Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengelola framework

Framework Compliance Manager terdiri dari kontrol cloud yang membantu Anda memenuhi persyaratan keamanan dan peraturan untuk organisasi atau project di lingkungan cloud Anda. Penerapan framework adalah proses dua langkah. Pertama, Anda harus mengidentifikasi kontrol cloud yang selaras dengan kewajiban keamanan dan kepatuhan bisnis Anda. Kemudian, Anda men-deploy framework yang menyertakan kontrol cloud tersebut ke organisasi, folder, atau project yang sesuai di Google Cloud. Halaman ini membantu Anda menyelesaikan langkah-langkah berikut:

Menilai framework bawaan mana yang paling sesuai dengan persyaratan peraturan dan keamanan Anda. Anda dapat membuat framework kustom sendiri, tetapi sebaiknya mulai dengan framework bawaan.
Menentukan kontrol cloud bawaan mana yang sesuai dengan persyaratan bisnis Anda.
(Khusus tingkat Premium dan Enterprise) Anda dapat membuat kontrol cloud kustom, jika diperlukan.
Menentukan apakah akan men-deploy framework ke Google Cloud organisasi Anda, atau ke folder dan project tertentu. Anda hanya dapat men-deploy satu framework ke setiap organisasi, folder, atau project. Compliance Manager mendukung folder yang dikonfigurasi untuk pengelolaan aplikasi.
Menyalin framework yang ada dan mengubahnya agar sesuai dengan persyaratan Anda. Jika diperlukan, Anda dapat membuat framework kustom.

Catatan: Tingkat Standar hanya mendukung framework Security Essentials. Framework bawaan lainnya memerlukan tingkat Premium atau Enterprise. Untuk mengetahui informasi selengkapnya, lihat Framework untuk Google Cloud.
Men-deploy framework di organisasi, folder, atau project yang sesuai.

Sebelum memulai

Untuk mendapatkan izin yang Anda perlukan untuk menerapkan framework, minta administrator untuk memberi Anda peran IAM berikut di organisasi atau project Anda:
- Compliance Manager Admin (roles/cloudsecuritycompliance.admin)
- Untuk melihat dasbor temuan: Compliance Manager Viewer (roles/cloudsecuritycompliance.viewer)
- Untuk men-deploy framework yang menyertakan kontrol cloud yang didasarkan pada kebijakan organisasi, salah satu dari:
  - Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin)
  - Administrator Assured Workloads (roles/assuredworkloads.admin)
  - Editor Assured Workloads (roles/assuredworkloads.editor)
- (Khusus tingkat organisasi) Untuk membuat folder saat men-deploy framework, salah satu dari:
  - Folder Admin (roles/resourcemanager.folderAdmin)
  - Folder Creator (roles/resourcemanager.folderCreator)
- (Khusus tingkat organisasi) Untuk membuat project saat men-deploy framework, semua dari:
  - Project Billing Manager (roles/billing.projectManager)
  - Project Creator (roles/resourcemanager.projectCreator)
  - Project Deleter (roles/resourcemanager.projectDeleter)
- Untuk menetapkan framework Data Security Posture Management (DSPM) ke aplikasi App Hub, semua dari: App Hub Viewer (roles/apphub.viewer)
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.
Peran untuk men-deploy framework dengan kebijakan organisasi berisi izin yang diperlukan orgpolicy.policies.create, orgpolicy.policies.update, dan orgpolicy.policies.get.

Untuk deployment tingkat organisasi, peran untuk membuat folder berisi izin yang diperlukan resourcemanager.folders.get, resourcemanager.folders.create, dan resourcemanager.folders.delete.

Untuk deployment tingkat organisasi, peran untuk membuat project berisi izin yang diperlukan resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete, dan resourcemanager.projects.createBillingAssignment.

Peran untuk menetapkan framework DSPM ke aplikasi berisi izin apphub.locations.list, apphub.applications.list dan apphub.applications.get yang diperlukan.
Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Melihat framework

Selesaikan langkah-langkah berikut untuk melihat konfigurasi framework bawaan atau framework lain yang telah Anda buat.

DI Google Cloud konsol, buka halaman Compliance.

Buka Kepatuhan
Pilih organisasi atau project Anda.
Untuk melihat semua framework yang tersedia, klik tab Configure.

Dasbor menampilkan framework yang tersedia, deskripsi singkat, platform dan tingkat yang didukung, serta resource yang telah diterapkan framework.

Catatan: Jika Anda berada di tingkat Standar, Anda dapat melihat framework Premium dan Enterprise di dasbor, tetapi Anda tidak dapat men-deploy-nya.
Untuk melihat detail tentang framework tertentu, klik nama framework.

Membuat framework

Setelah menentukan kontrol cloud mana yang berlaku untuk resource dalam organisasi Anda atau folder atau project tertentu, Anda dapat membuat framework. Anda dapat membuat framework kustom atau menyalin framework yang ada dan mengubahnya. Saat Anda menyalin framework, framework tersebut akan menyertakan rilis terbaru dari kontrol cloud bawaan.

DI Google Cloud konsol, buka halaman Compliance.

Buka Kepatuhan
Pilih organisasi atau project Anda.
Di tab Configure, klik Create custom framework.
Selesaikan salah satu hal berikut:
- Untuk menggunakan framework yang ada, selesaikan langkah-langkah berikut:
  1. Pilih Start from an existing framework.
  2. Pilih framework yang ingin Anda salin.
  3. Klik Add.
- Untuk membuat framework kustom, pilih Start new.
Catatan: Di tingkat Standar, Anda hanya dapat menyalin framework Security Essentials. Di tingkat Premium dan Enterprise, Anda dapat membuat framework kustom atau menggunakan framework bawaan yang tersedia.
Masukkan nama, ID unik, dan deskripsi untuk framework Anda. Klik Continue.

Jika Anda menyalin framework yang ada, daftar kontrol cloud yang merupakan bagian dari framework yang ada akan ditampilkan.
Untuk menambahkan kontrol cloud yang Anda perlukan, selesaikan langkah-langkah berikut:
- Untuk menambahkan kontrol cloud yang ada, klik Add Cloud Controls. Pilih semua kontrol cloud yang Anda perlukan, lalu klik Add.
  
  Saat Anda menambahkan kontrol, verifikasi jenis kontrol (detektif, pencegahan, atau audit) dari kontrol tersebut. Perhatikan bahwa kontrol pencegahan dan audit hanya tersedia di tingkat Premium dan Enterprise. Jangan sertakan kontrol khusus audit dalam framework yang ingin Anda gunakan untuk memantau lingkungan dan mendeteksi pelanggaran. Anda tidak dapat men-deploy framework yang menyertakan kontrol khusus audit.
- (Khusus tingkat Premium dan Enterprise) Untuk membuat kontrol cloud kustom, klik Create custom cloud control. Untuk mengetahui petunjuknya, lihat Membuat kontrol cloud kustom.
Klik Continue.
Tambahkan parameter tambahan yang diperlukan oleh kontrol cloud.

Misalnya, jika Anda ingin mengaktifkan kontrol cloud Data Security Posture Management (DSPM) seperti kontrol cloud Data access governance, tentukan lokasi yang harus digunakan oleh principal. Untuk mengetahui informasi selengkapnya tentang kontrol Data Security Posture Management, lihat Kontrol cloud Data access governance control.
Klik Create.

Men-deploy framework

Deploy framework ke organisasi, folder, atau project sehingga Anda dapat mengontrol dan memantau resource tersebut menggunakan kontrol cloud framework. Anda dapat men-deploy beberapa framework ke setiap organisasi, folder, atau project. Jika Anda men-deploy framework yang hanya menyertakan kontrol cloud keamanan data lanjutan, Anda dapat men-deploy framework ke aplikasi App Hub di folder yang dikonfigurasi untuk pengelolaan aplikasi.

Folder dan project mewarisi framework melalui Google Cloud hierarki resource. Oleh karena itu, jika Anda men-deploy framework di tingkat organisasi dan di tingkat project, semua kontrol cloud dalam kedua framework akan berlaku untuk resource dalam project. Jika ada perbedaan dalam definisi kontrol cloud, kontrol cloud tingkat yang lebih rendah akan digunakan oleh resource dalam project. Misalnya, jika aturan kontrol cloud ditetapkan ke Izinkan di tingkat organisasi dan ke Tolak di tingkat project, setelan Tolak tingkat project akan diterapkan ke resource dalam project.

Sebagai praktik terbaik, sebaiknya deploy framework di tingkat organisasi yang menyertakan kontrol cloud yang dapat diterapkan ke seluruh bisnis Anda. Kemudian, Anda dapat men-deploy framework yang lebih ketat ke folder dan project yang memerlukannya.

DI Google Cloud konsol, buka halaman Compliance.

Buka Kepatuhan
Pilih organisasi atau project Anda.
Di tab Configure, untuk framework yang ingin Anda deploy, klik More Actions > Apply to resources.
Pilih salah satu opsi berikut:
- Untuk hanya memantau penyimpangan, pilih Monitor.
- Untuk memantau penyimpangan dan secara aktif mencegah pelanggaran, pilih Monitor and prevent.
Pilih resource yang ingin Anda deploy framework-nya. Anda dapat memilih organisasi, folder, atau project yang ada. Khusus untuk DSPM, Anda dapat memilih aplikasi untuk men-deploy framework yang hanya menyertakan kontrol cloud lanjutan DSPM ke aplikasi. Jika Anda memilih untuk secara aktif mencegah pelanggaran, Anda dapat membuat folder atau project baru dan men-deploy framework ke folder atau project tersebut.
Selesaikan salah satu hal berikut:
- Jika Anda memilih Monitor, selesaikan langkah-langkah berikut:
  1. Verifikasi informasi.
  2. Jika Anda memilih folder yang dikonfigurasi untuk pengelolaan aplikasi dan framework Anda hanya menyertakan kontrol cloud DSPM lanjutan, pilih aplikasi yang ingin Anda pantau.
  3. Klik Monitor.
- Jika Anda memilih Monitor and prevent, selesaikan langkah-langkah berikut:
  1. Klik Next. Tinjau kontrol dan mode cloud.
  2. Klik Continue.
  3. Jika ditampilkan, verifikasi informasi tambahan yang diperlukan untuk beberapa kontrol cloud.
  4. Klik Next.
  5. Tinjau pilihan Anda, lalu klik Enforce.

Setelah men-deploy framework, Anda dapat memantau lingkungan Anda untuk mengetahui penyimpangan dari kontrol cloud yang Anda tentukan. Security Command Center melaporkan instance penyimpangan sebagai temuan yang dapat Anda tinjau, filter, dan selesaikan. Diperlukan waktu sekitar enam jam setelah Anda men-deploy framework agar temuan terkait kontrol cloud muncul.

Mengedit framework kustom

Setelah membuat framework, Anda dapat mengubah nama dan deskripsinya, menambahkan atau menghapus kontrol cloud, dan memperbarui parameter apa pun. Anda hanya dapat mengedit framework yang Anda buat; Anda tidak dapat mengedit framework bawaan.

DI Google Cloud konsol, buka halaman Compliance.

Buka Kepatuhan
Pilih organisasi atau project Anda.
Di tab Configure, klik framework yang ingin Anda edit.
Di halaman Framework details, pastikan framework tidak ditetapkan ke resource. Jika diperlukan, hapus penetapan.
Klik Actions > Edit.
Di halaman Update framework details, ubah nama dan deskripsi sesuai kebutuhan. Klik Continue.
Untuk mengubah kontrol cloud yang disertakan dalam framework, selesaikan langkah-langkah berikut:
- Untuk menambahkan kontrol cloud yang ada, klik Add Cloud Controls. Pilih semua kontrol cloud yang Anda perlukan, lalu klik Add.
- Untuk membuat kontrol cloud kustom, klik Create custom cloud control. Untuk mengetahui petunjuknya, lihat Membuat kontrol cloud kustom.
- Untuk menghapus kontrol cloud, pilih kontrol cloud, lalu klik Remove.
Klik Continue.
Tambahkan parameter tambahan yang diperlukan oleh kontrol cloud.
Klik Save.

Menghapus resource dari framework yang di-deploy

Anda dapat menghapus organisasi, folder, atau project yang Anda tetapkan ke framework yang di-deploy. Menghapus resource berarti framework tidak lagi menghasilkan temuan untuk node hierarki resource Anda tersebut.

Saat Anda menghapus resource, status sebagian besar temuan terkait akan berubah menjadi Inactive setelah tujuh hari. Jika framework Anda menyertakan kontrol cloud Penghapusan data, temuan akan berubah menjadi Inactive setelah 90 hari. Status untuk temuan yang terkait dengan kontrol cloud Tata kelola aliran data dan kontrol cloud Tata kelola akses data tidak akan otomatis diubah.

DI Google Cloud konsol, buka halaman Compliance.

Buka Kepatuhan
Pilih organisasi atau project Anda.
Di tab Configure, klik framework yang ingin Anda batalkan penetapan resource-nya.
Di halaman Framework details, klik Actions > Manage resource assignments.
Di tabel Assigned resources , temukan resource yang ingin Anda hapus, lalu klik Delete.
Tinjau pesan konfirmasi, lalu klik Unassign.
Opsional: ubah status temuan terkait menjadi Inactive. Untuk mengetahui petunjuknya, lihat Mengubah status temuan.

Memperbarui framework ke rilis yang lebih baru

Google memublikasikan update rutin ke framework bawaannya saat layanan men-deploy fitur baru atau saat praktik terbaik baru muncul.

Anda dapat melihat rilis framework bawaan di dasbor framework di tab Configure atau di halaman detail framework.

Google akan memberi tahu Anda di konsol dan catatan rilis saat update berikut terjadi:

Kontrol cloud bawaan ditambahkan atau dihapus dari framework.
Kontrol cloud bawaan diperbarui.

Untuk memperbarui framework, selesaikan langkah-langkah berikut:

DI Google Cloud konsol, buka halaman Compliance.

Buka Kepatuhan
Pilih organisasi atau project Anda.
Di tab Configure, klik framework yang ingin Anda perbarui.
Di halaman Framework details, di tabel Assigned resources , tinjau Update status untuk penetapan apa pun yang diidentifikasi sebagai Update available.
Untuk menerapkan perubahan, selesaikan langkah-langkah berikut:
1. Hapus penetapan resource.
  
  Catatan: Saat Anda menghapus penetapan resource, Compliance Manager tidak lagi mengevaluasi resource tersebut menggunakan framework tersebut. Temuan tidak lagi dibuat.
2. Deploy ulang framework ke resource Anda sehingga Compliance Manager dapat melanjutkan evaluasi resource dan membuat temuan.

Menghapus framework kustom

Hapus framework jika tidak diperlukan lagi. Anda hanya dapat menghapus framework yang Anda buat; Anda tidak dapat menghapus framework bawaan.

DI Google Cloud konsol, buka halaman Compliance.

Buka Kepatuhan
Pilih organisasi atau project Anda.
Di tab Configure, klik framework yang ingin Anda batalkan penetapan resource-nya.
Di halaman Framework details, pastikan framework tidak ditetapkan ke resource. Jika diperlukan, hapus penetapan.
Klik Actions > Delete.
Di jendela Delete, tinjau pesan. Ketik Delete, lalu klik Confirm.