監査をスケジュールして実行し、サポートされているフレームワークに対してGoogle Cloud 組織を評価するために必要な証拠を収集します。
監査は長時間実行オペレーションであり、数時間かかることがあります。期間は、監査スコープ内のリソースの数によって異なります。監査スコープは、以前に登録した組織(プレビュー)、プロジェクト、またはフォルダです。
監査(プレビュー)を定期的に実行するようにスケジュールし、スケジュールされた監査の期間を指定できます。特定のフレームワークとリソースのスケジュールを作成できるのは、そのフレームワークとリソースの組み合わせに有効または一時停止中のスケジュールがまだ存在しない場合のみです。
始める前に
次のいずれかの IAM ロールがあることを確認します。
- 監査マネージャー管理者(
roles/auditmanager.admin) - Audit Manager 監査者(
roles/auditmanager.auditor) - コンプライアンス マネージャー閲覧者(
roles/cloudsecuritycompliance.viewer)(コンプライアンス マネージャーを使用して作成したフレームワークを監査する場合に必要)
- 監査マネージャー管理者(
組織、プロジェクト、またはフォルダが監査に登録されていることを確認します。
監査を実行する
コンソール
Google Cloud コンソールで、監査マネージャーの [Run assessment] ページに移動します。
[リソースとリージョンを選択] セクションで、次の操作を行います。
監査が必要な組織(プレビュー)、フォルダ、またはプロジェクトを選択します。
リソースの監査に使用するフレームワークを選択します。サポートされているフレームワークについては、サポートされているフレームワークをご覧ください。
監査評価を処理するロケーションを選択します。サポートされているロケーションの一覧については、Audit Manager のロケーションをご覧ください。
[次へ] をクリックします。
リソースの監査に使用するフレームワークを選択し、[次へ] をクリックします。サポートされているフレームワークについては、サポートされているフレームワークをご覧ください。
省略可: [評価プランを表示] セクションで、選択したフレームワークに基づく監査範囲に関する情報を含む ODS ファイルをダウンロードできます。ファイルをダウンロードするには、リンクをクリックして [次へ] をクリックします。
[ストレージ バケットを選択] セクションで、監査レポートと証拠を保存するストレージ バケットを選択し、[完了] をクリックします。バケットが一覧に表示されない場合は、管理者にストレージ バケットへのリソースの登録を依頼してください。
(プレビュー)省略可: [スケジュール] セクションで、次のいずれかを設定します。
監査の繰り返し頻度(毎日、毎月、毎四半期、毎年)。
監査に含める期間。[終了しない] を選択すると、指定した開始日から監査が継続的に実行され、手動で停止するまで続行されます。
監査を開始するには、[監査を実行] または [スケジュールされた監査を実行] をクリックします。
監査ステータスは、[評価を表示] ページで確認できます。
gcloud
省略可: 監査評価を生成する
実際の監査を実行する前に、選択したコンプライアンス フレームワークに基づく監査の詳細なタスク内訳を含む監査評価(またはスコープ)を生成できます。
gcloud audit-manager audit-scopes generate コマンドは、監査スコープを生成します。
後述のコマンドデータを使用する前に、次のように置き換えます。
- RESOURCE_TYPE: リソースのタイプ。組織(プレビュー)、フォルダ、プロジェクトを指定できます。たとえば、
foldersやprojectsです。 - RESOURCE_ID: 組織(プレビュー)、プロジェクト、またはフォルダのリソース ID。例:
8767234。 - LOCATION: 監査マネージャー API エンドポイントの場所。使用可能なエンドポイントの一覧については、監査マネージャーのロケーションをご覧ください。例:
us-central1。 - FRAMEWORK: 監査対象のフレームワークの ID。例:
builtin-cis-v8。フレームワークの ID を確認するには、監査マネージャー の [評価を表示] ページをご覧ください。 - AUDIT_REPORT_FORMAT: 出力監査レポートの形式。ODF 形式のみがサポートされます。
AUDIT_REPORT_FORMAT_ODF - OUTPUT_DIRECTORY: 出力を保存する必要があるディレクトリ。例:
reports。 - OUTPUT_FILENAME: 出力ファイルの名前。ファイル名にファイル拡張子を含めないでください。例:
scopeReport。
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud audit-manager audit-scopes generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --output-directory=OUTPUT_DIRECTORY \ --output-file-name=OUTPUT_FILENAME
Windows(PowerShell)
gcloud audit-manager audit-scopes generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --output-directory=OUTPUT_DIRECTORY ` --output-file-name=OUTPUT_FILENAME
Windows(cmd.exe)
gcloud audit-manager audit-scopes generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --output-directory=OUTPUT_DIRECTORY ^ --output-file-name=OUTPUT_FILENAME
オンデマンド監査を実行する
gcloud CLI を使用して監査(プレビュー版)をスケジュールしたり、組織レベルのレポート(プレビュー版)を実行したりすることはできません。
gcloud audit-manager audit-reports generate コマンドは監査を実行します。
後述のコマンドデータを使用する前に、次のように置き換えます。
- RESOURCE_TYPE: リソースのタイプ。組織(プレビュー)、フォルダ、プロジェクトを指定できます。たとえば、
foldersやprojectsです。 - RESOURCE_ID: 組織(プレビュー)、プロジェクト、またはフォルダのリソース ID。例:
8767234。 - LOCATION: 監査マネージャー API エンドポイントの場所。使用可能なエンドポイントの一覧については、監査マネージャーのロケーションをご覧ください。例:
us-central1。 - FRAMEWORK: 監査対象のフレームワークの ID。例:
builtin-cis-v8。フレームワークの ID を確認するには、監査マネージャー の [評価を表示] ページをご覧ください。 - BUCKET_URI: Cloud Storage バケットの URI。例:
gs://testbucketauditmanager。 - AUDIT_REPORT_FORMAT: 出力監査レポートの形式。ODF 形式のみがサポートされます。
AUDIT_REPORT_FORMAT_ODF
次のコマンドを実行します。
Linux、macOS、Cloud Shell
gcloud audit-manager audit-reports generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --gcs-uri=BUCKET_URI
Windows(PowerShell)
gcloud audit-manager audit-reports generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --gcs-uri=BUCKET_URI
Windows(cmd.exe)
gcloud audit-manager audit-reports generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --gcs-uri=BUCKET_URI
次のようなレスポンスが返されます。
done: false name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24
REST
省略可: 監査評価を生成する
実際の監査を実行する前に、選択したコンプライアンス フレームワークに基づく監査の詳細なタスク内訳を含む監査評価(またはスコープ)を生成できます。
リクエストのデータを使用する前に、次のように置き換えます。
- RESOURCE_TYPE: リソースのタイプ。組織(プレビュー)、フォルダ、プロジェクトを指定できます。たとえば、
foldersやprojectsです。 - RESOURCE_ID: 組織(プレビュー)、プロジェクト、またはフォルダのリソース ID。例:
8767234。 - LOCATION: 監査マネージャー API エンドポイントの場所。使用可能なエンドポイントの一覧については、監査マネージャーのロケーションをご覧ください。例:
us-central1。 - FRAMEWORK: 監査対象のフレームワークの ID。例:
builtin-cis-v8。フレームワークの ID を確認するには、監査マネージャー の [評価を表示] ページをご覧ください。 - AUDIT_REPORT_FORMAT: 出力監査レポートの形式。ODF 形式のみがサポートされます。
AUDIT_REPORT_FORMAT_ODF
HTTP メソッドと URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate
リクエストの本文(JSON):
{
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
リクエストを送信するには、次のいずれかのオプションを選択します。
curl
リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"
PowerShell
リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content
次のような JSON レスポンスが返されます。
{
"scope_report_contents" : "980u43nrf090834uhbkfehf......"
"name" : "folders/8767234/locations/us-west"
}
レスポンスには次の情報が含まれます。
name: 該当するリソースの固有の文字列識別子。
scope_reports_contents フィールドは、コンテンツのバイト形式で、レビュー前に ODF 形式に変換する必要があります。
オンデマンド監査を実行する
REST API を使用して監査実行(プレビュー)をスケジュールすることはできません。
リクエストのデータを使用する前に、次のように置き換えます。
- RESOURCE_TYPE: リソースのタイプ。組織(プレビュー)、フォルダ、プロジェクトを指定できます。たとえば、
foldersやprojectsです。 - RESOURCE_ID: 組織(プレビュー)、プロジェクト、またはフォルダのリソース ID。例:
8767234。 - LOCATION: 監査マネージャー API エンドポイントの場所。使用可能なエンドポイントの一覧については、監査マネージャーのロケーションをご覧ください。例:
us-central1。 - FRAMEWORK: 監査対象のフレームワークの ID。例:
builtin-cis-v8。フレームワークの ID を確認するには、監査マネージャー の [評価を表示] ページをご覧ください。 - BUCKET_URI: Cloud Storage バケットの URI。例:
gs://testbucketauditmanager。 - AUDIT_REPORT_FORMAT: 出力監査レポートの形式。ODF 形式のみがサポートされます。
AUDIT_REPORT_FORMAT_ODF
HTTP メソッドと URL:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate
リクエストの本文(JSON):
{
"destination" : {
"gcs_uri" : "BUCKET_URI"
},
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
リクエストを送信するには、次のいずれかのオプションを選択します。
curl
リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"
PowerShell
リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content
次のような JSON レスポンスが返されます。
{
"name": "organizations/834/projects/10398413/locations/987234/operations/098234",
"done": false
}
レスポンスには次の情報が含まれます。
name: 監査評価オペレーション リクエストの一意の文字列識別子。この識別子は、監査評価プロセスの進行状況を追跡するために使用されます。例:operation/098234。done: プロセスがトリガーされたことを示すfalseに設定されるブール値のフラグ。監査評価が完了すると、trueに設定されます。
スケジュールされた監査を更新する
定期的な監査は、一時停止、再開、停止できます。スケジュールを変更する場合は、既存のスケジュール設定された監査を削除してから、新しいスケジュール設定された監査を作成する必要があります。
コンソール
Google Cloud コンソールで、Audit Manager の [監査管理] ページに移動します。
[スケジュール] タブで、更新するスケジュール設定済みの監査を見つけます。
次のいずれかを行います。
監査スケジュールを一時停止するには、 [スケジュールを一時停止] をクリックします。
一時停止した監査を再開するには、 [スケジュールを再開] をクリックします。
スケジュール設定された監査を削除するには、 [スケジュールを停止] をクリックします。