Complianceprüfung in Google Cloud ausführen

Planen und führen Sie Audits durch, um die Nachweise zu sammeln, die Sie benötigen, um IhreGoogle Cloud -Organisation anhand unterstützter Frameworks zu bewerten.

Eine Prüfung ist ein Vorgang mit langer Ausführungszeit, der einige Stunden dauern kann. Die Dauer hängt von der Anzahl der Ressourcen im Prüfbereich ab. Das ist die Organisation (Vorschau), das Projekt oder der Ordner, die Sie zuvor registriert haben.

Sie können Audits (Vorschau) in regelmäßigen Abständen ausführen lassen und einen Zeitraum für ein geplantes Audit festlegen. Sie können einen Zeitplan für ein bestimmtes Framework und eine bestimmte Ressource nur erstellen, wenn für die Kombination aus Framework und Ressource noch kein aktiver oder pausierter Zeitplan vorhanden ist.

Hinweis

  • Prüfen Sie, ob Sie eine der folgenden IAM-Rollen haben:

    • Audit Manager-Administrator (roles/auditmanager.admin)
    • Audit Manager Auditor (roles/auditmanager.auditor)
    • Compliance Manager-Betrachter (roles/cloudsecuritycompliance.viewer) (erforderlich, wenn Sie ein Framework prüfen, das Sie mit Compliance Manager erstellt haben)
  • Prüfen Sie, ob Ihre Organisation, Ihr Projekt oder Ihr Ordner für die Prüfung registriert wurde.

Audit ausführen

Console

  1. Rufen Sie in der Google Cloud Console in Audit Manager die Seite Run assessment auf.

    Audit Manager aufrufen

  2. Führen Sie im Abschnitt Ressource und Region auswählen die folgenden Schritte aus:

    1. Wählen Sie die Organisation (Vorschau), den Ordner oder das Projekt aus, das geprüft werden muss.

    2. Wählen Sie das Framework aus, anhand dessen Sie Ihre Ressource prüfen möchten. Informationen zu unterstützten Frameworks finden Sie unter Unterstützte Frameworks.

    3. Wählen Sie den Standort aus, an dem die Audit-Bewertung verarbeitet werden muss. Eine Liste der unterstützten Standorte finden Sie unter Audit Manager-Standorte.

    4. Klicken Sie auf Weiter.

  3. Wählen Sie das Framework aus, anhand dessen Sie Ihre Ressource prüfen möchten, und klicken Sie auf Weiter. Informationen zu unterstützten Frameworks finden Sie unter Unterstützte Frameworks.

  4. Optional: Im Abschnitt Bewertungsplan ansehen können Sie eine ODS-Datei herunterladen, die Informationen zum Prüfumfang basierend auf dem ausgewählten Framework enthält. Klicken Sie auf den Link, um die Datei herunterzuladen, und klicken Sie dann auf Weiter.

  5. Wählen Sie im Abschnitt Speicher-Bucket auswählen einen Speicher-Bucket aus, in dem der Prüfbericht und die Nachweise gespeichert werden sollen, und klicken Sie auf Fertig. Wenn Ihr Bucket nicht aufgeführt ist, bitten Sie Ihren Administrator, Ihre Ressource mit Ihrem Speicher-Bucket zu registrieren.

  6. Vorschau: Optional: Legen Sie im Bereich Zeitplan Folgendes fest:

    • Wie oft die Prüfung wiederholt werden soll (täglich, monatlich, vierteljährlich oder jährlich).

    • Der Zeitraum, der in die Prüfung einbezogen werden soll. Wenn Sie Nie endend auswählen, wird die Überprüfung ab dem von Ihnen angegebenen Startdatum fortgesetzt, bis Sie sie manuell beenden.

  7. Klicken Sie auf Audit ausführen oder Geplantes Audit ausführen, um das Audit zu starten.

    Sie können den Prüfstatus auf der Seite Bewertungen ansehen einsehen.

gcloud

Optional: Audit-Bewertung erstellen

Bevor Sie eine tatsächliche Prüfung durchführen, können Sie eine Prüfungsbewertung (oder einen Umfang) erstellen, die eine detaillierte Aufschlüsselung der Aufgaben für die Prüfung basierend auf dem von Ihnen ausgewählten Compliance-Framework enthält.

Mit dem Befehl gcloud audit-manager audit-scopes generate wird ein Prüfbereich generiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Ressourcentyp, der eine Organisation (Vorabversion), ein Ordner oder ein Projekt sein kann. Beispiel: folders oder projects.
  • RESOURCE_ID: Die Ressourcen-ID der Organisation (Vorabversion), des Projekts oder des Ordners. Beispiel: 8767234.
  • LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel: us-central1.
  • FRAMEWORK: die ID des Frameworks, anhand dessen geprüft werden soll. Beispiel: builtin-cis-v8 Die ID eines Frameworks finden Sie in Audit Manager auf der Seite View assessments (Bewertungen ansehen).
  • AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts. Es wird nur das ODF-Format unterstützt: AUDIT_REPORT_FORMAT_ODF.
  • OUTPUT_DIRECTORY: Das Verzeichnis, in dem die Ausgabe gespeichert werden muss. Beispiel: reports
  • OUTPUT_FILENAME: Der Name der Ausgabedatei. Geben Sie die Dateiendung nicht im Dateinamen an. Beispiel:scopeReport.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud audit-manager audit-scopes generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --output-directory=OUTPUT_DIRECTORY \
    --output-file-name=OUTPUT_FILENAME

Windows (PowerShell)

gcloud audit-manager audit-scopes generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --output-directory=OUTPUT_DIRECTORY `
    --output-file-name=OUTPUT_FILENAME

Windows (cmd.exe)

gcloud audit-manager audit-scopes generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --output-directory=OUTPUT_DIRECTORY ^
    --output-file-name=OUTPUT_FILENAME

On-demand-Audit ausführen

Sie können mit der gcloud CLI keine Audits planen (Vorabversion) oder Berichte auf Organisationsebene ausführen (Vorabversion).

Mit dem Befehl gcloud audit-manager audit-reports generate wird eine Prüfung ausgeführt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Ressourcentyp, der eine Organisation (Vorabversion), ein Ordner oder ein Projekt sein kann. Beispiel: folders oder projects.
  • RESOURCE_ID: Die Ressourcen-ID der Organisation (Vorabversion), des Projekts oder des Ordners. Beispiel: 8767234.
  • LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel: us-central1.
  • FRAMEWORK: die ID des Frameworks, anhand dessen geprüft werden soll. Beispiel: builtin-cis-v8 Die ID eines Frameworks finden Sie in Audit Manager auf der Seite View assessments (Bewertungen ansehen).
  • BUCKET_URI: Der URI des Cloud Storage-Bucket. Beispiel: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts. Es wird nur das ODF-Format unterstützt: AUDIT_REPORT_FORMAT_ODF.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud audit-manager audit-reports generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --gcs-uri=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager audit-reports generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --gcs-uri=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager audit-reports generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --gcs-uri=BUCKET_URI

Sie sollten eine Antwort ähnlich der folgenden erhalten:

done: false
name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24

REST

Optional: Audit-Bewertung erstellen

Bevor Sie eine tatsächliche Prüfung durchführen, können Sie eine Prüfungsbewertung (oder einen Umfang) erstellen, die eine detaillierte Aufschlüsselung der Aufgaben für die Prüfung basierend auf dem von Ihnen ausgewählten Compliance-Framework enthält.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Ressourcentyp, der eine Organisation (Vorabversion), ein Ordner oder ein Projekt sein kann. Beispiel: folders oder projects.
  • RESOURCE_ID: Die Ressourcen-ID der Organisation (Vorabversion), des Projekts oder des Ordners. Beispiel: 8767234.
  • LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel: us-central1.
  • FRAMEWORK: die ID des Frameworks, anhand dessen geprüft werden soll. Beispiel: builtin-cis-v8 Die ID eines Frameworks finden Sie in Audit Manager auf der Seite View assessments (Bewertungen ansehen).
  • AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts. Es wird nur das ODF-Format unterstützt: AUDIT_REPORT_FORMAT_ODF.

HTTP-Methode und URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate

JSON-Text der Anfrage:


{
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{

  "scope_report_contents" : "980u43nrf090834uhbkfehf......"
  "name" : "folders/8767234/locations/us-west"
}

Die Antwort enthält die folgenden Informationen:

    Das Feld scope_reports_contents enthält das Byte-Format des Inhalts, das vor der Überprüfung in das ODF-Format konvertiert werden muss.

  • name: Eine eindeutige String-Kennung der entsprechenden Ressource.

On-demand-Audit ausführen

Sie können keinen Auditlauf (Vorabversion) mit REST APIs planen.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Ressourcentyp, der eine Organisation (Vorabversion), ein Ordner oder ein Projekt sein kann. Beispiel: folders oder projects.
  • RESOURCE_ID: Die Ressourcen-ID der Organisation (Vorabversion), des Projekts oder des Ordners. Beispiel: 8767234.
  • LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel: us-central1.
  • FRAMEWORK: die ID des Frameworks, anhand dessen geprüft werden soll. Beispiel: builtin-cis-v8 Die ID eines Frameworks finden Sie in Audit Manager auf der Seite View assessments (Bewertungen ansehen).
  • BUCKET_URI: Der URI des Cloud Storage-Bucket. Beispiel: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts. Es wird nur das ODF-Format unterstützt: AUDIT_REPORT_FORMAT_ODF.

HTTP-Methode und URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate

JSON-Text der Anfrage:


{
  "destination" : {
    "gcs_uri" : "BUCKET_URI"
  },
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "organizations/834/projects/10398413/locations/987234/operations/098234",
  "done": false
}

Die Antwort enthält die folgenden Informationen:

  • name: Eine eindeutige String-Kennung der Anfrage für die Überprüfung. Diese Kennung wird verwendet, um den Fortschritt des Audit-Bewertungsprozesses zu verfolgen. Beispiel: operation/098234
  • done: Ein boolesches Flag, das auf false gesetzt ist und angibt, dass der Prozess ausgelöst wurde. Dieser Wert wird auf true gesetzt, wenn die Prüfung abgeschlossen ist.

Geplante Audits aktualisieren

Sie können wiederkehrende Prüfungen pausieren, fortsetzen und beenden. Wenn Sie den Zeitplan ändern möchten, müssen Sie die vorhandene geplante Prüfung löschen und dann eine neue geplante Prüfung erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Audit-Verwaltung in Audit Manager auf.

    Audit Manager aufrufen

  2. Suchen Sie auf dem Tab Zeitpläne nach der geplanten Prüfung, die Sie aktualisieren möchten.

  3. Führen Sie einen der folgenden Schritte aus:

    • Wenn Sie einen Prüfzeitplan pausieren möchten, klicken Sie auf  Zeitplan pausieren.

    • Wenn Sie eine pausierte Überprüfung neu starten möchten, klicken Sie auf  Zeitplan fortsetzen.

    • Wenn Sie einen geplanten Audit löschen möchten, klicken Sie auf  Zeitplan beenden.

Nächste Schritte