本頁說明如何使用 Policy Controller 資訊主頁,查看政策涵蓋範圍和叢集違規情形。
本頁內容適用於 IT 管理員和作業人員,他們希望透過提供及維護自動化稽核或強制執行功能,確保雲端平台中執行的所有資源符合機構的法規遵循規定,並設定快訊及監控 IT 系統的效能和安全漏洞。如要進一步瞭解我們在 Google Cloud 內容中提及的常見角色和範例工作,請參閱「常見的 GKE 使用者角色和工作」。
透過 Google Cloud 控制台查看資訊主頁,瞭解政策涵蓋範圍。資訊主頁會顯示下列資訊:
- 機群中已安裝 Policy Controller 的叢集數量 (包括未註冊的叢集)。
- 已安裝 Policy Controller 且含有違規政策的叢集數量。
- 每個強制執行動作套用至叢集的限制數量。
如果您使用 Policy Controller 套裝組合,可以根據一或多個套裝組合中的標準,查看法規遵循情況總覽。這份總覽會匯總機群層級的資料,並納入未註冊的叢集 (預先發布版)。
事前準備
請確認叢集已註冊至機群,且已安裝 Policy Controller。
如要取得使用 Policy Controller 資訊主頁所需的權限,請要求管理員授予下列 IAM 角色:
- 機群所在專案的 GKE Hub 檢視者 (
roles/gkehub.viewer) - 在機群中含有叢集的每個專案中,都具有 Monitoring 檢視者 (
roles/monitoring.viewer) 角色
如要進一步瞭解如何授予角色,請參閱「管理存取權」。
- 機群所在專案的 GKE Hub 檢視者 (
查看 Policy Controller 狀態
您可以在 Google Cloud 控制台查看保險涵蓋範圍資訊。
-
在 Google Cloud 控制台的「防護機制管理」專區,前往「政策」頁面。
在「資訊主頁」分頁中,查看 Policy Controller 涵蓋範圍總覽,包括下列資訊:
如要查看叢集中違反政策的詳細資訊,請前往「違規」分頁:
在「查看依據」部分,選取下列任一選項:
- 限制條件:查看叢集中所有違規限制條件的平面清單。
- 命名空間:查看違反限制的項目,並依含有違規資源的命名空間整理。
- 資源類型:查看違規限制,並依違規資源分類。
在任一檢視畫面中,選取要查看的限制名稱。
「詳細資料」分頁會顯示違規資訊,包括解決問題的應變措施建議。
「受影響的資源」分頁會顯示哪些資源受到限制條件評估,以及哪些資源違反政策。
在 Security Command Center 查看政策發現項目
安裝 Policy Controller 後,您可以在 Security Command Center 中查看違規政策。 您可以在同一處查看 Google Cloud 資源和 Kubernetes 資源的安全防護機制。您必須在貴機構中啟用 Security Command Center,並使用 Standard 或 Premium 方案。
在 Security Command Center 中,違反政策的事件會顯示為 Misconfiguration 發現項目。每項發現項目 的類別和後續步驟,與限制條件說明和修復步驟相同。
如要進一步瞭解如何在 Security Command Center 中使用 Policy Controller,請參閱「Policy Controller 安全漏洞發現項目」。