Compliance Manager 架構包含雲端控制項,可協助您在雲端環境中,滿足機構或專案的安全和法規要求。套用架構的程序分為兩個步驟。首先,您必須找出符合貴商家安全和法規遵循義務的雲端控制項。接著,將包含這些雲端控制項的架構部署到Google Cloud中適當的機構、資料夾或專案。本頁面可協助您完成下列步驟:
評估哪一個內建架構最符合您的法規和安全需求。您可以建立自己的自訂架構,但建議先從內建架構著手。
判斷哪些內建雲端控制項符合您的業務需求。(僅限進階和企業版) 如有需要,您可以建立自訂雲端控制項。
決定要將架構部署至 Google Cloud機構,還是特定資料夾和專案。每個機構、資料夾或專案只能部署一個架構。Compliance Manager 支援已設定應用程式管理功能的資料夾。
複製現有框架,並根據需求進行修改。如有需要,您可以建立自訂架構。
」。在適當的機構、資料夾或專案中部署架構。
事前準備
請先完成這些工作,再完成本頁面上的其餘工作。
設定權限
-
如要取得套用架構所需的權限,請要求管理員在您的組織或專案中,授予下列 IAM 角色:
- Compliance Manager 管理員 (
roles/cloudsecuritycompliance.admin) -
如要查看發現項目資訊主頁:Compliance Manager Viewer (
roles/cloudsecuritycompliance.viewer) -
如要部署包含雲端控制項的架構 (以組織政策為依據),請執行下列其中一項操作:
- 機構政策管理員 (
roles/orgpolicy.policyAdmin) - Assured Workloads 管理員 (
roles/assuredworkloads.admin) - Assured Workloads 編輯者 (
roles/assuredworkloads.editor)
- 機構政策管理員 (
- (僅限機構層級) 如要在部署架構時建立資料夾,請執行下列其中一項操作:
- (僅限機構層級) 如要在部署架構時建立專案,請確認符合下列所有條件:
-
如要將 Data Security Posture Management (DSPM) 架構指派給 App Hub 應用程式,您必須具備下列所有角色:App Hub 檢視者 (
roles/apphub.viewer)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
透過組織政策部署架構的角色包含必要的orgpolicy.policies.create、orgpolicy.policies.update和orgpolicy.policies.get權限。如果是機構層級部署作業,建立資料夾的角色會包含必要的
resourcemanager.folders.get、resourcemanager.folders.create和resourcemanager.folders.delete權限。如要進行機構層級部署,建立專案的角色必須具備
resourcemanager.projects.get、resourcemanager.projects.create、resourcemanager.projects.delete和resourcemanager.projects.createBillingAssignment權限。將 DSPM 架構指派給應用程式的角色包含必要的
apphub.locations.list、apphub.applications.list和apphub.applications.get權限。 - Compliance Manager 管理員 (
設定 Google Cloud CLI
在 Google Cloud 控制台中啟用 Cloud Shell。
控制台底部會開啟 Cloud Shell 工作階段,並顯示指令列提示。 Google Cloud Cloud Shell 是已安裝 Google Cloud CLI 的殼層環境,並已針對您目前的專案設定好相關值。工作階段可能要幾秒鐘的時間才能初始化。
如要設定 gcloud CLI,使用服務帳戶模擬功能向 Google API 進行驗證,而非使用使用者憑證,請執行下列指令:
gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL
詳情請參閱「服務帳戶模擬」。
查看架構
如要查看內建架構或您已建立的其他架構的設定,請完成下列步驟。
控制台
前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。
選取您的機構或專案。
如要查看所有可用架構,請按一下「設定」分頁標籤。
資訊主頁會顯示可用的架構、簡短說明、支援的平台和層級,以及已套用架構的資源。
如要查看特定架構的詳細資料,請按一下架構名稱。
CLI
您可以查看特定架構的相關資訊,或列出機構中的所有架構。
查看架構詳細資料
如要查看特定架構的詳細資料,請執行 gcloud compliance-manager
frameworks describe 指令:
gcloud compliance-manager frameworks describe FRAMEWORK \
--location=LOCATION \
--organization=ORGANIZATION \
[--major-revision-id=MAJOR_REVISION_ID]
更改下列內容:
FRAMEWORK:架構名稱ORGANIZATION:您的機構 IDLOCATION:架構儲存所在的區域MAJOR_REVISION_ID:選用旗標,可指定要查看的架構版本。如未加入這個標記,系統會傳回最新版本。
舉例來說,如要查看名稱為 builtin-security-essentials 且主要修訂版本號碼為 12 的框架,請執行下列指令:
gcloud compliance-manager frameworks describe \
builtin-security-essentials \
--organization=3589215982 \
--location=global \
--major-revision-id=12
詳情請參閱「gcloud compliance-manager frameworks describe」。
取得架構清單
如要取得貴機構的架構清單,請執行 gcloud
compliance-manager frameworks list 指令:
gcloud compliance-manager frameworks list \
--location=LOCATION \
--organization=ORGANIZATION
替換下列值:
ORGANIZATION:您的機構 IDLOCATION:架構儲存所在的區域
舉例來說,如要查看機構 3589215982 中儲存在全域位置的所有架構,請執行下列指令:
gcloud compliance-manager frameworks list \
--organization=3589215982 \
--location=global
如要瞭解選用標記,請參閱 gcloud compliance-manager frameworks list。
建立架構
決定哪些雲端控制項適用於機構或特定資料夾/專案中的資源後,即可建立架構。您可以建立自訂架構,也可以複製現有架構並加以修改。複製架構時,系統會一併複製所有內建雲端控制項的最新版本。
控制台
前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。
選取您的機構或專案。
在「設定」分頁中,按一下「建立自訂架構」。
完成下列任一操作:
如要使用現有框架,請完成下列步驟:
選取「依據現有架構開始建立」。
選取要複製的架構。
按一下「新增」。
如要建立自訂架構,請選取「開始新架構」。
輸入架構的名稱、專屬 ID 和說明。按一下「Continue」(繼續)。
如果您要複製現有架構,系統會顯示現有架構中的雲端控管機制清單。
如要新增所需雲端控管機制,請完成下列步驟:
按一下「繼續」。
新增雲端控管機制要求的其他參數。
舉例來說,如要啟用 Data Security Posture Management (DSPM) 雲端控制項,例如「Restrict Access to Sensitive Data to Permitted Users」(限制僅允許的使用者存取機密資料) 雲端控制項,請指定主體必須使用的位置。如要進一步瞭解 Data Security Posture Management 控制項,請參閱進階資料治理和安全雲端控制項。
點選「建立」。
CLI
如要建立自訂架構,請執行 gcloud compliance-manager
frameworks create 指令:
gcloud compliance-manager frameworks create FRAMEWORK \
--location=LOCATION \
--organization=ORGANIZATION \
--display-name=DISPLAY_NAME \
[--description=DESCRIPTION] \
[--category=[CATEGORY,...] \
[--cloud-control-details=[majorRevisionId=MAJOR_REVISION_ID],[name=NAME],[parameters=PARAMETERS]]
替換下列值:
FRAMEWORK:架構的專屬英數字元 IDORGANIZATION:您的機構 IDLOCATION:架構儲存所在的區域DISPLAY_NAME:架構的易讀名稱DESCRIPTION:架構用途的選用說明[CATEGORY,...]:選用參數,用於定義架構所屬的類別。建議值為custom-framework。--cloud-control-details=`[majorRevisionId=MAJOR_REVISION_ID],[name=NAME],[parameters=PARAMETERS]'
是選填的雲端控制項清單,可納入框架,格式如下:
MAJOR_REVISION_ID:選用旗標,可指定要查看的雲端控制項版本。如未加入這個旗標,系統會使用最新版本。NAME:雲端控制項的名稱,格式為organizations/ORGANIZATION_ID/locations/LOCATION/cloudControls/NAME。NAME是雲端控制項的專屬 ID。您可以使用gcloud compliance-manager cloud-controls list指令找出雲端控制項 ID。:某些雲端控制項所需的選用參數。舉例來說,如果您想啟用 Data Security Posture Management 雲端控制項 (例如「Restrict Access to Sensitive Data to Permitted Users」雲端控制項),請指定主體必須使用的位置。
PARAMETERS
或者,您也可以指定包含所有雲端控制項清單的 JSON 或 YAML 檔案。例如:
--cloud-control-details=path_to_file.(yaml|json)。展開下列部分,查看 JSON 和 YAML 檔案範例。JSON 檔案範例
[ { "name": "organizations/3589215982/locations/global/cloudControls/restrict-bucket-region", "majorRevisionId": 1, "parameters": [ { "name": "location", "parameterValue": { "stringValue": "us-west" } } ] }, { "name": "organizations/3589215982/locations/global/cloudControls/enable-binary-authorization", "majorRevisionId": 2 } ]YAML 檔案範例
- name: organizations/3589215982/locations/global/cloudControls/restrict-bucket-region majorRevisionId: 1 parameters: - name: location parameterValue: stringValue: us-west - name: organizations/3589215982/locations/global/cloudControls/enable-binary-authorization majorRevisionId: 2如果您在建立架構時未指定雲端控制項,可以稍後使用控制台新增。
舉例來說,如要建立名為 my-custom-framework 的框架,請執行下列指令:
gcloud compliance-manager frameworks create \
my-custom-framework \
--organization=3589215982 \
--location=global \
--description="This framework is my custom framework" \
--display-name="My framework name" \
--cloud-control-details='[{"name":"organizations/3589215982/locations/global/cloudControls/restrict-bucket-region","majorRevisionId":1,"parameters":[{"name":"location","parameterValue":{"stringValue":"us-west"}}]},{"name":"organizations/3589215982/locations/global/cloudControls/enable-binary-authorization","majorRevisionId":2}]'
Terraform
以下範例說明如何使用 Terraform 建立框架。
部署架構
將架構部署至機構、資料夾或專案,即可使用架構的雲端控制項控管及監控這些資源。您可以為每個機構、資料夾或專案部署多個架構。如果您部署的架構只包含進階資料安全雲端控制項,可以將架構部署至已設定應用程式管理的資料夾中的 App Hub 應用程式。
資料夾和專案會透過 Google Cloud 資源階層繼承架構。因此,如果您在機構和專案層級部署架構,兩個架構中的所有雲端控管機制都會套用至專案中的資源。如果雲端控制項定義有任何差異,專案中的資源會使用較低層級的雲端控制項。舉例來說,如果雲端控管規則在機構層級設為「允許」,在專案層級設為「拒絕」,則專案層級的「拒絕」設定會套用至專案中的資源。
最佳做法是,在機構層級部署框架,其中包含可套用至整個業務的雲端控制項。然後,您可以將更嚴格的架構部署至需要這些架構的資料夾和專案。
控制台
前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。
選取您的機構或專案。
在「設定」分頁中,依序點選要部署的架構 「更多動作」>「套用至資源」。
您可以選擇下列其中一個選項:
如要只監控偏移情形,請選擇「監控」。
如要監控變異情形並主動防範違規行為,請選擇「監控並防範」。
選取要部署架構的資源。您可以選擇現有的機構、資料夾或專案。如果是 DSPM,您可以選取應用程式,部署只包含 DSPM 進階雲端控制項的架構。如果您選擇主動防範違規行為,可以建立新的資料夾或專案,並將架構部署至其中。
完成下列任一操作:
如果選取「Monitor」(監控),請完成下列步驟:
- 驗證資訊。
- 如果您選取已設定應用程式管理的資料夾,且架構只包含進階 DSPM 雲端控制項,請選取要監控的應用程式。
- 按一下「監控」。
如果您選取「監控及防範」,請完成下列步驟:
- 點選「下一步」。查看雲端控制選項和模式。
- 按一下「繼續」。
- 如果顯示,請驗證部分雲端控管機制所需的額外資訊。
- 點選「下一步」。
- 檢查所選項目,然後按一下「強制執行」。
CLI
如要在機構中部署架構,請執行 gcloud
compliance-manager framework-deployments create 指令。請考慮下列最佳做法:
為雲端控制項中繼資料建立個別的 YAML 或 JSON 檔案。
使用適當的目標旗標,指出您要部署至現有的機構、資料夾或專案,還是要在部署框架的同時建立新的專案或資料夾。
如有可能,請只使用資源 ID,不要使用完整資源名稱。
gcloud compliance-manager framework-deployments create \
(FRAMEWORK_DEPLOYMENT : \
--location=LOCATION \
--organization=ORGANIZATION) \
--cloud-control-metadata=[cloudControlDetails=CLOUD_CONTROL_DETAILS],[enforcementMode=ENFORCEMENT_MODE] \
(--framework=FRAMEWORK : \
--framework-major-revision-id=FRAMEWORK_MAJOR_REVISION_ID) \
(--target-resource-config-existing=TARGET_RESOURCE_CONFIG_EXISTING | \
--target-resource-creation-config-folder-display-name=TARGET_RESOURCE_CREATION_CONFIG_FOLDER_DISPLAY_NAME \
--target-resource-creation-config-folder-parent=TARGET_RESOURCE_CREATION_CONFIG_FOLDER_PARENT | \
--target-resource-creation-config-project-billing-account-id=TARGET_RESOURCE_CREATION_CONFIG_PROJECT_BILLING_ACCOUNT_ID \
--target-resource-creation-config-project-display-name=TARGET_RESOURCE_CREATION_CONFIG_PROJECT_DISPLAY_NAME \
--target-resource-creation-config-project-parent=TARGET_RESOURCE_CREATION_CONFIG_PROJECT_PARENT) \
[--description=DESCRIPTION]
替換下列值:
FRAMEWORK_DEPLOYMENT:框架部署作業的 IDORGANIZATION:您的機構 IDLOCATION:儲存架構部署作業的區域cloud-control-metadata=[cloudControlDetails=CLOUD_CONTROL_DETAILS],[enforcementMode=ENFORCEMENT_MODE]: 架構中的雲端控制項清單,包含名稱、參數、修訂版本 ID 和強制執行模式,格式如下:CLOUD_CONTROL_DETAILS:這個物件包含雲端控制項名稱、參數和修訂版本 ID 清單。格式如下:name=NAME:雲端控制項的完整資源名稱,格式為organizations/ORGANIZATION_ID/locations/LOCATION/cloudControls/CLOUD_CONTROL_NAMEmajorRevisionId=MAJOR_REVISION_ID:雲端控制項的主要版本parameters=PARAMETERS:某些雲端控制項所需的選用參數。舉例來說,如要啟用「Restrict Access to Sensitive Data to Permitted Users」(僅允許使用者存取機密資料) 等 Data Security Posture Management 雲端控制項,請指定主體必須使用的位置。
ENFORCEMENT_MODE:控制項是否為AUDIT、DETECTIVE或PREVENTIVE控制項或者,您也可以指定包含雲端控制詳細資料和強制執行模式的 JSON 或 YAML 檔案。例如:
--cloud-control-metadata=path_to_file.(yaml|json)。展開以下部分,查看 JSON 和 YAML 檔案範例。JSON 檔案範例
[ { "cloudControlDetails": { "name": "organizations/3589215982/locations/global/cloudControls/restrict-bucket-region", "majorRevisionId": 1, "parameters": [ { "name": "location", "parameterValue": { "stringValue": "us-west" } } ] }, "enforcementMode": "DETECTIVE" }, { "cloudControlDetails": { "name": "organizations/3589215982/locations/global/cloudControls/enable-binary-authorization", "majorRevisionId": 2 }, "enforcementMode": "DETECTIVE" } ]YAML 檔案範例
- cloudControlDetails: name: organizations/3589215982/locations/global/cloudControls/restrict-bucket-region majorRevisionId: 1 parameters: - name: location parameterValue: stringValue: us-west enforcementMode: DETECTIVE - cloudControlDetails: name: organizations/3589215982/locations/global/cloudControls/enable-binary-authorization majorRevisionId: 2 enforcementMode: DETECTIVEFRAMEWORK:要部署的現有架構名稱,格式為organizations/ORGANIZATION_ID/locations/LOCATION/frameworks/FRAMEWORK_NAMEFRAMEWORK_MAJOR_REVISION_ID:要部署的框架版本號碼TARGET_RESOURCE_CONFIG_EXISTING:要部署新框架的現有機構、資料夾或專案名稱,格式如下:organizations/ORGANIZATION_IDfolders/FOLDER_IDprojects/PROJECT_ID
TARGET_RESOURCE_CREATION_CONFIG_FOLDER_DISPLAY_NAME:要建立的資料夾名稱,然後將架構部署至該資料夾TARGET_RESOURCE_CREATION_CONFIG_FOLDER_PARENT:要建立新資料夾的現有機構或資料夾名稱。支援的格式為organizations/ORGANIZATION_ID和folders/FOLDER_ID。TARGET_RESOURCE_CREATION_CONFIG_PROJECT_BILLING_ACCOUNT_ID:要指派給新專案的帳單帳戶 ID (如果您要建立新專案,並將框架部署至該專案)TARGET_RESOURCE_CREATION_CONFIG_PROJECT_DISPLAY_NAME:要建立專案的名稱,然後將架構部署至該專案TARGET_RESOURCE_CREATION_CONFIG_PROJECT_PARENT:要建立新專案的現有機構或資料夾名稱。支援的格式為organizations/ORGANIZATION_ID和folders/FOLDER_ID。DESCRIPTION:架構部署作業的選用說明
舉例來說,如要將名為 organizations/3589215982/locations/global/frameworks/builtin-aipp 的框架部署至現有資料夾 (資料夾 ID 為 example-folder),請執行下列指令:
gcloud compliance-manager framework-deployments create \
example-framework-deployment \
--organization=3589215982 \
--location=global \
--cloud-control-metadata='[{"cloudControlDetails": {"name": "organizations/3589215982/locations/global/cloudControls/restrict-bucket-region", "majorRevisionId": "1", "parameters": []}, "enforcementMode": "DETECTIVE"}, {"cloudControlDetails": {"name": "organizations/3589215982/locations/global/cloudControls/enable-binary-authorization", "majorRevisionId": 2}, "enforcementMode": "DETECTIVE"}]' \
--framework="organizations/3589215982/locations/global/frameworks/builtin-aipp" \
--framework-major-revision-id=6 \
--target-resource-config-existing="folders/example-folder" \
--description="Deployment for AI Platform into example-folder"
舉例來說,如要部署名為 organizations/3589215982/locations/global/frameworks/builtin-aipp 的框架,並在現有資料夾 (資料夾 ID 為 example-folder) 中建立名為 example-new-project 的新專案,請執行下列指令:
gcloud compliance-manager framework-deployments create \
example-framework-deployment \
--organization=3589215982 \
--location=global \
--cloud-control-metadata=deploy-controls.yaml \
--framework="organizations/3589215982/locations/global/frameworks/builtin-aipp" \
--framework-major-revision-id=6 \
--target-resource-creation-config-project-billing-account-id=012345-567890-ABCDEF \
--target-resource-creation-config-project-display-name=example-new-project \
--target-resource-creation-config-project-parent=folders/example-folder \
--description="Deployment for AI Platform into a new example-new-project in example-folder"
詳情請參閱 gcloud compliance-manager framework-deployments create。
Terraform
下列範例說明如何使用 Terraform 部署架構。
部署架構後,您可以監控環境,瞭解是否與定義的雲端控制項有任何差異。Security Command Center 會將漂移情況回報為發現項目,供您查看、篩選及解決。部署框架後,與雲端控制項相關的發現項目大約需要六小時才會顯示。
編輯自訂架構
建立框架後,您可以變更名稱和說明、新增或移除雲端控制項,以及更新任何參數。您只能編輯自己建立的架構,無法編輯內建架構。此外,您只能編輯未部署的架構。
前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。
選取您的機構或專案。
在「設定」分頁中,按一下要編輯的架構。
在「架構詳細資料」頁面中,確認架構未指派給資源。視需要移除指派項目。
依序點選「動作」>「編輯」。
在「更新架構詳細資料」頁面中,視需要變更名稱和說明。按一下「Continue」(繼續)。
如要變更架構中包含的雲端控制項,請完成下列步驟:
如要新增現有的雲端控管措施,請按一下「新增雲端控管措施」。選取所有需要的雲端控管機制,然後按一下「新增」。
如要建立自訂雲端控管機制,請按一下「建立自訂雲端控管機制」。 如需操作說明,請參閱「建立自訂雲端控管機制」。
如要移除雲端控管機制,請選取該機制,然後按一下「移除」。
按一下「繼續」。
新增雲端控管機制要求的其他參數。
按一下 [儲存]。
從資源中移除已部署的架構
您可以從指派架構的機構、資料夾或專案中移除架構。移除架構後,法規遵循管理員就不會再為資源階層的該節點產生發現項目。
移除架構後,大部分相關發現的狀態會在七天後變更為 Inactive。如果架構包含「Restrict Flow of Sensitive Data Across Geographic Jurisdictions」(限制機密資料在不同地理管轄區間流動) 雲端控制項,調查結果會在 90 天後變更為 Inactive。與「Restrict Flow of Sensitive Data Across Geographic Jurisdictions」雲端控制項和「Restrict Access to Sensitive Data to Permitted Users」雲端控制項相關的調查結果狀態不會自動變更。
控制台
前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。
選取您的機構或專案。
在「設定」分頁中,按一下要移除的架構。
在「架構詳細資料」頁面中,依序點選「動作」>「管理資源指派項目」。
在「已指派的資源」表格中,找出要移除的資源,然後按一下「刪除」圖示 。
詳閱確認訊息,然後按一下「取消指派」。
選用步驟:將相關聯的發現項目狀態變更為
Inactive。如需操作說明,請參閱「變更發現項目的狀態」。
CLI
如要移除機構中的特定架構部署作業,請執行 gcloud compliance-manager framework-deployments delete 指令:
gcloud compliance-manager framework-deployments delete \
FRAMEWORK_DEPLOYMENT \
--location=LOCATION \
--organization=ORGANIZATION \
--etag=ETAG_ID
替換下列值:
FRAMEWORK_DEPLOYMENT:框架部署作業的 IDORGANIZATION:您的機構 IDLOCATION:儲存架構部署作業的區域ETAG_ID:架構部署目前版本的 ID,有助於確保您刪除的是預期版本的架構部署。如果 ID 與目前版本不符,要求就會失敗。如果省略這個值,法規遵循管理員會無條件刪除架構部署。
舉例來說,如要從機構 3589215982 移除 example-deployment,並儲存在全域位置,請執行下列指令:
gcloud compliance-manager framework-deployments delete \
example-deployment \
--organization=3589215982 \
--location=global \
--etag=MTc3NDU4MjM4OTY0MzU5MjQ5OTI=
如要瞭解選用標記,請參閱「gcloud compliance-manager framework-deployments delete」。
將架構更新為新版
當服務部署新功能或出現新的最佳做法時,Google 會定期更新內建架構。
您可以在「設定」分頁的架構資訊主頁,或架構詳細資料頁面中,查看內建架構的版本。
發生下列更新時,Google 會在控制台和版本資訊中通知您:
- 在架構中新增或移除內建雲端控管機制。
- 更新內建雲端控管機制。
如要更新架構,請完成下列步驟:
前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。
選取您的機構或專案。
在「設定」分頁中,按一下要更新的架構。
在「架構詳細資料」頁面的「已指派的資源」表格中,查看所有標示為「有可用更新」的指派項目「更新狀態」。
如要套用變更,請完成下列步驟:
刪除自訂架構
不再需要架構時,請刪除。您只能刪除自己建立的架構,無法刪除內建架構。
控制台
前往 Google Cloud 控制台的「Compliance」(法規遵循) 頁面。
選取您的機構或專案。
在「設定」分頁中,按一下要取消指派資源的架構。
在「架構詳細資料」頁面中,確認架構未指派給資源。視需要移除指派項目。
依序點選「動作」>「刪除」。
在「刪除」視窗中,查看訊息。輸入
Delete,然後按一下「確認」。
CLI
如要刪除機構中的特定架構,請執行 gcloud compliance-manager frameworks delete 指令:
gcloud compliance-manager frameworks delete \
FRAMEWORK \
--location=LOCATION \
--organization=ORGANIZATION
替換下列值:
FRAMEWORK:架構名稱ORGANIZATION:您的機構 IDLOCATION:架構儲存所在的區域
舉例來說,如要從機構 3589215982 移除 example-framework,並儲存在全域位置,請執行下列指令:
gcloud compliance-manager frameworks delete \
example-framework \
--organization=3589215982 \
--location=global
如要瞭解選用標記,請參閱「gcloud compliance-manager frameworks delete」。