report-format=AUDIT_REPORT_FORMAT `
    --output-directory=OUTPUT_DIRECTORY `
    --output-file-name=OUTPUT_FILENAME

Windows(cmd.exe)

gcloud audit-manager audit-scopes generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=COMPLIANCE_TYPE ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --output-directory=OUTPUT_DIRECTORY ^
    --output-file-name=OUTPUT_FILENAME

감사 실행

gcloud audit-manager audit-reports generate 명령어는 감사를 실행합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 리소스 유형(프로젝트 또는 폴더). 예를 들면 folder입니다.
  • RESOURCE_ID: 프로젝트 또는 폴더의 리소스 ID입니다. 예를 들면 8767234입니다.
  • LOCATION: 감사 관리자 API 엔드포인트의 위치입니다. 사용 가능한 엔드포인트 목록은 감사 관리자 위치를 참고하세요. 예를 들면 us-central1입니다.
  • COMPLIANCE_TYPE: 감사의 기준이 되는 규정 준수 프레임워크입니다.
    • 기본 제공 규정 준수 프레임워크의 경우 감사할 프레임워크의 이름을 지정합니다. 예를 들면 CIS_CONTROLS_V8입니다.
    • 맞춤 규정 준수 프레임워크 (미리보기)의 경우 다음 형식으로 프레임워크 이름을 지정합니다. 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • 다음을 바꿉니다.
      • ORG_ID: 조직 ID
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: 맞춤 규정 준수 프레임워크의 ID
  • BUCKET_URI: Cloud Storage 버킷의 URI입니다. 예를 들면 gs://testbucketauditmanager입니다.
  • AUDIT_REPORT_FORMAT: 출력 감사 보고서의 형식입니다. ODF 형식만 지원됩니다(odf).

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud audit-manager audit-reports generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=COMPLIANCE_TYPE \
    --report-format=AUDIT_REPORT_FORMAT \
    --gcs-uri=BUCKET_URI

Windows(PowerShell)

gcloud audit-manager audit-reports generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=COMPLIANCE_TYPE `
    --report-format=AUDIT_REPORT_FORMAT `
    --gcs-uri=BUCKET_URI

Windows(cmd.exe)

gcloud audit-manager audit-reports generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=COMPLIANCE_TYPE ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --gcs-uri=BUCKET_URI

다음과 비슷한 응답이 표시됩니다.

done: false
name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24

REST

선택사항: 감사 평가 생성

실제 감사를 실행하기 전에 선택한 규정 준수 프레임워크를 기반으로 감사에 대한 자세한 태스크 분류가 포함된 감사 평가(또는 범위)를 생성할 수 있습니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 리소스 유형(프로젝트 또는 폴더). 예를 들면 folder입니다.
  • RESOURCE_ID: 프로젝트 또는 폴더의 리소스 ID입니다. 예를 들면 8767234입니다.
  • LOCATION: 감사 관리자 API 엔드포인트의 위치입니다. 사용 가능한 엔드포인트 목록은 감사 관리자 위치를 참고하세요. 예를 들면 us-central1입니다.
  • COMPLIANCE_TYPE: 감사의 기준이 되는 규정 준수 프레임워크입니다.
    • 기본 제공 규정 준수 프레임워크의 경우 감사할 프레임워크의 이름을 지정합니다. 예를 들면 CIS_CONTROLS_V8입니다.
    • 맞춤 규정 준수 프레임워크 (미리보기)의 경우 다음 형식으로 프레임워크 이름을 지정합니다. 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • 다음을 바꿉니다.
      • ORG_ID: 조직 ID
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: 맞춤 규정 준수 프레임워크의 ID
  • AUDIT_REPORT_FORMAT: 출력 감사 보고서의 형식입니다. ODF 형식만 지원됩니다(odf).
  • OUTPUT_DIRECTORY: 출력을 저장해야 하는 디렉터리입니다. 예를 들면 reports입니다.
  • OUTPUT_FILENAME: 출력 파일의 이름입니다. 파일 이름에 파일 확장자를 포함하지 마세요. 예를 들면 scopeReport입니다.

HTTP 메서드 및 URL: 

POST https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate

JSON 요청 본문: 


{
  "compliance_framework" : "COMPLIANCE_TYPE"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

요청을 보내려면 다음 옵션 중 하나를 선택합니다.

curl

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다. 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"

PowerShell

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다. 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

{

  "scope_report_contents" : "980u43nrf090834uhbkfehf......"
  "name" : "folders/8767234/locations/us-west"
}

감사 실행

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 리소스 유형(프로젝트 또는 폴더). 예를 들면 folder입니다.
  • RESOURCE_ID: 프로젝트 또는 폴더의 리소스 ID입니다. 예를 들면 8767234입니다.
  • LOCATION: 감사 관리자 API 엔드포인트의 위치입니다. 사용 가능한 엔드포인트 목록은 감사 관리자 위치를 참고하세요. 예를 들면 us-central1입니다.
  • COMPLIANCE_TYPE: 감사의 기준이 되는 규정 준수 프레임워크입니다.
    • 기본 제공 규정 준수 프레임워크의 경우 감사할 프레임워크의 이름을 지정합니다. 예를 들면 CIS_CONTROLS_V8입니다.
    • 맞춤 규정 준수 프레임워크 (미리보기)의 경우 다음 형식으로 프레임워크 이름을 지정합니다. 
      organizations/ORG_ID/locations/global/customComplianceFrameworks/CUSTOM_COMPLIANCE_FRAMEWORK_ID
      • 다음을 바꿉니다.
      • ORG_ID: 조직 ID
      • CUSTOM_COMPLIANCE_FRAMEWORK_ID: 맞춤 규정 준수 프레임워크의 ID
  • BUCKET_URI: Cloud Storage 버킷의 URI입니다. 예를 들면 gs://testbucketauditmanager입니다.
  • AUDIT_REPORT_FORMAT: 출력 감사 보고서의 형식입니다. ODF 형식만 지원됩니다(odf).

HTTP 메서드 및 URL: 

POST https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION//auditReport:generate

JSON 요청 본문: 


{
  "destination" : {
    "gcs_uri" : "BUCKET_URI"
  },
  "compliance_framework" : "COMPLIANCE_TYPE"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

요청을 보내려면 다음 옵션 중 하나를 선택합니다.

curl

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다. 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION//auditReport:generate"

PowerShell

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다. 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://auditmanager.googleapis.com/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION//auditReport:generate" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "name": "organizations/834/projects/10398413/locations/987234/operations/098234",
  "done": false
}

대답에는 다음 정보가 포함됩니다.

  • name: 감사 평가 작업 요청의 고유한 문자열 식별자입니다. 이 식별자는 감사 평가 프로세스의 진행 상황을 추적하는 데 사용됩니다. 예를 들면 operation/098234입니다.
  • done: false로 설정되는 불리언 플래그로서 프로세스가 트리거되었음을 나타냅니다. 감사 평가가 완료되면 true로 설정됩니다.

scope_reports_contents 필드는 콘텐츠의 바이트 형식이며 검토 전에 ODF 형식으로 변환해야 합니다.

다음 단계