Complianceprüfung in Google Cloud ausführen

Führen Sie Audits durch, um die erforderlichen Nachweise zu sammeln, mit denen Sie IhreGoogle Cloud -Organisation anhand unterstützter Frameworks bewerten können.

Eine Prüfung ist ein Vorgang mit langer Ausführungszeit, der einige Stunden dauern kann. Die Dauer hängt von der Anzahl der Ressourcen im Prüfbereich ab. Das ist das Projekt oder der Ordner, das bzw. den Sie zuvor registriert haben.

Hinweis

  • Prüfen Sie, ob Sie eine der folgenden IAM-Rollen haben:

    • Audit Manager-Administrator (roles/auditmanager.admin)
    • Audit Manager Auditor (roles/auditmanager.auditor)
    • Compliance Manager-Betrachter (roles/cloudsecuritycompliance.viewer) (erforderlich, wenn Sie ein Framework prüfen, das Sie mit Compliance Manager erstellt haben)
  • Prüfen Sie, ob Ihr Projekt oder Ordner für die Prüfung registriert wurde.

Audit ausführen

Console

  1. Rufen Sie in der Google Cloud Console in Audit Manager die Seite Run assessment auf.

    Audit Manager aufrufen

  2. Führen Sie im Abschnitt Ressource und Region auswählen die folgenden Schritte aus:

    1. Wählen Sie das Projekt oder den Ordner aus, das bzw. der geprüft werden soll.

    2. Wählen Sie den Standort aus, an dem die Audit-Bewertung verarbeitet werden muss. Eine Liste der unterstützten Standorte finden Sie unter Audit Manager-Standorte.

    3. Klicken Sie auf Weiter.

  3. Wählen Sie das Framework aus, anhand dessen Sie Ihre Ressource prüfen möchten, und klicken Sie auf Weiter. Informationen zu unterstützten Frameworks finden Sie unter Unterstützte Frameworks.

  4. Optional: Im Abschnitt Bewertungsplan ansehen können Sie eine ODS-Datei herunterladen, die Informationen zum Prüfumfang basierend auf dem ausgewählten Framework enthält. Klicken Sie auf den Link, um die Datei herunterzuladen, und klicken Sie dann auf Weiter.

  5. Wählen Sie im Abschnitt Speicher-Bucket auswählen einen Speicher-Bucket aus, in dem der Prüfbericht und die Nachweise gespeichert werden sollen, und klicken Sie auf Fertig. Wenn Ihr Bucket nicht aufgeführt ist, bitten Sie Ihren Administrator, Ihre Ressource mit Ihrem Speicher-Bucket zu registrieren.

  6. Klicken Sie auf Prüfung ausführen, um die Prüfung zu starten.

    Sie können den Prüfstatus auf der Seite Bewertungen ansehen einsehen.

gcloud

Optional: Audit-Bewertung erstellen

Bevor Sie eine tatsächliche Prüfung durchführen, können Sie eine Prüfungsbewertung (oder einen Umfang) erstellen, die eine detaillierte Aufschlüsselung der Aufgaben für die Prüfung basierend auf dem von Ihnen ausgewählten Compliance-Framework enthält.

Mit dem Befehl gcloud audit-manager audit-scopes generate wird ein Prüfbereich generiert.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Ressourcentyp, entweder ein Projekt oder ein Ordner. Beispiel: folders oder projects
  • RESOURCE_ID: die Ressourcen-ID des Projekts oder Ordners. Beispiel: 8767234
  • LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel: us-central1.
  • FRAMEWORK: die ID des Frameworks, anhand dessen geprüft werden soll. Beispiel: builtin-cis-v8 Die ID eines Frameworks finden Sie in Audit Manager auf der Seite View assessments (Bewertungen ansehen).
  • AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts. Es wird nur das ODF-Format unterstützt: AUDIT_REPORT_FORMAT_ODF.
  • OUTPUT_DIRECTORY: Das Verzeichnis, in dem die Ausgabe gespeichert werden muss. Beispiel: reports
  • OUTPUT_FILENAME: Der Name der Ausgabedatei. Geben Sie die Dateiendung nicht im Dateinamen an. Beispiel:scopeReport.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud audit-manager audit-scopes generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --output-directory=OUTPUT_DIRECTORY \
    --output-file-name=OUTPUT_FILENAME

Windows (PowerShell)

gcloud audit-manager audit-scopes generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --output-directory=OUTPUT_DIRECTORY `
    --output-file-name=OUTPUT_FILENAME

Windows (cmd.exe)

gcloud audit-manager audit-scopes generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --output-directory=OUTPUT_DIRECTORY ^
    --output-file-name=OUTPUT_FILENAME

On-demand-Audit ausführen

Mit dem Befehl gcloud audit-manager audit-reports generate wird eine Prüfung ausgeführt.

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • RESOURCE_TYPE: Der Ressourcentyp, entweder ein Projekt oder ein Ordner. Beispiel: folders oder projects
  • RESOURCE_ID: die Ressourcen-ID des Projekts oder Ordners. Beispiel: 8767234
  • LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel: us-central1.
  • FRAMEWORK: die ID des Frameworks, anhand dessen geprüft werden soll. Beispiel: builtin-cis-v8 Die ID eines Frameworks finden Sie in Audit Manager auf der Seite View assessments (Bewertungen ansehen).
  • BUCKET_URI: Der URI des Cloud Storage-Bucket. Beispiel: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts. Es wird nur das ODF-Format unterstützt: AUDIT_REPORT_FORMAT_ODF.

Führen Sie folgenden Befehl aus:

Linux, macOS oder Cloud Shell

gcloud audit-manager audit-reports generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --gcs-uri=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager audit-reports generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --gcs-uri=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager audit-reports generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --gcs-uri=BUCKET_URI

Sie sollten eine Antwort ähnlich der folgenden erhalten:

done: false
name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24

REST

Optional: Audit-Bewertung erstellen

Bevor Sie eine tatsächliche Prüfung durchführen, können Sie eine Prüfungsbewertung (oder einen Umfang) erstellen, die eine detaillierte Aufschlüsselung der Aufgaben für die Prüfung basierend auf dem von Ihnen ausgewählten Compliance-Framework enthält.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Ressourcentyp, entweder ein Projekt oder ein Ordner. Beispiel: folders oder projects
  • RESOURCE_ID: die Ressourcen-ID des Projekts oder Ordners. Beispiel: 8767234
  • LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel: us-central1.
  • FRAMEWORK: die ID des Frameworks, anhand dessen geprüft werden soll. Beispiel: builtin-cis-v8 Die ID eines Frameworks finden Sie in Audit Manager auf der Seite View assessments (Bewertungen ansehen).
  • AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts. Es wird nur das ODF-Format unterstützt: AUDIT_REPORT_FORMAT_ODF.

HTTP-Methode und URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate

JSON-Text der Anfrage:


{
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{

  "scope_report_contents" : "980u43nrf090834uhbkfehf......"
  "name" : "folders/8767234/locations/us-west"
}

Die Antwort enthält die folgenden Informationen:

    Das Feld scope_reports_contents enthält das Byte-Format des Inhalts, das vor der Überprüfung in das ODF-Format konvertiert werden muss.

  • name: Eine eindeutige String-Kennung der entsprechenden Ressource.

On-demand-Audit ausführen

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • RESOURCE_TYPE: Der Ressourcentyp, entweder ein Projekt oder ein Ordner. Beispiel: folders oder projects
  • RESOURCE_ID: die Ressourcen-ID des Projekts oder Ordners. Beispiel: 8767234
  • LOCATION: Der Speicherort des Audit Manager API-Endpunkt. Eine Liste der verfügbaren Endpunkte finden Sie unter Audit Manager-Standorte. Beispiel: us-central1.
  • FRAMEWORK: die ID des Frameworks, anhand dessen geprüft werden soll. Beispiel: builtin-cis-v8 Die ID eines Frameworks finden Sie in Audit Manager auf der Seite View assessments (Bewertungen ansehen).
  • BUCKET_URI: Der URI des Cloud Storage-Bucket. Beispiel: gs://testbucketauditmanager.
  • AUDIT_REPORT_FORMAT: Das Format des ausgegebenen Auditberichts. Es wird nur das ODF-Format unterstützt: AUDIT_REPORT_FORMAT_ODF.

HTTP-Methode und URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate

JSON-Text der Anfrage:


{
  "destination" : {
    "gcs_uri" : "BUCKET_URI"
  },
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "organizations/834/projects/10398413/locations/987234/operations/098234",
  "done": false
}

Die Antwort enthält die folgenden Informationen:

  • name: Eine eindeutige String-Kennung der Anfrage für die Überprüfung. Diese Kennung wird verwendet, um den Fortschritt des Audit-Bewertungsprozesses zu verfolgen. Beispiel: operation/098234
  • done: Ein boolesches Flag, das auf false gesetzt ist und angibt, dass der Prozess ausgelöst wurde. Dieser Wert wird auf true gesetzt, wenn die Prüfung abgeschlossen ist.

Nächste Schritte