Google Cloud에서 규정 준수 감사 실행

감사를 예약하고 실행하여 지원되는 프레임워크에 대해Google Cloud 조직을 평가하는 데 필요한 증거를 수집합니다.

감사는 몇 시간이 걸릴 수 있는 장기 실행 작업입니다. 소요 시간은 감사 범위 내 리소스 수, 즉 이전에 등록한 조직 (미리보기), 프로젝트 또는 폴더 수에 따라 달라집니다.

정기적인 간격으로 실행되도록 감사를 예약 (미리보기)하고 예약된 감사의 기간을 지정할 수 있습니다. 프레임워크 및 리소스 조합에 대해 활성 또는 일시중지된 일정이 아직 없는 경우에만 특정 프레임워크 및 리소스에 대한 일정을 만들 수 있습니다.

시작하기 전에

  • 다음 IAM 역할 중 하나가 있는지 확인합니다.

    • 감사 관리자 관리자 (roles/auditmanager.admin)
    • 감사 관리자 감사관 (roles/auditmanager.auditor)
    • 규정 준수 관리자 뷰어(roles/cloudsecuritycompliance.viewer) (규정 준수 관리자를 사용하여 만든 프레임워크를 감사하는 경우 필요)
  • 조직, 프로젝트 또는 폴더가 감사에 등록되어 있는지 확인합니다.

감사 실행

콘솔

  1. Google Cloud 콘솔의 감사 관리자에서 평가 실행 페이지로 이동합니다.

    감사 관리자로 이동

  2. 리소스 및 리전 선택 섹션에서 다음을 수행합니다.

    1. 감사해야 하는 조직 (미리보기), 폴더 또는 프로젝트를 선택합니다.

    2. 리소스에 대해 감사할 프레임워크를 선택합니다. 지원되는 프레임워크에 대한 자세한 내용은 지원되는 프레임워크를 참고하세요.

    3. 감사 평가를 처리해야 하는 위치를 선택합니다. 지원되는 위치 목록은 감사 관리자 위치를 참고하세요.

    4. 다음을 클릭합니다.

  3. 리소스에 대해 감사를 실행할 프레임워크를 선택하고 다음을 클릭합니다. 지원되는 프레임워크에 대한 자세한 내용은 지원되는 프레임워크를 참고하세요.

  4. 선택사항: 평가 계획 보기 섹션에서 선택한 프레임워크에 따라 감사 범위에 대한 정보가 포함된 ODS 파일을 다운로드할 수 있습니다. 파일을 다운로드하려면 링크를 클릭하고 다음을 클릭합니다.

  5. 스토리지 버킷 선택 섹션에서 감사 보고서와 증거를 저장해야 하는 스토리지 버킷을 선택하고 완료를 클릭합니다. 버킷이 표시되지 않으면 관리자에게 스토리지 버킷으로 리소스를 등록해 달라고 요청하세요.

  6. (미리보기) 선택사항: 일정 섹션에서 다음 중 하나를 설정합니다.

    • 감사를 반복할 빈도 (매일, 매월, 분기별 또는 연간)입니다.

    • 감사에 포함할 기간입니다. 종료일 없음을 선택하면 수동으로 중지할 때까지 지정한 시작일부터 감사가 계속 실행됩니다.

  7. 감사를 시작하려면 감사 실행 또는 예약된 감사 실행을 클릭합니다.

    평가 보기 페이지에서 감사 상태를 확인할 수 있습니다.

gcloud

선택사항: 감사 평가 생성

실제 감사를 실행하기 전에 선택한 규정 준수 프레임워크를 기반으로 감사에 대한 자세한 태스크 분류가 포함된 감사 평가(또는 범위)를 생성할 수 있습니다.

gcloud audit-manager audit-scopes generate 명령어는 감사 범위를 생성합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 리소스 유형입니다. 조직 (미리보기), 폴더 또는 프로젝트일 수 있습니다. 예를 들면 folders 또는 projects입니다.
  • RESOURCE_ID: 조직 (미리보기), 프로젝트 또는 폴더의 리소스 ID입니다. 예를 들면 8767234입니다.
  • LOCATION: 감사 관리자 API 엔드포인트의 위치입니다. 사용 가능한 엔드포인트 목록은 감사 관리자 위치를 참고하세요. 예를 들면 us-central1입니다.
  • FRAMEWORK: 감사의 기준이 되는 프레임워크의 ID입니다. 예를 들면 builtin-cis-v8입니다. 프레임워크의 ID를 확인하려면 감사 관리자의 평가 보기 페이지를 참고하세요.
  • AUDIT_REPORT_FORMAT: 출력 감사 보고서의 형식입니다. ODF 형식만 지원됩니다(AUDIT_REPORT_FORMAT_ODF).
  • OUTPUT_DIRECTORY: 출력을 저장해야 하는 디렉터리입니다. 예를 들면 reports입니다.
  • OUTPUT_FILENAME: 출력 파일의 이름입니다. 파일 이름에 파일 확장자를 포함하지 마세요. 예를 들면 scopeReport입니다.

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud audit-manager audit-scopes generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --output-directory=OUTPUT_DIRECTORY \
    --output-file-name=OUTPUT_FILENAME

Windows(PowerShell)

gcloud audit-manager audit-scopes generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --output-directory=OUTPUT_DIRECTORY `
    --output-file-name=OUTPUT_FILENAME

Windows(cmd.exe)

gcloud audit-manager audit-scopes generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --output-directory=OUTPUT_DIRECTORY ^
    --output-file-name=OUTPUT_FILENAME

주문형 감사 실행

gcloud CLI를 사용하여 감사 (미리보기)를 예약하거나 조직 수준 보고서 (미리보기)를 실행할 수 없습니다.

gcloud audit-manager audit-reports generate 명령어는 감사를 실행합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 리소스 유형입니다. 조직 (미리보기), 폴더 또는 프로젝트일 수 있습니다. 예를 들면 folders 또는 projects입니다.
  • RESOURCE_ID: 조직 (미리보기), 프로젝트 또는 폴더의 리소스 ID입니다. 예를 들면 8767234입니다.
  • LOCATION: 감사 관리자 API 엔드포인트의 위치입니다. 사용 가능한 엔드포인트 목록은 감사 관리자 위치를 참고하세요. 예를 들면 us-central1입니다.
  • FRAMEWORK: 감사의 기준이 되는 프레임워크의 ID입니다. 예를 들면 builtin-cis-v8입니다. 프레임워크의 ID를 확인하려면 감사 관리자의 평가 보기 페이지를 참고하세요.
  • BUCKET_URI: Cloud Storage 버킷의 URI입니다. 예를 들면 gs://testbucketauditmanager입니다.
  • AUDIT_REPORT_FORMAT: 출력 감사 보고서의 형식입니다. ODF 형식만 지원됩니다(AUDIT_REPORT_FORMAT_ODF).

다음 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud audit-manager audit-reports generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --gcs-uri=BUCKET_URI

Windows(PowerShell)

gcloud audit-manager audit-reports generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --gcs-uri=BUCKET_URI

Windows(cmd.exe)

gcloud audit-manager audit-reports generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --gcs-uri=BUCKET_URI

다음과 비슷한 응답이 표시됩니다.

done: false
name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24

REST

선택사항: 감사 평가 생성

실제 감사를 실행하기 전에 선택한 규정 준수 프레임워크를 기반으로 감사에 대한 자세한 태스크 분류가 포함된 감사 평가(또는 범위)를 생성할 수 있습니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 리소스 유형입니다. 조직 (미리보기), 폴더 또는 프로젝트일 수 있습니다. 예를 들면 folders 또는 projects입니다.
  • RESOURCE_ID: 조직 (미리보기), 프로젝트 또는 폴더의 리소스 ID입니다. 예를 들면 8767234입니다.
  • LOCATION: 감사 관리자 API 엔드포인트의 위치입니다. 사용 가능한 엔드포인트 목록은 감사 관리자 위치를 참고하세요. 예를 들면 us-central1입니다.
  • FRAMEWORK: 감사의 기준이 되는 프레임워크의 ID입니다. 예를 들면 builtin-cis-v8입니다. 프레임워크의 ID를 확인하려면 감사 관리자의 평가 보기 페이지를 참고하세요.
  • AUDIT_REPORT_FORMAT: 출력 감사 보고서의 형식입니다. ODF 형식만 지원됩니다(AUDIT_REPORT_FORMAT_ODF).

HTTP 메서드 및 URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate

JSON 요청 본문:


{
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

요청을 보내려면 다음 옵션 중 하나를 선택합니다.

curl

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"

PowerShell

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

{

  "scope_report_contents" : "980u43nrf090834uhbkfehf......"
  "name" : "folders/8767234/locations/us-west"
}

응답에는 다음 정보가 포함됩니다.

    scope_reports_contents 필드는 콘텐츠의 바이트 형식이며 검토 전에 ODF 형식으로 변환해야 합니다.

  • name: 해당 리소스의 고유 문자열 식별자입니다.

주문형 감사 실행

REST API를 사용하여 감사 실행 (미리보기)을 예약할 수 없습니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • RESOURCE_TYPE: 리소스 유형입니다. 조직 (미리보기), 폴더 또는 프로젝트일 수 있습니다. 예를 들면 folders 또는 projects입니다.
  • RESOURCE_ID: 조직 (미리보기), 프로젝트 또는 폴더의 리소스 ID입니다. 예를 들면 8767234입니다.
  • LOCATION: 감사 관리자 API 엔드포인트의 위치입니다. 사용 가능한 엔드포인트 목록은 감사 관리자 위치를 참고하세요. 예를 들면 us-central1입니다.
  • FRAMEWORK: 감사의 기준이 되는 프레임워크의 ID입니다. 예를 들면 builtin-cis-v8입니다. 프레임워크의 ID를 확인하려면 감사 관리자의 평가 보기 페이지를 참고하세요.
  • BUCKET_URI: Cloud Storage 버킷의 URI입니다. 예를 들면 gs://testbucketauditmanager입니다.
  • AUDIT_REPORT_FORMAT: 출력 감사 보고서의 형식입니다. ODF 형식만 지원됩니다(AUDIT_REPORT_FORMAT_ODF).

HTTP 메서드 및 URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate

JSON 요청 본문:


{
  "destination" : {
    "gcs_uri" : "BUCKET_URI"
  },
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

요청을 보내려면 다음 옵션 중 하나를 선택합니다.

curl

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"

PowerShell

요청 본문을 request.json 파일에 저장하고 다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "name": "organizations/834/projects/10398413/locations/987234/operations/098234",
  "done": false
}

응답에는 다음 정보가 포함됩니다.

  • name: 감사 평가 작업 요청의 고유 문자열 식별자입니다. 이 식별자는 감사 평가 프로세스의 진행 상황을 추적하는 데 사용됩니다. 예를 들면 operation/098234입니다.
  • done: 프로세스가 트리거되었음을 나타내는 false로 설정된 불리언 플래그입니다. 감사 평가가 완료되면 true로 설정됩니다.

예약된 감사 업데이트

반복 감사를 일시중지, 다시 시작, 중지할 수 있습니다. 일정을 변경하려면 기존 정기 감사를 삭제한 후 새 정기 감사를 만들어야 합니다.

콘솔

  1. Google Cloud 콘솔의 감사 관리자에서 감사 관리 페이지로 이동합니다.

    감사 관리자로 이동

  2. 일정 탭에서 업데이트할 예약된 감사를 찾습니다.

  3. 다음 중 하나를 수행합니다.

    • 감사 일정을 일시중지하려면 일정 일시중지를 클릭합니다.

    • 일시중지한 감사를 다시 시작하려면 일정 재개를 클릭합니다.

    • 예약된 감사를 삭제하려면 일정 중지를 클릭합니다.

다음 단계