Menjalankan audit kepatuhan di Google Cloud

Lakukan audit untuk mengumpulkan bukti yang Anda perlukan untuk menilai Google Cloud organisasi Anda terhadap framework yang didukung.

Audit adalah operasi yang berjalan lama dan mungkin memerlukan waktu beberapa jam. Durasi bergantung pada jumlah resource dalam cakupan audit, yaitu project atau folder yang sebelumnya telah Anda daftarkan.

Sebelum memulai

  • Pastikan Anda memiliki salah satu peran IAM berikut:

    • Admin Audit Manager (roles/auditmanager.admin)
    • Auditor Audit Manager (roles/auditmanager.auditor)
    • Pelihat Compliance Manager (roles/cloudsecuritycompliance.viewer) (diperlukan jika Anda mengaudit framework yang telah dibuat menggunakan Compliance Manager)
  • Pastikan project atau folder Anda telah didaftarkan untuk audit.

Menjalankan audit

Konsol

  1. Di Google Cloud Konsol, buka halaman Run assessment di Audit Manager.

    Buka Audit Manager

  2. Di bagian Choose resource and region, lakukan hal berikut:

    1. Pilih project atau folder yang perlu diaudit.

    2. Pilih lokasi tempat penilaian audit harus diproses. Untuk mengetahui daftar lokasi yang didukung, lihat Lokasi Audit Manager.

    3. Klik Next.

  3. Pilih framework yang ingin Anda gunakan untuk mengaudit resource, lalu klik Next. Untuk mengetahui informasi tentang framework yang didukung, lihat Framework yang didukung.

  4. Opsional: Di bagian View Assessment Plan, Anda dapat mendownload file ODS yang berisi informasi tentang cakupan audit berdasarkan framework yang Anda pilih. Untuk mendownload file, klik link, lalu klik Next.

  5. Di bagian Choose storage bucket, pilih bucket penyimpanan tempat laporan dan bukti audit harus disimpan, lalu klik Done. Jika bucket Anda tidak tercantum, minta administrator untuk mendaftarkan resource Anda dengan bucket penyimpanan Anda.

  6. Untuk memulai audit, klik Run Audit.

    Anda dapat melihat status audit di halaman View assessments.

gcloud

Opsional: Membuat penilaian audit

Sebelum menjalankan audit sebenarnya, Anda dapat membuat penilaian audit (atau cakupan) yang mencakup perincian tugas mendetail untuk audit berdasarkan framework kepatuhan yang Anda pilih.

Perintah gcloud audit-manager audit-scopes generate membuat cakupan audit.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource, baik project maupun folder. Contoh: folders atau projects.
  • RESOURCE_ID: ID resource project atau folder. Contoh: 8767234.
  • LOCATION: lokasi endpoint Audit Manager API. Untuk mengetahui daftar endpoint yang tersedia, lihat Lokasi Audit Manager. Contoh: us-central1.
  • FRAMEWORK: ID framework yang akan diaudit. Contoh: builtin-cis-v8. Untuk menemukan ID framework, lihat halaman View assessments di Audit Manager.
  • AUDIT_REPORT_FORMAT: format laporan audit output. Hanya format ODF yang didukung: AUDIT_REPORT_FORMAT_ODF.
  • OUTPUT_DIRECTORY: direktori tempat output harus disimpan. Contoh: reports.
  • OUTPUT_FILENAME: nama file output. Jangan sertakan ekstensi file dalam nama file. Contoh:scopeReport.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud audit-manager audit-scopes generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --output-directory=OUTPUT_DIRECTORY \
    --output-file-name=OUTPUT_FILENAME

Windows (PowerShell)

gcloud audit-manager audit-scopes generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --output-directory=OUTPUT_DIRECTORY `
    --output-file-name=OUTPUT_FILENAME

Windows (cmd.exe)

gcloud audit-manager audit-scopes generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --output-directory=OUTPUT_DIRECTORY ^
    --output-file-name=OUTPUT_FILENAME

Menjalankan audit sesuai permintaan

Perintah gcloud audit-manager audit-reports generate menjalankan audit.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource, baik project maupun folder. Contoh: folders atau projects.
  • RESOURCE_ID: ID resource project atau folder. Contoh: 8767234.
  • LOCATION: lokasi endpoint Audit Manager API. Untuk mengetahui daftar endpoint yang tersedia, lihat Lokasi Audit Manager. Contoh: us-central1.
  • FRAMEWORK: ID framework yang akan diaudit. Contoh: builtin-cis-v8. Untuk menemukan ID framework, lihat halaman View assessments di Audit Manager.
  • BUCKET_URI: URI bucket Cloud Storage. Contoh: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: format laporan audit output. Hanya format ODF yang didukung: AUDIT_REPORT_FORMAT_ODF.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud audit-manager audit-reports generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --gcs-uri=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager audit-reports generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --gcs-uri=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager audit-reports generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --gcs-uri=BUCKET_URI

Anda akan melihat respons seperti berikut:

done: false
name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24

REST

Opsional: Membuat penilaian audit

Sebelum menjalankan audit sebenarnya, Anda dapat membuat penilaian audit (atau cakupan) yang mencakup perincian tugas mendetail untuk audit berdasarkan framework kepatuhan yang Anda pilih.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource, baik project maupun folder. Contoh: folders atau projects.
  • RESOURCE_ID: ID resource project atau folder. Contoh: 8767234.
  • LOCATION: lokasi endpoint Audit Manager API. Untuk mengetahui daftar endpoint yang tersedia, lihat Lokasi Audit Manager. Contoh: us-central1.
  • FRAMEWORK: ID framework yang akan diaudit. Contoh: builtin-cis-v8. Untuk menemukan ID framework, lihat halaman View assessments di Audit Manager.
  • AUDIT_REPORT_FORMAT: format laporan audit output. Hanya format ODF yang didukung: AUDIT_REPORT_FORMAT_ODF.

Metode HTTP dan URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate

Meminta isi JSON:


{
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

curl

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"

PowerShell

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:

{

  "scope_report_contents" : "980u43nrf090834uhbkfehf......"
  "name" : "folders/8767234/locations/us-west"
}

Respons memiliki informasi berikut:

    Kolom scope_reports_contents adalah format byte konten, yang harus dikonversi ke format ODF sebelum ditinjau.

  • name: ID string unik dari resource yang berlaku.

Menjalankan audit sesuai permintaan

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource, baik project maupun folder. Contoh: folders atau projects.
  • RESOURCE_ID: ID resource project atau folder. Contoh: 8767234.
  • LOCATION: lokasi endpoint Audit Manager API. Untuk mengetahui daftar endpoint yang tersedia, lihat Lokasi Audit Manager. Contoh: us-central1.
  • FRAMEWORK: ID framework yang akan diaudit. Contoh: builtin-cis-v8. Untuk menemukan ID framework, lihat halaman View assessments di Audit Manager.
  • BUCKET_URI: URI bucket Cloud Storage. Contoh: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: format laporan audit output. Hanya format ODF yang didukung: AUDIT_REPORT_FORMAT_ODF.

Metode HTTP dan URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate

Meminta isi JSON:


{
  "destination" : {
    "gcs_uri" : "BUCKET_URI"
  },
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

curl

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"

PowerShell

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:

{
  "name": "organizations/834/projects/10398413/locations/987234/operations/098234",
  "done": false
}

Respons memiliki informasi berikut:

  • name: ID string unik dari permintaan operasi penilaian audit. ID ini digunakan untuk melacak progres proses penilaian audit. Contoh: operation/098234.
  • done: Flag boolean yang ditetapkan ke false yang menunjukkan bahwa proses telah dipicu. Flag ini ditetapkan ke true saat penilaian audit selesai.

Langkah berikutnya