Frameworks verwalten

Compliance Manager-Frameworks bestehen aus Cloud-Kontrollen, mit denen Sie die Sicherheits- und behördlichen Anforderungen für eine Organisation oder ein Projekt in Ihren Cloud-Umgebungen erfüllen können. Die Anwendung eines Frameworks erfolgt in zwei Schritten. Zuerst müssen Sie die Cloud-Kontrollen ermitteln, die mit den Sicherheits- und Compliance-Verpflichtungen Ihres Unternehmens übereinstimmen. Anschließend stellen Sie ein Framework bereit, das diese Cloud-Kontrollen in der entsprechenden Organisation, dem entsprechenden Ordner oder dem entsprechenden Projekt inGoogle Cloudenthält. Auf dieser Seite erfahren Sie, wie Sie die folgenden Schritte ausführen:

  1. Prüfen Sie, welches integrierte Framework am besten zu Ihren behördlichen und Sicherheitsanforderungen passt. Sie können auch ein eigenes benutzerdefiniertes Framework erstellen, wir empfehlen jedoch, mit einem integrierten Framework zu beginnen.

  2. Ermitteln Sie, welche integrierten Cloud-Kontrollen Ihren Geschäftsanforderungen entsprechen. (Nur Premium- und Enterprise-Tarife) Bei Bedarf können Sie benutzerdefinierte Cloud-Steuerelemente erstellen.

  3. Legen Sie fest, ob Sie das Framework in Ihrer Google Cloud-Organisation oder in bestimmten Ordnern und Projekten bereitstellen möchten. Sie können nur ein Framework für jede Organisation, jeden Ordner oder jedes Projekt bereitstellen. Compliance Manager unterstützt für die Anwendungsverwaltung konfigurierte Ordner.

  4. Kopieren Sie ein vorhandenes Framework und passen Sie es an Ihre Anforderungen an. Bei Bedarf können Sie ein benutzerdefiniertes Framework erstellen.

    .

  5. Stellen Sie das Framework in der entsprechenden Organisation, dem entsprechenden Ordner oder dem entsprechenden Projekt bereit.

Hinweis

Führen Sie diese Aufgaben aus, bevor Sie die verbleibenden Aufgaben auf dieser Seite ausführen.

Berechtigungen einrichten

  • Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation oder Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Anwenden von Frameworks benötigen:

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

    Die Rollen für die Bereitstellung von Frameworks mit Organisationsrichtlinien enthalten die erforderlichen Berechtigungen orgpolicy.policies.create, orgpolicy.policies.update und orgpolicy.policies.get.

    Bei Bereitstellungen auf Organisationsebene enthalten die Rollen zum Erstellen von Ordnern die erforderlichen Berechtigungen resourcemanager.folders.get, resourcemanager.folders.create und resourcemanager.folders.delete.

    Bei Bereitstellungen auf Organisationsebene enthalten die Rollen zum Erstellen von Projekten die erforderlichen Berechtigungen resourcemanager.projects.get, resourcemanager.projects.create, resourcemanager.projects.delete und resourcemanager.projects.createBillingAssignment.

    Die Rollen zum Zuweisen von DSPM-Frameworks zu Anwendungen enthalten die erforderlichen Berechtigungen apphub.locations.list, apphub.applications.list und apphub.applications.get.

    Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Google Cloud CLI einrichten

Aktivieren Sie Cloud Shell in der Google Cloud Console.

Cloud Shell aktivieren

Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.

Führen Sie den folgenden Befehl aus, um die gcloud CLI so einzurichten, dass die Authentifizierung bei Google APIs über die Identitätsübernahme des Dienstkontos anstelle Ihrer Nutzeranmeldedaten erfolgt: 

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Weitere Informationen finden Sie unter Identitätsübernahme des Dienstkontos.

Frameworks ansehen

Führen Sie die folgenden Schritte aus, um die Konfiguration für integrierte Frameworks oder andere Frameworks, die Sie bereits erstellt haben, aufzurufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

    Zu Compliance

  2. Wählen Sie Ihre Organisation oder das Projekt aus.

  3. Wenn Sie alle verfügbaren Frameworks aufrufen möchten, klicken Sie auf den Tab Konfigurieren.

    Im Dashboard werden die verfügbaren Frameworks, eine kurze Beschreibung, unterstützte Plattformen und Stufen sowie die Ressourcen angezeigt, auf die das Framework angewendet wurde.

  4. Wenn Sie Details zu einem bestimmten Framework aufrufen möchten, klicken Sie auf den Namen des Frameworks.

Befehlszeile

Sie können Informationen zu einem bestimmten Framework aufrufen oder alle Frameworks in Ihrer Organisation auflisten.

Details zu einem Framework ansehen

Wenn Sie Details zu einem bestimmten Framework aufrufen möchten, führen Sie den Befehl gcloud compliance-manager frameworks describe aus:

gcloud compliance-manager frameworks describe FRAMEWORK \
   --location=LOCATION \
   --organization=ORGANIZATION \
   [--major-revision-id=MAJOR_REVISION_ID]

Ersetzen Sie Folgendes:

  • FRAMEWORK: der Name des Frameworks

  • ORGANIZATION: Ihre Organisations-ID.

  • LOCATION: die Region, in der das Framework gespeichert ist

  • MAJOR_REVISION_ID: Ein optionales Flag, das angibt, welche Version des Frameworks angezeigt werden soll. Wenn Sie das Flag nicht angeben, wird die neueste Version zurückgegeben.

Wenn Sie beispielsweise ein Framework mit dem Namen builtin-security-essentials und der Hauptversionsnummer 12 aufrufen möchten, führen Sie Folgendes aus:

gcloud compliance-manager frameworks describe \
   builtin-security-essentials \
   --organization=3589215982 \
   --location=global \
   --major-revision-id=12

Weitere Informationen finden Sie unter gcloud compliance-manager frameworks describe.

Liste der Frameworks abrufen

Führen Sie den Befehl gcloud compliance-manager frameworks list aus, um die Liste der Frameworks in Ihrer Organisation abzurufen:

gcloud compliance-manager frameworks list \
   --location=LOCATION \
   --organization=ORGANIZATION

Ersetzen Sie die folgenden Werte:

  • ORGANIZATION: Ihre Organisations-ID.

  • LOCATION: die Region, in der die Frameworks gespeichert sind

Wenn Sie beispielsweise alle Frameworks in der Organisation 3589215982 anzeigen möchten, die am globalen Standort gespeichert sind, führen Sie Folgendes aus:

gcloud compliance-manager frameworks list \
   --organization=3589215982 \
   --location=global

Informationen zu optionalen Flags finden Sie unter gcloud compliance-manager frameworks list.

Framework erstellen

Nachdem Sie ermittelt haben, welche Cloud-Steuerelemente für Ressourcen in Ihrer Organisation oder einem bestimmten Ordner oder Projekt gelten, können Sie ein Framework erstellen. Sie können ein benutzerdefiniertes Framework erstellen oder ein vorhandenes Framework kopieren und ändern. Wenn Sie ein Framework kopieren, enthält es die neuesten Versionen aller integrierten Cloud-Steuerelemente.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

    Zu Compliance

  2. Wählen Sie Ihre Organisation oder das Projekt aus.

  3. Klicken Sie auf dem Tab Konfigurieren auf Benutzerdefiniertes Framework erstellen.

  4. Führen Sie einen dieser Schritte aus:

    • So verwenden Sie ein vorhandenes Framework:

      1. Wählen Sie Mit einem vorhandenen Framework beginnen aus.

      2. Wählen Sie das Framework aus, das Sie kopieren möchten.

      3. Klicken Sie auf Hinzufügen.

    • Wenn Sie ein benutzerdefiniertes Framework erstellen möchten, wählen Sie Neu beginnen aus.

  5. Geben Sie einen Namen, eine eindeutige Kennung und eine Beschreibung für Ihr Framework ein. Klicken Sie auf Weiter.

    Wenn Sie ein vorhandenes Framework kopieren, wird die Liste der Cloud-Kontrollen angezeigt, die Teil des vorhandenen Frameworks waren.

  6. So fügen Sie die gewünschten Cloud-Kontrollen hinzu:

    • Wenn Sie eine vorhandene Cloud-Steuerung hinzufügen möchten, klicken Sie auf Cloud-Steuerungen hinzufügen. Wählen Sie alle erforderlichen Cloud-Steuerelemente aus und klicken Sie dann auf Hinzufügen.

      Wenn Sie eine Kontrolle hinzufügen, prüfen Sie den Kontrolltyp (erkennend, präventiv oder Audit). Präventive und Audit-Kontrollen sind nur in den Premium- und Enterprise-Versionen verfügbar. Nehmen Sie keine reinen Prüfkontrollen in ein Framework auf, mit dem Sie Ihre Umgebung überwachen und Verstöße erkennen möchten. Sie können keine Frameworks bereitstellen, die nur Kontrollen für Audits enthalten.

    • (Nur Premium- und Enterprise-Tarife) Wenn Sie eine benutzerdefinierte Cloud-Kontrolle erstellen möchten, klicken Sie auf Benutzerdefinierte Cloud-Kontrolle erstellen. Eine Anleitung hierzu finden Sie unter Benutzerdefinierte Cloud-Steuerung erstellen.

  7. Klicken Sie auf Weiter.

  8. Fügen Sie alle zusätzlichen Parameter hinzu, die für die Cloud-Kontrollen erforderlich sind.

    Wenn Sie beispielsweise eine Datensicherheitsstatus-Verwaltung (DSPM)-Cloud-Steuerung wie die Cloud-Steuerung Zugriff auf sensible Daten auf zulässige Nutzer beschränken aktivieren möchten, geben Sie die Standorte an, die Prinzipale verwenden müssen. Weitere Informationen zu Datensicherheitsstatus-Verwaltung-Steuerungen finden Sie unter Erweiterte Cloud-Steuerungen für Data Governance und ‑Sicherheit.

  9. Klicken Sie auf Erstellen.

Befehlszeile

Führen Sie den Befehl gcloud compliance-manager frameworks create aus, um ein benutzerdefiniertes Framework zu erstellen:

gcloud compliance-manager frameworks create FRAMEWORK \
   --location=LOCATION \
   --organization=ORGANIZATION \
   --display-name=DISPLAY_NAME \
   [--description=DESCRIPTION] \
   [--category=[CATEGORY,...] \
   [--cloud-control-details=[majorRevisionId=MAJOR_REVISION_ID],[name=NAME],[parameters=PARAMETERS]]

Ersetzen Sie die folgenden Werte:

  • FRAMEWORK: die eindeutige alphanumerische Kennung für das Framework

  • ORGANIZATION: Ihre Organisations-ID.

  • LOCATION: die Region, in der das Framework gespeichert ist

  • DISPLAY_NAME: Ein für Nutzer lesbarer Name für das Framework.

  • DESCRIPTION: eine optionale Beschreibung des Zwecks des Frameworks

  • [CATEGORY,...]: Ein optionaler Parameter, der die Kategorien definiert, zu denen das Framework gehört. Der empfohlene Wert für Ihr benutzerdefiniertes Framework ist custom-framework.

  • --cloud-control-details=`[majorRevisionId=MAJOR_REVISION_ID],[name=NAME],[parameters=PARAMETERS]'

    ist die optionale Liste der Cloud-Steuerelemente, die in Ihr Framework aufgenommen werden sollen, im folgenden Format:

    • MAJOR_REVISION_ID: Ein optionales Flag, das angibt, welche Version des Cloud-Steuerelements angezeigt werden soll. Wenn Sie das Flag nicht angeben, wird die neueste Version verwendet.

    • NAME: Der Name der Cloud-Steuerung im Format organizations/ORGANIZATION_ID/locations/LOCATION/cloudControls/NAME. NAME ist die eindeutige ID der Cloud-Kontrolle. Du kannst die Cloud-Steuerungs-ID mit dem Befehl gcloud compliance-manager cloud-controls list finden.

    • PARAMETERS: die optionalen Parameter, die für bestimmte Cloud-Steuerelemente erforderlich sind. Wenn Sie beispielsweise ein Cloud-Steuerelement für die Datensicherheitsstatus-Verwaltung wie Zugriff auf vertrauliche Daten auf zulässige Nutzer beschränken aktivieren möchten, geben Sie die Standorte an, die von Prinzipalen verwendet werden müssen.

    Alternativ können Sie eine JSON- oder YAML-Datei angeben, die eine Liste aller Cloud-Steuerelemente enthält. Beispiel: --cloud-control-details=path_to_file.(yaml|json) Maximieren Sie den folgenden Abschnitt, um Beispiele für JSON- und YAML-Dateien aufzurufen.

    Beispiel für eine JSON-Datei

      [
    {
      "name": "organizations/3589215982/locations/global/cloudControls/restrict-bucket-region",
      "majorRevisionId": 1,
      "parameters": [
        {
          "name": "location",
          "parameterValue": {
            "stringValue": "us-west"
          }
        }
      ]
    },
    {
      "name": "organizations/3589215982/locations/global/cloudControls/enable-binary-authorization",
      "majorRevisionId": 2
    }
  ]

    Beispiel für eine YAML-Datei

      - name: organizations/3589215982/locations/global/cloudControls/restrict-bucket-region
    majorRevisionId: 1
    parameters:
    - name: location
      parameterValue:
        stringValue: us-west
  - name: organizations/3589215982/locations/global/cloudControls/enable-binary-authorization
    majorRevisionId: 2

    Wenn Sie beim Erstellen eines Frameworks keine Cloud-Steuerelemente angeben, können Sie sie später über die Console hinzufügen.

Führen Sie beispielsweise Folgendes aus, um ein Framework mit dem Namen my-custom-framework zu erstellen:

gcloud compliance-manager frameworks create \
   my-custom-framework \
   --organization=3589215982 \
   --location=global \
   --description="This framework is my custom framework" \
   --display-name="My framework name" \
   --cloud-control-details='[{"name":"organizations/3589215982/locations/global/cloudControls/restrict-bucket-region","majorRevisionId":1,"parameters":[{"name":"location","parameterValue":{"stringValue":"us-west"}}]},{"name":"organizations/3589215982/locations/global/cloudControls/enable-binary-authorization","majorRevisionId":2}]'

Weitere Informationen finden Sie unter gcloud compliance-manager frameworks create.

Terraform

Im folgenden Beispiel wird gezeigt, wie Sie ein Framework mit Terraform erstellen können.

resource "google_cloud_security_compliance_framework" "example" {
  organization = "123456789"
  location     = "global"
  framework_id = "example-framework"

  display_name = "Terraform Framework Name"
  description  = "An Terraform description for the framework"

  cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-assess-resource-availability"
		major_revision_id = "1"

    parameters {
      name = "location"
      parameter_value {
        string_value = "us-central1"
      }
    }
  }

    cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-cmek-key-in-use-for-bigquery-table"
		major_revision_id = "1"

    parameters {
      name = "location"
      parameter_value {
        string_list_value {
          values = ["us-central1", "us-west1"]
        }
      }
    }
  }

  cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-enable-automatic-backups-cloud-sql"
		major_revision_id = "1"

    parameters {
      name = "location"
      parameter_value {
        bool_value = true
      }
    }
  }

  cloud_control_details {
		name              = "organizations/123456789/locations/global/cloudControls/builtin-require-cmek-on-bigquery-datasets"
		major_revision_id = "1"

    parameters {
      name = "location"
      parameter_value {
        number_value = 1
      }
    }
  }


}

Framework bereitstellen

Stellen Sie ein Framework in einer Organisation, einem Ordner oder einem Projekt bereit, damit Sie diese Ressourcen mithilfe der Cloud-Steuerelemente des Frameworks steuern und überwachen können. Sie können mehrere Frameworks in jeder Organisation, jedem Ordner oder jedem Projekt bereitstellen. Wenn Sie ein Framework bereitstellen, das nur die Cloud-Steuerelemente für erweiterte Datensicherheit enthält, können Sie das Framework für App Hub-Anwendungen in Ordnern bereitstellen, die für die Anwendungsverwaltung konfiguriert sind.

Ordner und Projekte übernehmen Frameworks über die Google Cloud Ressourcenhierarchie. Wenn Sie also Frameworks auf Organisations- und Projektebene bereitstellen, gelten alle Cloud-Kontrollen in beiden Frameworks für die Ressourcen im Projekt. Wenn es Unterschiede bei den Definitionen der Cloud-Steuerung gibt, wird die Cloud-Steuerung auf niedrigerer Ebene von den Ressourcen im Projekt verwendet. Wenn beispielsweise eine Cloud-Steuerungsregel auf Organisationsebene auf „Zulassen“ und auf Projektebene auf „Ablehnen“ festgelegt ist, wird die Einstellung „Ablehnen“ auf Projektebene auf die Ressourcen im Projekt angewendet.

Als Best Practice empfehlen wir, ein Framework auf Organisationsebene bereitzustellen, das die Cloud-Kontrollen umfasst, die für Ihr gesamtes Unternehmen gelten können. Anschließend können Sie strengere Frameworks für Ordner und Projekte bereitstellen, für die sie erforderlich sind.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

    Zu Compliance

  2. Wählen Sie Ihre Organisation oder das Projekt aus.

  3. Klicken Sie auf dem Tab Konfigurieren für das Framework, das Sie bereitstellen möchten, auf  Weitere Aktionen> Auf Ressourcen anwenden.

  4. Wählen Sie eine der folgenden Optionen aus:

    • Wenn Sie nur die Drift überwachen möchten, wählen Sie Monitor aus.

    • Wenn Sie die Drift überwachen und Verstöße aktiv verhindern möchten, wählen Sie Überwachen und verhindern aus.

  5. Wählen Sie die Ressource aus, für die Sie das Framework bereitstellen möchten. Sie können eine vorhandene Organisation, einen vorhandenen Ordner oder ein vorhandenes Projekt auswählen. Nur für DSPM können Sie eine Anwendung auswählen, um ein Framework bereitzustellen, das nur erweiterte DSPM-Cloud-Kontrollen für eine Anwendung enthält. Wenn Sie sich dafür entschieden haben, Verstöße aktiv zu verhindern, können Sie einen neuen Ordner oder ein neues Projekt erstellen und das Framework darin bereitstellen.

  6. Führen Sie einen dieser Schritte aus:

    • Wenn Sie Monitor ausgewählt haben, gehen Sie so vor:

      1. Überprüfen Sie die Informationen.
      2. Wenn Sie einen für die Anwendungsverwaltung konfigurierten Ordner ausgewählt haben und Ihr Framework nur erweiterte DSPM-Cloud-Steuerelemente enthält, wählen Sie die Anwendung aus, die Sie überwachen möchten.
      3. Klicken Sie auf Monitor.

    • Wenn Sie Überwachen und verhindern ausgewählt haben, gehen Sie so vor:

      1. Klicken Sie auf Weiter. Cloud-Steuerelemente und ‑Modi ansehen
      2. Klicken Sie auf Weiter.
      3. Prüfen Sie die zusätzlichen Informationen, die für einige Cloud-Steuerelemente erforderlich sind, sofern sie angezeigt werden.
      4. Klicken Sie auf Weiter.
      5. Prüfen Sie Ihre Auswahl und klicken Sie dann auf Erzwingen.

Befehlszeile

Führen Sie den Befehl gcloud compliance-manager framework-deployments create aus, um ein Framework in Ihrer Organisation bereitzustellen. Beachten Sie die folgenden Best Practices:

  • Erstelle eine separate YAML- oder JSON-Datei für deine Cloud-Steuerungsmetadaten.

  • Verwenden Sie die entsprechenden Zielflags, um anzugeben, ob Sie in einer vorhandenen Organisation, einem vorhandenen Ordner oder einem vorhandenen Projekt bereitstellen möchten oder ob Sie gleichzeitig mit der Bereitstellung des Frameworks ein neues Projekt oder einen neuen Ordner erstellen möchten.

  • Verwenden Sie nach Möglichkeit nur Ressourcen-IDs anstelle von voll qualifizierten Ressourcennamen.

gcloud compliance-manager framework-deployments create \
   (FRAMEWORK_DEPLOYMENT : \
   --location=LOCATION \
   --organization=ORGANIZATION) \
   --cloud-control-metadata=[cloudControlDetails=CLOUD_CONTROL_DETAILS],[enforcementMode=ENFORCEMENT_MODE] \
   (--framework=FRAMEWORK : \
   --framework-major-revision-id=FRAMEWORK_MAJOR_REVISION_ID) \
   (--target-resource-config-existing=TARGET_RESOURCE_CONFIG_EXISTING     | \
   --target-resource-creation-config-folder-display-name=TARGET_RESOURCE_CREATION_CONFIG_FOLDER_DISPLAY_NAME \
   --target-resource-creation-config-folder-parent=TARGET_RESOURCE_CREATION_CONFIG_FOLDER_PARENT     | \
   --target-resource-creation-config-project-billing-account-id=TARGET_RESOURCE_CREATION_CONFIG_PROJECT_BILLING_ACCOUNT_ID \
   --target-resource-creation-config-project-display-name=TARGET_RESOURCE_CREATION_CONFIG_PROJECT_DISPLAY_NAME \
   --target-resource-creation-config-project-parent=TARGET_RESOURCE_CREATION_CONFIG_PROJECT_PARENT) \
   [--description=DESCRIPTION]

Ersetzen Sie die folgenden Werte:

  • FRAMEWORK_DEPLOYMENT: die ID der Framework-Bereitstellung

  • ORGANIZATION: Ihre Organisations-ID.

  • LOCATION: die Region, in der die Framework-Bereitstellung gespeichert ist

  • cloud-control-metadata=[cloudControlDetails=CLOUD_CONTROL_DETAILS],[enforcementMode=ENFORCEMENT_MODE]: Die Liste der Cloud-Steuerelemente im Framework mit ihren Namen, Parametern, der Revisions-ID und dem Erzwingungsmodus im folgenden Format:

    • CLOUD_CONTROL_DETAILS: ein Objekt, das die Liste der Namen, Parameter und Revisions-IDs für die Cloud-Steuerung enthält. Dabei wird das folgende Format verwendet:

      • name=NAME: Der vollständige Ressourcenname des Cloud-Steuerelements im Format organizations/ORGANIZATION_ID/locations/LOCATION/cloudControls/CLOUD_CONTROL_NAME.

      • majorRevisionId=MAJOR_REVISION_ID: die Hauptversion der Cloud-Steuerung

      • parameters=PARAMETERS: die optionalen Parameter, die für bestimmte Cloud-Steuerelemente erforderlich sind. Wenn Sie beispielsweise ein Cloud-Steuerelement für die Datensicherheitsstatus-Verwaltung wie das Cloud-Steuerelement Zugriff auf sensible Daten auf zulässige Nutzer beschränken aktivieren möchten, geben Sie die Standorte an, die von Prinzipalen verwendet werden müssen.

    • ENFORCEMENT_MODE: Gibt an, ob es sich bei der Kontrollgruppe um eine AUDIT-, DETECTIVE- oder PREVENTIVE-Kontrollgruppe handelt.

      Alternativ können Sie eine JSON- oder YAML-Datei angeben, die die Details zur Cloud-Steuerung und die Erzwingungsmodi enthält. Beispiel: --cloud-control-metadata=path_to_file.(yaml|json) Maximieren Sie die folgenden Abschnitte, um Beispiele für JSON- und YAML-Dateien aufzurufen.

      Beispiel für eine JSON-Datei

        [
    {
      "cloudControlDetails": {
        "name": "organizations/3589215982/locations/global/cloudControls/restrict-bucket-region",
        "majorRevisionId": 1,
        "parameters": [
          {
            "name": "location",
            "parameterValue": {
              "stringValue": "us-west"
            }
          }
        ]
      },
      "enforcementMode": "DETECTIVE"
    },
    {
      "cloudControlDetails": {
        "name": "organizations/3589215982/locations/global/cloudControls/enable-binary-authorization",
        "majorRevisionId": 2
      },
      "enforcementMode": "DETECTIVE"
    }
  ]

      Beispiel für eine YAML-Datei

        - cloudControlDetails:
      name: organizations/3589215982/locations/global/cloudControls/restrict-bucket-region
      majorRevisionId: 1
      parameters:
      - name: location
        parameterValue:
          stringValue: us-west
    enforcementMode: DETECTIVE
  - cloudControlDetails:
      name: organizations/3589215982/locations/global/cloudControls/enable-binary-authorization
      majorRevisionId: 2
    enforcementMode: DETECTIVE

    • FRAMEWORK: Der Name eines vorhandenen Frameworks, das Sie bereitstellen möchten, im Format organizations/ORGANIZATION_ID/locations/LOCATION/frameworks/FRAMEWORK_NAME

    • FRAMEWORK_MAJOR_REVISION_ID: Die Versionsnummer des Frameworks, das Sie bereitstellen möchten

    • TARGET_RESOURCE_CONFIG_EXISTING : Der Name einer vorhandenen Organisation, eines vorhandenen Ordners oder eines vorhandenen Projekts, in dem Sie das neue Framework bereitstellen möchten, in einem der folgenden Formate:

      • organizations/ORGANIZATION_ID
      • folders/FOLDER_ID
      • projects/PROJECT_ID

    • TARGET_RESOURCE_CREATION_CONFIG_FOLDER_DISPLAY_NAME: Der Name des Ordners, den Sie erstellen und in dem Sie das Framework bereitstellen möchten.

    • TARGET_RESOURCE_CREATION_CONFIG_FOLDER_PARENT: Der Name der vorhandenen Organisation oder des vorhandenen Ordners, in dem Sie den neuen Ordner erstellen möchten. Unterstützte Formate sind organizations/ORGANIZATION_ID und folders/FOLDER_ID.

    • TARGET_RESOURCE_CREATION_CONFIG_PROJECT_BILLING_ACCOUNT_ID: Die Rechnungskonto-ID, die dem neuen Projekt zugewiesen werden soll, wenn Sie ein neues Projekt erstellen, in dem Sie das Framework bereitstellen möchten

    • TARGET_RESOURCE_CREATION_CONFIG_PROJECT_DISPLAY_NAME: Der Name des Projekts, das Sie erstellen und in dem Sie das Framework bereitstellen möchten.

    • TARGET_RESOURCE_CREATION_CONFIG_PROJECT_PARENT: Der Name der vorhandenen Organisation oder des vorhandenen Ordners, in dem Sie das neue Projekt erstellen möchten. Unterstützte Formate sind organizations/ORGANIZATION_ID und folders/FOLDER_ID.

    • DESCRIPTION: eine optionale Beschreibung für das Framework-Deployment

Wenn Sie beispielsweise ein Framework mit dem Namen organizations/3589215982/locations/global/frameworks/builtin-aipp in einem vorhandenen Ordner mit der Ordner-ID example-folder bereitstellen möchten, führen Sie Folgendes aus:

gcloud compliance-manager framework-deployments create \
   example-framework-deployment \
   --organization=3589215982 \
   --location=global \
   --cloud-control-metadata='[{"cloudControlDetails": {"name": "organizations/3589215982/locations/global/cloudControls/restrict-bucket-region", "majorRevisionId": "1", "parameters": []}, "enforcementMode": "DETECTIVE"}, {"cloudControlDetails": {"name": "organizations/3589215982/locations/global/cloudControls/enable-binary-authorization", "majorRevisionId": 2}, "enforcementMode": "DETECTIVE"}]' \
   --framework="organizations/3589215982/locations/global/frameworks/builtin-aipp" \
   --framework-major-revision-id=6 \
   --target-resource-config-existing="folders/example-folder" \
   --description="Deployment for AI Platform into example-folder"

Wenn Sie beispielsweise ein Framework mit dem Namen organizations/3589215982/locations/global/frameworks/builtin-aipp bereitstellen und ein neues Projekt mit dem Namen example-new-project in einem vorhandenen Ordner mit der Ordner-ID example-folder erstellen möchten, führen Sie Folgendes aus:

gcloud compliance-manager framework-deployments create \
  example-framework-deployment \
   --organization=3589215982 \
   --location=global \
   --cloud-control-metadata=deploy-controls.yaml \
   --framework="organizations/3589215982/locations/global/frameworks/builtin-aipp" \
   --framework-major-revision-id=6 \
   --target-resource-creation-config-project-billing-account-id=012345-567890-ABCDEF \
   --target-resource-creation-config-project-display-name=example-new-project \
   --target-resource-creation-config-project-parent=folders/example-folder \
   --description="Deployment for AI Platform into a new example-new-project in example-folder"

Weitere Informationen finden Sie unter gcloud compliance-manager framework-deployments create.

Terraform

Im folgenden Beispiel wird gezeigt, wie Sie ein Framework mit Terraform bereitstellen können.

resource "google_cloud_security_compliance_framework" "example" {
  organization = "123456789"
  location     = "global"
  framework_id = "example-framework"

  display_name = "Terraform Framework Name"
  description  = "An Terraform description for the framework"

  cloud_control_details {
		name              = "organizations/%{org_id}/locations/global/cloudControls/builtin-detective-policy-for-vertex-ai-runtime-template-idle-shutdown"
		major_revision_id = "1"

    parameters {
      name = "location"
      parameter_value {
        string_value = "us-central1"
      }
    }
    parameters {
      name = "oneof-parameter"
      parameter_value {
        oneof_value {
          name = "test-oneof"
          parameter_value {
            string_value = "test-value"
          }
        }
      }
    }
    parameters {
      name = "bool-parameter"
      parameter_value {
        oneof_value {
          name = "bool-oneof"
          parameter_value {
            bool_value = true
          }
        }
      }
    }
    parameters {
      name = "number-parameter"
      parameter_value {
        oneof_value {
          name = "number-oneof"
          parameter_value {
            number_value = 123.45
          }
        }
      }
    }
    parameters {
      name = "string-list-parameter"
      parameter_value {
        oneof_value {
          name = "string-list-oneof"
          parameter_value {
            string_list_value {
              values = ["value1", "value2"]
            }
          }
        }
      }
    }
  }
}

resource "google_cloud_security_compliance_framework_deployment" "example" {
  organization            = "123456789"
  location                = "global"
  framework_deployment_id = "example-deployment"
  description             = "A framework deployment for cloud security compliance"

  framework {
    framework         = google_cloud_security_compliance_framework.example.name
    major_revision_id = "1"
  }

  target_resource_config {
    existing_target_resource = "organizations/123456789"
  }

  cloud_control_metadata {
    enforcement_mode = "DETECTIVE"

    cloud_control_details {
      name                  = "organizations/123456789/locations/global/cloudControls/builtin-detective-policy-for-vertex-ai-runtime-template-idle-shutdown"
      major_revision_id     = "1"

      parameters {
        name = "enabled"
        parameter_value {
          bool_value = true
        }
      }

      parameters {
        name = "regions"
        parameter_value {
          string_list_value {
            values = ["us-central1", "us-west1", "us-east1"]
          }
        }
      }

      parameters {
        name = "location"
        parameter_value {
          string_value = "us-central1"
        }
      }
      parameters {
        name = "oneof-parameter"
        parameter_value {
          oneof_value {
            name = "test-oneof"
            parameter_value {
              string_value = "test-value"
            }
          }
        }
      }
      parameters {
        name = "bool-parameter"
        parameter_value {
          oneof_value {
            name = "bool-oneof"
            parameter_value {
              bool_value = true
            }
          }
        }
      }
      parameters {
        name = "number-parameter"
        parameter_value {
          oneof_value {
            name = "number-oneof"
            parameter_value {
              number_value = 123.45
            }
          }
        }
      }
      parameters {
        name = "string-list-parameter"
        parameter_value {
          oneof_value {
            name = "string-list-oneof"
            parameter_value {
              string_list_value {
                values = ["value1", "value2"]
              }
            }
          }
        }
      }
    }
  }


}

Nachdem Sie das Framework bereitgestellt haben, können Sie Ihre Umgebung auf Abweichungen von den von Ihnen definierten Cloud-Kontrollen überwachen. Security Command Center meldet Abweichungen als Ergebnisse, die Sie prüfen, filtern und beheben können. Nach der Bereitstellung eines Frameworks kann es etwa sechs Stunden dauern, bis Ergebnisse zu Cloud-Steuerelementen angezeigt werden.

Benutzerdefiniertes Framework bearbeiten

Nachdem Sie ein Framework erstellt haben, können Sie seinen Namen und seine Beschreibung ändern, Cloud-Steuerelemente hinzufügen oder entfernen und alle Parameter aktualisieren. Sie können nur Frameworks bearbeiten, die Sie selbst erstellt haben. Integrierte Frameworks können nicht bearbeitet werden.

  1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

    Zu Compliance

  2. Wählen Sie Ihre Organisation oder das Projekt aus.

  3. Klicken Sie auf dem Tab Konfigurieren auf das Framework, das Sie bearbeiten möchten.

  4. Prüfen Sie auf der Seite Framework-Details, ob das Framework einer Ressource zugewiesen ist. Entfernen Sie bei Bedarf die Zuweisungen.

  5. Klicken Sie auf Aktionen > Bearbeiten.

  6. Ändern Sie auf der Seite Framework-Details aktualisieren den Namen und die Beschreibung nach Bedarf. Klicken Sie auf Weiter.

  7. So ändern Sie die Cloud-Steuerelemente, die im Framework enthalten sind:

    • Wenn Sie eine vorhandene Cloud-Steuerung hinzufügen möchten, klicken Sie auf Cloud-Steuerungen hinzufügen. Wählen Sie alle erforderlichen Cloud-Steuerelemente aus und klicken Sie auf Hinzufügen.

    • Wenn du eine benutzerdefinierte Cloud-Kontrolle erstellen möchtest, klicke auf Benutzerdefinierte Cloud-Kontrolle erstellen. Eine Anleitung findest du unter Benutzerdefinierte Cloud-Kontrolle erstellen.

    • Wenn Sie ein Cloud-Steuerelement entfernen möchten, wählen Sie es aus und klicken Sie auf Entfernen.

  8. Klicken Sie auf Weiter.

  9. Fügen Sie alle zusätzlichen Parameter hinzu, die für die Cloud-Kontrollen erforderlich sind.

  10. Klicken Sie auf Speichern.

Bereitgestelltes Framework aus einer Ressource entfernen

Sie können ein Framework aus der Organisation, den Ordnern oder den Projekten entfernen, denen Sie das Framework zugewiesen haben. Wenn Sie das Framework entfernen, werden in Compliance Manager keine Ergebnisse mehr für diesen Knoten Ihrer Ressourcenhierarchie generiert.

Wenn Sie ein Framework entfernen, ändert sich der Status der meisten zugehörigen Ergebnisse nach sieben Tagen in Inactive. Wenn Ihr Framework die Cloud-Kontrolle Restrict Flow of Sensitive Data Across Geographic Jurisdictions (Fluss sensibler Daten über geografische Gerichtsbarkeiten hinweg einschränken) enthält, ändern sich die Ergebnisse nach 90 Tagen in Inactive. Die Status für Ergebnisse, die sich auf die Cloud-Kontrolle Restrict Flow of Sensitive Data Across Geographic Jurisdictions (Fluss sensibler Daten über geografische Gerichtsbarkeiten hinweg einschränken) und die Cloud-Kontrolle Restrict Access to Sensitive Data to Permitted Users (Zugriff auf sensible Daten auf berechtigte Nutzer beschränken) beziehen, werden nicht automatisch geändert.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

    Zu Compliance

  2. Wählen Sie Ihre Organisation oder das Projekt aus.

  3. Klicken Sie auf dem Tab Konfigurieren auf das Framework, das Sie entfernen möchten.

  4. Klicken Sie auf der Seite Framework-Details auf Aktionen > Ressourcen zuweisen.

  5. Suchen Sie in der Tabelle Zugewiesene Ressourcen die Ressource, die Sie entfernen möchten, und klicken Sie auf  Löschen.

  6. Lesen Sie die Bestätigungsmeldung und klicken Sie auf Zuweisung aufheben.

  7. Optional: Ändern Sie den Status der zugehörigen Ergebnisse in Inactive. Eine Anleitung finden Sie unter Status eines Findings ändern.

Befehlszeile

Führen Sie den Befehl gcloud compliance-manager framework-deployments delete aus, um ein bestimmtes Framework-Deployment in Ihrer Organisation zu entfernen:

gcloud compliance-manager framework-deployments delete \
   FRAMEWORK_DEPLOYMENT \
   --location=LOCATION \
   --organization=ORGANIZATION

Ersetzen Sie die folgenden Werte:

  • FRAMEWORK_DEPLOYMENT: die ID der Framework-Bereitstellung

  • ORGANIZATION: Ihre Organisations-ID.

  • LOCATION: die Region, in der die Framework-Bereitstellung gespeichert ist

Wenn Sie beispielsweise example-deployment aus der Organisation 3589215982 entfernen möchten, die am globalen Standort gespeichert ist, führen Sie Folgendes aus:

gcloud compliance-manager framework-deployments delete \
   example-deployment \
   --organization=3589215982 \
   --location=global

Informationen zu optionalen Flags finden Sie unter gcloud compliance-manager framework-deployments delete.

Framework auf einen neueren Release aktualisieren

Google veröffentlicht regelmäßig Updates für die integrierten Frameworks, wenn neue Funktionen in Diensten bereitgestellt werden oder neue Best Practices entstehen.

Sie können die Releases von integrierten Frameworks im Framework-Dashboard auf dem Tab Konfigurieren oder auf der Framework-Detailseite aufrufen.

Google benachrichtigt Sie in der Konsole und in den Versionshinweisen, wenn die folgenden Aktualisierungen erfolgen:

So aktualisieren Sie ein Framework:

  1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

    Zu Compliance

  2. Wählen Sie Ihre Organisation oder das Projekt aus.

  3. Klicken Sie auf dem Tab Konfigurieren auf das Framework, das Sie aktualisieren möchten.

  4. Sehen Sie sich auf der Seite Framework-Details in der Tabelle Zugewiesene Ressourcen den Aktualisierungsstatus für alle Zuweisungen an, die als Update verfügbar gekennzeichnet sind.

  5. So übernehmen Sie die Änderungen:

    1. Entfernen Sie die Ressourcenzuweisung.

    2. Stellen Sie das Framework noch einmal für Ihre Ressource bereit, damit Compliance Manager die Ressource wieder bewerten und Ergebnisse erstellen kann.

Benutzerdefiniertes Framework löschen

Löschen Sie ein Framework, wenn es nicht mehr benötigt wird. Sie können nur Frameworks löschen, die Sie selbst erstellt haben. Integrierte Frameworks lassen sich nicht löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Compliance auf.

    Zu Compliance

  2. Wählen Sie Ihre Organisation oder das Projekt aus.

  3. Klicken Sie auf dem Tab Konfigurieren auf das Framework, aus dem Sie Ressourcen entfernen möchten.

  4. Prüfen Sie auf der Seite Framework-Details, ob das Framework einer Ressource zugewiesen ist. Entfernen Sie bei Bedarf die Zuweisungen.

  5. Klicken Sie auf Aktionen> „Löschen“.

  6. Sehen Sie sich im Fenster Löschen die Meldung an. Geben Sie Delete ein und klicken Sie auf Bestätigen.

Befehlszeile

Führen Sie den Befehl gcloud compliance-manager frameworks delete aus, um ein bestimmtes Framework in Ihrer Organisation zu löschen:

gcloud compliance-manager frameworks delete \
   FRAMEWORK \
   --location=LOCATION \
   --organization=ORGANIZATION

Ersetzen Sie die folgenden Werte:

  • FRAMEWORK: der Name des Frameworks

  • ORGANIZATION: Ihre Organisations-ID.

  • LOCATION: die Region, in der das Framework gespeichert ist

Wenn Sie beispielsweise example-framework aus der Organisation 3589215982 entfernen möchten, die sich am globalen Speicherort befindet, führen Sie Folgendes aus:

gcloud compliance-manager frameworks delete \
   example-framework \
   --organization=3589215982 \
   --location=global

Informationen zu optionalen Flags finden Sie unter gcloud compliance-manager frameworks delete.

Nächste Schritte