감사를 실행하여 지원되는 프레임워크에 대해Google Cloud 조직을 평가하는 데 필요한 증거를 수집합니다.
감사는 몇 시간이 걸릴 수 있는 장기 실행 작업입니다. 소요 시간은 감사 범위 내 리소스 수, 즉 이전에 등록한 프로젝트 또는 폴더 수에 따라 달라집니다.
시작하기 전에
다음 IAM 역할 중 하나가 있는지 확인합니다.
- 감사 관리자 관리자 (
roles/auditmanager.admin) - 감사 관리자 감사관 (
roles/auditmanager.auditor) - 규정 준수 관리자 뷰어(
roles/cloudsecuritycompliance.viewer) (규정 준수 관리자를 사용하여 만든 프레임워크를 감사하는 경우 필요)
- 감사 관리자 관리자 (
프로젝트 또는 폴더가 감사에 등록되어 있는지 확인합니다.
감사 실행
콘솔
Google Cloud 콘솔의 감사 관리자에서 평가 실행 페이지로 이동합니다.
리소스 및 리전 선택 섹션에서 다음을 수행합니다.
감사해야 하는 프로젝트 또는 폴더를 선택합니다.
감사 평가를 처리해야 하는 위치를 선택합니다. 지원되는 위치 목록은 감사 관리자 위치를 참고하세요.
다음을 클릭합니다.
리소스에 대해 감사를 실행할 프레임워크를 선택하고 다음을 클릭합니다. 지원되는 프레임워크에 대한 자세한 내용은 지원되는 프레임워크를 참고하세요.
선택사항: 평가 계획 보기 섹션에서 선택한 프레임워크에 따라 감사 범위에 대한 정보가 포함된 ODS 파일을 다운로드할 수 있습니다. 파일을 다운로드하려면 링크를 클릭하고 다음을 클릭합니다.
스토리지 버킷 선택 섹션에서 감사 보고서와 증거를 저장해야 하는 스토리지 버킷을 선택하고 완료를 클릭합니다. 버킷이 표시되지 않으면 관리자에게 스토리지 버킷으로 리소스를 등록해 달라고 요청하세요.
감사를 시작하려면 감사 실행을 클릭합니다.
평가 보기 페이지에서 감사 상태를 확인할 수 있습니다.
gcloud
선택사항: 감사 평가 생성
실제 감사를 실행하기 전에 선택한 규정 준수 프레임워크를 기반으로 감사에 대한 자세한 태스크 분류가 포함된 감사 평가(또는 범위)를 생성할 수 있습니다.
gcloud audit-manager audit-scopes generate 명령어는 감사 범위를 생성합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
- RESOURCE_TYPE: 리소스 유형(프로젝트 또는 폴더). 예를 들면
folders또는projects입니다. - RESOURCE_ID: 프로젝트 또는 폴더의 리소스 ID입니다. 예를 들면
8767234입니다. - LOCATION: 감사 관리자 API 엔드포인트의 위치입니다. 사용 가능한 엔드포인트 목록은 감사 관리자 위치를 참고하세요. 예를 들면
us-central1입니다. - FRAMEWORK: 감사의 기준이 되는 프레임워크의 ID입니다. 예를 들면
builtin-cis-v8입니다. 프레임워크의 ID를 확인하려면 감사 관리자의 평가 보기 페이지를 참고하세요. - AUDIT_REPORT_FORMAT: 출력 감사 보고서의 형식입니다.
ODF 형식만 지원됩니다(
AUDIT_REPORT_FORMAT_ODF). - OUTPUT_DIRECTORY: 출력을 저장해야 하는 디렉터리입니다. 예를 들면
reports입니다. - OUTPUT_FILENAME: 출력 파일의 이름입니다. 파일 이름에 파일 확장자를 포함하지 마세요. 예를 들면
scopeReport입니다.
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud audit-manager audit-scopes generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --output-directory=OUTPUT_DIRECTORY \ --output-file-name=OUTPUT_FILENAME
Windows(PowerShell)
gcloud audit-manager audit-scopes generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --output-directory=OUTPUT_DIRECTORY ` --output-file-name=OUTPUT_FILENAME
Windows(cmd.exe)
gcloud audit-manager audit-scopes generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --output-directory=OUTPUT_DIRECTORY ^ --output-file-name=OUTPUT_FILENAME
주문형 감사 실행
gcloud audit-manager audit-reports generate 명령어는 감사를 실행합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
- RESOURCE_TYPE: 리소스 유형(프로젝트 또는 폴더). 예를 들면
folders또는projects입니다. - RESOURCE_ID: 프로젝트 또는 폴더의 리소스 ID입니다. 예를 들면
8767234입니다. - LOCATION: 감사 관리자 API 엔드포인트의 위치입니다. 사용 가능한 엔드포인트 목록은 감사 관리자 위치를 참고하세요. 예를 들면
us-central1입니다. - FRAMEWORK: 감사의 기준이 되는 프레임워크의 ID입니다. 예를 들면
builtin-cis-v8입니다. 프레임워크의 ID를 확인하려면 감사 관리자의 평가 보기 페이지를 참고하세요. - BUCKET_URI: Cloud Storage 버킷의 URI입니다. 예를 들면
gs://testbucketauditmanager입니다. - AUDIT_REPORT_FORMAT: 출력 감사 보고서의 형식입니다.
ODF 형식만 지원됩니다(
AUDIT_REPORT_FORMAT_ODF).
다음 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud audit-manager audit-reports generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --gcs-uri=BUCKET_URI
Windows(PowerShell)
gcloud audit-manager audit-reports generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --gcs-uri=BUCKET_URI
Windows(cmd.exe)
gcloud audit-manager audit-reports generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --gcs-uri=BUCKET_URI
다음과 비슷한 응답이 표시됩니다.
done: false name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24
REST
선택사항: 감사 평가 생성
실제 감사를 실행하기 전에 선택한 규정 준수 프레임워크를 기반으로 감사에 대한 자세한 태스크 분류가 포함된 감사 평가(또는 범위)를 생성할 수 있습니다.
요청 데이터를 사용하기 전에 다음을 바꿉니다.
- RESOURCE_TYPE: 리소스 유형(프로젝트 또는 폴더). 예를 들면
folders또는projects입니다. - RESOURCE_ID: 프로젝트 또는 폴더의 리소스 ID입니다. 예를 들면
8767234입니다. - LOCATION: 감사 관리자 API 엔드포인트의 위치입니다. 사용 가능한 엔드포인트 목록은 감사 관리자 위치를 참고하세요. 예를 들면
us-central1입니다. - FRAMEWORK: 감사의 기준이 되는 프레임워크의 ID입니다. 예를 들면
builtin-cis-v8입니다. 프레임워크의 ID를 확인하려면 감사 관리자의 평가 보기 페이지를 참고하세요. - AUDIT_REPORT_FORMAT: 출력 감사 보고서의 형식입니다.
ODF 형식만 지원됩니다(
AUDIT_REPORT_FORMAT_ODF).
HTTP 메서드 및 URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate
JSON 요청 본문:
{
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
요청을 보내려면 다음 옵션 중 하나를 선택합니다.
curl
요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"
PowerShell
요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content
다음과 비슷한 JSON 응답이 표시됩니다.
{
"scope_report_contents" : "980u43nrf090834uhbkfehf......"
"name" : "folders/8767234/locations/us-west"
}
응답에는 다음 정보가 포함됩니다.
name: 해당 리소스의 고유 문자열 식별자입니다.
scope_reports_contents 필드는 콘텐츠의 바이트 형식이며 검토 전에 ODF 형식으로 변환해야 합니다.
주문형 감사 실행
요청 데이터를 사용하기 전에 다음을 바꿉니다.
- RESOURCE_TYPE: 리소스 유형(프로젝트 또는 폴더). 예를 들면
folders또는projects입니다. - RESOURCE_ID: 프로젝트 또는 폴더의 리소스 ID입니다. 예를 들면
8767234입니다. - LOCATION: 감사 관리자 API 엔드포인트의 위치입니다. 사용 가능한 엔드포인트 목록은 감사 관리자 위치를 참고하세요. 예를 들면
us-central1입니다. - FRAMEWORK: 감사의 기준이 되는 프레임워크의 ID입니다. 예를 들면
builtin-cis-v8입니다. 프레임워크의 ID를 확인하려면 감사 관리자의 평가 보기 페이지를 참고하세요. - BUCKET_URI: Cloud Storage 버킷의 URI입니다. 예를 들면
gs://testbucketauditmanager입니다. - AUDIT_REPORT_FORMAT: 출력 감사 보고서의 형식입니다.
ODF 형식만 지원됩니다(
AUDIT_REPORT_FORMAT_ODF).
HTTP 메서드 및 URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate
JSON 요청 본문:
{
"destination" : {
"gcs_uri" : "BUCKET_URI"
},
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
요청을 보내려면 다음 옵션 중 하나를 선택합니다.
curl
요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"
PowerShell
요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content
다음과 비슷한 JSON 응답이 표시됩니다.
{
"name": "organizations/834/projects/10398413/locations/987234/operations/098234",
"done": false
}
응답에는 다음 정보가 포함됩니다.
name: 감사 평가 작업 요청의 고유 문자열 식별자입니다. 이 식별자는 감사 평가 프로세스의 진행 상황을 추적하는 데 사용됩니다. 예를 들면operation/098234입니다.done: 프로세스가 트리거되었음을 나타내는false로 설정된 불리언 플래그입니다. 감사 평가가 완료되면true로 설정됩니다.