在 Google Cloud 中執行法規遵循稽核

執行稽核作業,收集評估貴機構是否符合支援架構所需的證據。Google Cloud

稽核作業是長時間執行的作業,可能需要幾小時才能完成。稽核範圍內的資源數量會影響稽核時間長度,稽核範圍是您先前註冊的專案或資料夾。

事前準備

  • 請確認您具備下列任一 IAM 角色:

    • Audit Manager 管理員 (roles/auditmanager.admin)
    • Audit Manager 稽核員 (roles/auditmanager.auditor)
    • 法規遵循管理工具檢視者 (roles/cloudsecuritycompliance.viewer) (如果您要稽核使用法規遵循管理工具建立的架構,則必須具備這項角色)
  • 確認專案或資料夾已註冊稽核。

執行稽核

控制台

  1. 前往 Google Cloud 控制台的 Audit Manager「執行評估」頁面。

    前往稽核管理工具

  2. 在「選擇資源和區域」部分,執行下列操作:

    1. 選取要稽核的專案或資料夾。

    2. 選取稽核評估的處理位置。如需支援的地點清單,請參閱「Audit Manager 地點」。

    3. 點選「下一步」

  3. 選取要用來稽核資源的架構,然後按一下「下一步」。如要瞭解支援的架構,請參閱「支援的架構」。

  4. 選用:在「查看評估計畫」部分,您可以下載 ODS 檔案,其中包含根據所選架構的稽核範圍資訊。如要下載檔案,請按一下連結,然後點選「下一步」

  5. 在「選擇儲存空間 bucket」部分,選取要儲存稽核報告和證據的儲存空間 bucket,然後按一下「完成」。如果沒有看到所需值區,請要求管理員註冊資源,並連結至儲存空間值區。

  6. 如要開始稽核,請按一下「執行稽核」

    您可以在「查看評估」頁面查看稽核狀態。

gcloud

選用:產生稽核評估

執行實際稽核前,您可以產生稽核評估 (或範圍),其中包含根據所選法規遵循架構,詳細列出稽核作業的細目。

gcloud audit-manager audit-scopes generate 指令會產生稽核範圍。

使用下方的任何指令資料之前,請先替換以下項目:

  • RESOURCE_TYPE:資源類型,可以是專案或資料夾。例如:foldersprojects
  • RESOURCE_ID:專案或資料夾的資源 ID。例如:8767234
  • LOCATION:Audit Manager API 端點的位置。如需可用端點清單,請參閱「稽核管理員位置」。例如:us-central1
  • FRAMEWORK:要稽核的架構 ID。例如:builtin-cis-v8。如要尋找架構 ID,請前往稽核管理工具的「查看評估」頁面。
  • AUDIT_REPORT_FORMAT:輸出稽核報告的格式。 僅支援 ODF 格式:AUDIT_REPORT_FORMAT_ODF
  • OUTPUT_DIRECTORY:必須儲存輸出內容的目錄。例如:reports
  • OUTPUT_FILENAME:輸出檔案的名稱。檔案名稱請勿包含副檔名。例如:scopeReport

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud audit-manager audit-scopes generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --output-directory=OUTPUT_DIRECTORY \
    --output-file-name=OUTPUT_FILENAME

Windows (PowerShell)

gcloud audit-manager audit-scopes generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --output-directory=OUTPUT_DIRECTORY `
    --output-file-name=OUTPUT_FILENAME

Windows (cmd.exe)

gcloud audit-manager audit-scopes generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --output-directory=OUTPUT_DIRECTORY ^
    --output-file-name=OUTPUT_FILENAME

執行隨選稽核

gcloud audit-manager audit-reports generate 指令會執行稽核。

使用下方的任何指令資料之前,請先替換以下項目:

  • RESOURCE_TYPE:資源類型,可以是專案或資料夾。例如:foldersprojects
  • RESOURCE_ID:專案或資料夾的資源 ID。例如:8767234
  • LOCATION:Audit Manager API 端點的位置。如需可用端點清單,請參閱「稽核管理員位置」。例如:us-central1
  • FRAMEWORK:要稽核的架構 ID。例如:builtin-cis-v8。如要尋找架構 ID,請前往稽核管理工具的「查看評估」頁面。
  • BUCKET_URI:Cloud Storage bucket 的 URI。例如: gs://testbucketauditmanager
  • AUDIT_REPORT_FORMAT:輸出稽核報告的格式。 僅支援 ODF 格式:AUDIT_REPORT_FORMAT_ODF

執行下列指令:

Linux、macOS 或 Cloud Shell

gcloud audit-manager audit-reports generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --gcs-uri=BUCKET_URI

Windows (PowerShell)

gcloud audit-manager audit-reports generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --gcs-uri=BUCKET_URI

Windows (cmd.exe)

gcloud audit-manager audit-reports generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --gcs-uri=BUCKET_URI

您應該會收到類似以下的回應:

done: false
name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24

REST

選用:產生稽核評估

執行實際稽核前,您可以產生稽核評估 (或範圍),其中包含根據所選法規遵循架構,詳細列出稽核作業的細目。

使用任何要求資料之前,請先修改下列項目的值:

  • RESOURCE_TYPE:資源類型,可以是專案或資料夾。例如:foldersprojects
  • RESOURCE_ID:專案或資料夾的資源 ID。例如:8767234
  • LOCATION:Audit Manager API 端點的位置。如需可用端點清單,請參閱「稽核管理員位置」。例如:us-central1
  • FRAMEWORK:要稽核的架構 ID。例如:builtin-cis-v8。如要尋找架構 ID,請前往稽核管理工具的「查看評估」頁面。
  • AUDIT_REPORT_FORMAT:輸出稽核報告的格式。 僅支援 ODF 格式:AUDIT_REPORT_FORMAT_ODF

HTTP 方法和網址:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate

JSON 要求內文:


{
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

如要傳送要求,請選擇以下其中一個選項:

curl

將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"

PowerShell

將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content

您應該會收到如下的 JSON 回覆:

{

  "scope_report_contents" : "980u43nrf090834uhbkfehf......"
  "name" : "folders/8767234/locations/us-west"
}

回應包含下列資訊:

    scope_reports_contents 欄位是內容的位元組格式,必須先轉換為 ODF 格式才能審查。

  • name:適用資源的專屬字串 ID。

執行隨選稽核

使用任何要求資料之前,請先修改下列項目的值:

  • RESOURCE_TYPE:資源類型,可以是專案或資料夾。例如:foldersprojects
  • RESOURCE_ID:專案或資料夾的資源 ID。例如:8767234
  • LOCATION:Audit Manager API 端點的位置。如需可用端點清單,請參閱「稽核管理員位置」。例如:us-central1
  • FRAMEWORK:要稽核的架構 ID。例如:builtin-cis-v8。如要尋找架構 ID,請前往稽核管理工具的「查看評估」頁面。
  • BUCKET_URI:Cloud Storage bucket 的 URI。例如: gs://testbucketauditmanager
  • AUDIT_REPORT_FORMAT:輸出稽核報告的格式。 僅支援 ODF 格式:AUDIT_REPORT_FORMAT_ODF

HTTP 方法和網址:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate

JSON 要求內文:


{
  "destination" : {
    "gcs_uri" : "BUCKET_URI"
  },
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

如要傳送要求,請選擇以下其中一個選項:

curl

將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"

PowerShell

將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content

您應該會收到如下的 JSON 回覆:

{
  "name": "organizations/834/projects/10398413/locations/987234/operations/098234",
  "done": false
}

回應包含下列資訊:

  • name:稽核評估作業要求的專屬字串 ID。 這個 ID 用於追蹤稽核評估程序的進度。例如:operation/098234
  • done:設為 false 的布林值標記,表示已觸發程序。稽核評估完成時,這項屬性會設為 true

後續步驟