Menjalankan audit kepatuhan di Google Cloud

Jadwalkan dan lakukan audit untuk mengumpulkan bukti yang Anda perlukan untuk menilai Google Cloud organisasi Anda berdasarkan framework yang didukung.

Audit adalah operasi yang berjalan lama dan mungkin memerlukan waktu beberapa jam. Durasi bergantung pada jumlah resource dalam cakupan audit, yaitu organisasi (Pratinjau), project, atau folder yang sebelumnya Anda daftarkan.

Anda dapat menjadwalkan audit (Pratinjau) agar berjalan pada interval reguler dan menentukan jangka waktu untuk audit terjadwal. Anda hanya dapat membuat jadwal untuk framework dan resource tertentu jika jadwal aktif atau dijeda belum ada untuk kombinasi framework dan resource tersebut.

Sebelum memulai

  • Pastikan Anda memiliki salah satu peran IAM berikut:

    • Admin Audit Manager (roles/auditmanager.admin)
    • Auditor Audit Manager (roles/auditmanager.auditor)
    • Pelihat Compliance Manager (roles/cloudsecuritycompliance.viewer) (diperlukan jika Anda mengaudit framework yang telah dibuat menggunakan Compliance Manager)
  • Pastikan organisasi, project, atau folder Anda telah didaftarkan untuk audit.

Menjalankan audit

Konsol

  1. Di konsol Google Cloud , buka halaman Run assessment di Audit Manager.

    Buka Audit Manager

  2. Di bagian Pilih resource dan region, lakukan hal berikut:

    1. Pilih organisasi (Pratinjau), folder, atau project yang perlu diaudit.

    2. Pilih framework yang ingin Anda gunakan untuk mengaudit resource. Untuk mengetahui informasi tentang framework yang didukung, lihat Framework yang didukung.

    3. Pilih lokasi tempat penilaian audit harus diproses. Untuk daftar lokasi yang didukung, lihat Lokasi Audit Manager.

    4. Klik Berikutnya.

  3. Pilih framework yang ingin Anda gunakan untuk mengaudit resource, lalu klik Berikutnya. Untuk mengetahui informasi tentang framework yang didukung, lihat Framework yang didukung.

  4. Opsional: Di bagian Lihat Rencana Penilaian, Anda dapat mendownload file ODS yang berisi informasi tentang cakupan audit berdasarkan framework yang Anda pilih. Untuk mendownload file, klik link, lalu klik Berikutnya.

  5. Di bagian Pilih bucket penyimpanan, pilih bucket penyimpanan tempat laporan audit dan bukti harus disimpan, lalu klik Selesai. Jika bucket Anda tidak tercantum, minta administrator Anda untuk mendaftarkan resource Anda dengan bucket penyimpanan Anda.

  6. (Pratinjau) Opsional: Di bagian Jadwal, tetapkan salah satu opsi berikut:

    • Seberapa sering audit diulang (harian, bulanan, per kuartal, atau tahunan).

    • Jangka waktu yang akan disertakan dalam audit. Jika Anda memilih Tidak pernah berakhir, audit akan terus berjalan dari tanggal mulai yang Anda tentukan, hingga Anda menghentikannya secara manual.

  7. Untuk memulai audit, klik Run Audit atau Run Scheduled Audit.

    Anda dapat melihat status audit di halaman Lihat penilaian.

gcloud

Opsional: Membuat penilaian audit

Sebelum menjalankan audit yang sebenarnya, Anda dapat membuat penilaian audit (atau cakupan) yang mencakup perincian tugas mendetail untuk audit berdasarkan framework kepatuhan yang Anda pilih.

Perintah gcloud audit-manager audit-scopes generate menghasilkan cakupan audit.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource, yang dapat berupa organisasi (Pratinjau), folder, atau project. Misalnya: folders atau projects.
  • RESOURCE_ID: ID resource organisasi (Pratinjau), project, atau folder. Misalnya: 8767234
  • LOCATION: lokasi endpoint Audit Manager API. Untuk mengetahui daftar endpoint yang tersedia, lihat Lokasi Audit Manager. Misalnya: us-central1
  • FRAMEWORK: ID framework yang akan diaudit. Contoh: builtin-cis-v8. Untuk menemukan ID framework, lihat halaman Lihat penilaian di Audit Manager.
  • AUDIT_REPORT_FORMAT: format laporan audit output. Hanya format ODF yang didukung: AUDIT_REPORT_FORMAT_ODF.
  • OUTPUT_DIRECTORY: direktori tempat output harus disimpan. Contoh: reports.
  • OUTPUT_FILENAME: nama file output. Jangan sertakan ekstensi file dalam nama file. Misalnya:scopeReport.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud audit-manager audit-scopes generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --output-directory=OUTPUT_DIRECTORY \
    --output-file-name=OUTPUT_FILENAME

Windows (PowerShell)

gcloud audit-manager audit-scopes generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --output-directory=OUTPUT_DIRECTORY `
    --output-file-name=OUTPUT_FILENAME

Windows (cmd.exe)

gcloud audit-manager audit-scopes generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --output-directory=OUTPUT_DIRECTORY ^
    --output-file-name=OUTPUT_FILENAME

Menjalankan audit sesuai permintaan

Anda tidak dapat menjadwalkan audit (Pratinjau) atau menjalankan laporan tingkat organisasi (Pratinjau) menggunakan gcloud CLI.

Perintah gcloud audit-manager audit-reports generate menjalankan audit.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource, yang dapat berupa organisasi (Pratinjau), folder, atau project. Misalnya: folders atau projects.
  • RESOURCE_ID: ID resource organisasi (Pratinjau), project, atau folder. Misalnya: 8767234
  • LOCATION: lokasi endpoint Audit Manager API. Untuk mengetahui daftar endpoint yang tersedia, lihat Lokasi Audit Manager. Misalnya: us-central1
  • FRAMEWORK: ID framework yang akan diaudit. Contoh: builtin-cis-v8. Untuk menemukan ID framework, lihat halaman Lihat penilaian di Audit Manager.
  • BUCKET_URI: URI bucket Cloud Storage. Contoh: gs://testbucketauditmanager
  • AUDIT_REPORT_FORMAT: format laporan audit output. Hanya format ODF yang didukung: AUDIT_REPORT_FORMAT_ODF.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud audit-manager audit-reports generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --gcs-uri=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager audit-reports generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --gcs-uri=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager audit-reports generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --gcs-uri=BUCKET_URI

Anda akan melihat respons seperti berikut:

done: false
name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24

REST

Opsional: Membuat penilaian audit

Sebelum menjalankan audit yang sebenarnya, Anda dapat membuat penilaian audit (atau cakupan) yang mencakup perincian tugas mendetail untuk audit berdasarkan framework kepatuhan yang Anda pilih.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource, yang dapat berupa organisasi (Pratinjau), folder, atau project. Misalnya: folders atau projects.
  • RESOURCE_ID: ID resource organisasi (Pratinjau), project, atau folder. Misalnya: 8767234
  • LOCATION: lokasi endpoint Audit Manager API. Untuk mengetahui daftar endpoint yang tersedia, lihat Lokasi Audit Manager. Misalnya: us-central1
  • FRAMEWORK: ID framework yang akan diaudit. Contoh: builtin-cis-v8. Untuk menemukan ID framework, lihat halaman Lihat penilaian di Audit Manager.
  • AUDIT_REPORT_FORMAT: format laporan audit output. Hanya format ODF yang didukung: AUDIT_REPORT_FORMAT_ODF.

Metode HTTP dan URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate

Meminta isi JSON:


{
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

curl

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"

PowerShell

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:

{

  "scope_report_contents" : "980u43nrf090834uhbkfehf......"
  "name" : "folders/8767234/locations/us-west"
}

Responsnya berisi informasi berikut:

    Kolom scope_reports_contents adalah format byte dari konten, yang harus dikonversi ke format ODF sebelum ditinjau.

  • name: ID string unik dari resource yang berlaku.

Menjalankan audit sesuai permintaan

Anda tidak dapat menjadwalkan audit (Pratinjau) menggunakan REST API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • RESOURCE_TYPE: jenis resource, yang dapat berupa organisasi (Pratinjau), folder, atau project. Misalnya: folders atau projects.
  • RESOURCE_ID: ID resource organisasi (Pratinjau), project, atau folder. Misalnya: 8767234
  • LOCATION: lokasi endpoint Audit Manager API. Untuk mengetahui daftar endpoint yang tersedia, lihat Lokasi Audit Manager. Misalnya: us-central1
  • FRAMEWORK: ID framework yang akan diaudit. Contoh: builtin-cis-v8. Untuk menemukan ID framework, lihat halaman Lihat penilaian di Audit Manager.
  • BUCKET_URI: URI bucket Cloud Storage. Contoh: gs://testbucketauditmanager
  • AUDIT_REPORT_FORMAT: format laporan audit output. Hanya format ODF yang didukung: AUDIT_REPORT_FORMAT_ODF.

Metode HTTP dan URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate

Meminta isi JSON:


{
  "destination" : {
    "gcs_uri" : "BUCKET_URI"
  },
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

curl

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"

PowerShell

Simpan isi permintaan dalam file bernama request.json, dan jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content

Anda akan melihat respons JSON seperti berikut:

{
  "name": "organizations/834/projects/10398413/locations/987234/operations/098234",
  "done": false
}

Responsnya berisi informasi berikut:

  • name: ID string unik dari permintaan operasi penilaian audit. ID ini digunakan untuk melacak progres proses penilaian audit. Contoh: operation/098234.
  • done: Flag boolean yang disetel ke false yang menunjukkan bahwa proses telah dipicu. Nilai ini ditetapkan ke true saat penilaian audit selesai.

Memperbarui audit terjadwal

Anda dapat menjeda, melanjutkan, dan menghentikan audit berulang. Jika ingin mengubah jadwal, Anda harus menghapus audit terjadwal yang ada, lalu membuat audit terjadwal baru.

Konsol

  1. Di konsol Google Cloud , buka halaman Pengelolaan audit di Audit Manager.

    Buka Audit Manager

  2. Di tab Jadwal, temukan audit terjadwal yang ingin Anda perbarui.

  3. Lakukan salah satu hal berikut:

    • Untuk menjeda jadwal audit, klik Jeda jadwal.

    • Untuk memulai ulang audit yang Anda jeda, klik Lanjutkan jadwal.

    • Untuk menghapus audit terjadwal, klik Hentikan jadwal.

Langkah berikutnya