執行稽核作業,收集評估貴機構是否符合支援架構所需的證據。Google Cloud
稽核作業是長時間執行的作業,可能需要幾小時才能完成。稽核範圍內的資源數量會影響稽核時間長度,稽核範圍是您先前註冊的專案或資料夾。
事前準備
請確認您具備下列任一 IAM 角色:
- Audit Manager 管理員 (
roles/auditmanager.admin) - Audit Manager 稽核員 (
roles/auditmanager.auditor) - 法規遵循管理工具檢視者
(
roles/cloudsecuritycompliance.viewer) (如果您要稽核使用法規遵循管理工具建立的架構,則必須具備這項角色)
- Audit Manager 管理員 (
確認專案或資料夾已註冊稽核。
執行稽核
控制台
前往 Google Cloud 控制台的 Audit Manager「執行評估」頁面。
在「選擇資源和區域」部分,執行下列操作:
選取要稽核的專案或資料夾。
選取稽核評估的處理位置。如需支援的地點清單,請參閱「Audit Manager 地點」。
點選「下一步」。
選取要用來稽核資源的架構,然後按一下「下一步」。如要瞭解支援的架構,請參閱「支援的架構」。
選用:在「查看評估計畫」部分,您可以下載 ODS 檔案,其中包含根據所選架構的稽核範圍資訊。如要下載檔案,請按一下連結,然後點選「下一步」。
在「選擇儲存空間 bucket」部分,選取要儲存稽核報告和證據的儲存空間 bucket,然後按一下「完成」。如果沒有看到所需值區,請要求管理員註冊資源,並連結至儲存空間值區。
如要開始稽核,請按一下「執行稽核」。
您可以在「查看評估」頁面查看稽核狀態。
gcloud
選用:產生稽核評估
執行實際稽核前,您可以產生稽核評估 (或範圍),其中包含根據所選法規遵循架構,詳細列出稽核作業的細目。
gcloud audit-manager audit-scopes generate 指令會產生稽核範圍。
使用下方的任何指令資料之前,請先替換以下項目:
- RESOURCE_TYPE:資源類型,可以是專案或資料夾。例如:
folders或projects。 - RESOURCE_ID:專案或資料夾的資源 ID。例如:
8767234。 - LOCATION:Audit Manager API 端點的位置。如需可用端點清單,請參閱「稽核管理員位置」。例如:
us-central1。 - FRAMEWORK:要稽核的架構 ID。例如:
builtin-cis-v8。如要尋找架構 ID,請前往稽核管理工具的「查看評估」頁面。 - AUDIT_REPORT_FORMAT:輸出稽核報告的格式。
僅支援 ODF 格式:
AUDIT_REPORT_FORMAT_ODF。 - OUTPUT_DIRECTORY:必須儲存輸出內容的目錄。例如:
reports。 - OUTPUT_FILENAME:輸出檔案的名稱。檔案名稱請勿包含副檔名。例如:
scopeReport。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud audit-manager audit-scopes generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --output-directory=OUTPUT_DIRECTORY \ --output-file-name=OUTPUT_FILENAME
Windows (PowerShell)
gcloud audit-manager audit-scopes generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --output-directory=OUTPUT_DIRECTORY ` --output-file-name=OUTPUT_FILENAME
Windows (cmd.exe)
gcloud audit-manager audit-scopes generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --output-directory=OUTPUT_DIRECTORY ^ --output-file-name=OUTPUT_FILENAME
執行隨選稽核
gcloud audit-manager audit-reports generate 指令會執行稽核。
使用下方的任何指令資料之前,請先替換以下項目:
- RESOURCE_TYPE:資源類型,可以是專案或資料夾。例如:
folders或projects。 - RESOURCE_ID:專案或資料夾的資源 ID。例如:
8767234。 - LOCATION:Audit Manager API 端點的位置。如需可用端點清單,請參閱「稽核管理員位置」。例如:
us-central1。 - FRAMEWORK:要稽核的架構 ID。例如:
builtin-cis-v8。如要尋找架構 ID,請前往稽核管理工具的「查看評估」頁面。 - BUCKET_URI:Cloud Storage bucket 的 URI。例如:
gs://testbucketauditmanager。 - AUDIT_REPORT_FORMAT:輸出稽核報告的格式。
僅支援 ODF 格式:
AUDIT_REPORT_FORMAT_ODF。
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud audit-manager audit-reports generate \ --RESOURCE_TYPE=RESOURCE_ID \ --location=LOCATION \ --compliance-framework=FRAMEWORK \ --report-format=AUDIT_REPORT_FORMAT \ --gcs-uri=BUCKET_URI
Windows (PowerShell)
gcloud audit-manager audit-reports generate ` --RESOURCE_TYPE=RESOURCE_ID ` --location=LOCATION ` --compliance-framework=FRAMEWORK ` --report-format=AUDIT_REPORT_FORMAT ` --gcs-uri=BUCKET_URI
Windows (cmd.exe)
gcloud audit-manager audit-reports generate ^ --RESOURCE_TYPE=RESOURCE_ID ^ --location=LOCATION ^ --compliance-framework=FRAMEWORK ^ --report-format=AUDIT_REPORT_FORMAT ^ --gcs-uri=BUCKET_URI
您應該會收到類似以下的回應:
done: false name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24
REST
選用:產生稽核評估
執行實際稽核前,您可以產生稽核評估 (或範圍),其中包含根據所選法規遵循架構,詳細列出稽核作業的細目。
使用任何要求資料之前,請先修改下列項目的值:
- RESOURCE_TYPE:資源類型,可以是專案或資料夾。例如:
folders或projects。 - RESOURCE_ID:專案或資料夾的資源 ID。例如:
8767234。 - LOCATION:Audit Manager API 端點的位置。如需可用端點清單,請參閱「稽核管理員位置」。例如:
us-central1。 - FRAMEWORK:要稽核的架構 ID。例如:
builtin-cis-v8。如要尋找架構 ID,請前往稽核管理工具的「查看評估」頁面。 - AUDIT_REPORT_FORMAT:輸出稽核報告的格式。
僅支援 ODF 格式:
AUDIT_REPORT_FORMAT_ODF。
HTTP 方法和網址:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate
JSON 要求內文:
{
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
如要傳送要求,請選擇以下其中一個選項:
curl
將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"
PowerShell
將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content
您應該會收到如下的 JSON 回覆:
{
"scope_report_contents" : "980u43nrf090834uhbkfehf......"
"name" : "folders/8767234/locations/us-west"
}
回應包含下列資訊:
name:適用資源的專屬字串 ID。
scope_reports_contents 欄位是內容的位元組格式,必須先轉換為 ODF 格式才能審查。
執行隨選稽核
使用任何要求資料之前,請先修改下列項目的值:
- RESOURCE_TYPE:資源類型,可以是專案或資料夾。例如:
folders或projects。 - RESOURCE_ID:專案或資料夾的資源 ID。例如:
8767234。 - LOCATION:Audit Manager API 端點的位置。如需可用端點清單,請參閱「稽核管理員位置」。例如:
us-central1。 - FRAMEWORK:要稽核的架構 ID。例如:
builtin-cis-v8。如要尋找架構 ID,請前往稽核管理工具的「查看評估」頁面。 - BUCKET_URI:Cloud Storage bucket 的 URI。例如:
gs://testbucketauditmanager。 - AUDIT_REPORT_FORMAT:輸出稽核報告的格式。
僅支援 ODF 格式:
AUDIT_REPORT_FORMAT_ODF。
HTTP 方法和網址:
POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate
JSON 要求內文:
{
"destination" : {
"gcs_uri" : "BUCKET_URI"
},
"compliance_framework" : "FRAMEWORK"
"report_format" : "AUDIT_REPORT_FORMAT"
}
如要傳送要求,請選擇以下其中一個選項:
curl
將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"
PowerShell
將要求主體儲存在名為 request.json 的檔案中,然後執行下列指令:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content
您應該會收到如下的 JSON 回覆:
{
"name": "organizations/834/projects/10398413/locations/987234/operations/098234",
"done": false
}
回應包含下列資訊:
name:稽核評估作業要求的專屬字串 ID。 這個 ID 用於追蹤稽核評估程序的進度。例如:operation/098234。done:設為false的布林值標記,表示已觸發程序。稽核評估完成時,這項屬性會設為true。