管理框架

合规管理器框架由云控制措施组成，可帮助您在云环境中满足组织的安全或法规要求。应用框架的过程分为两个步骤。首先，您必须确定与企业的安全和合规性义务相符的云控制措施。然后，将包含这些云控制措施的框架部署到Google Cloud中的相应组织、文件夹或项目。本页可帮助您完成以下步骤：

1. 评估哪个内置框架最符合您的法规和安全要求。您可以创建自己的自定义框架，但我们建议您从内置框架着手。

2. 确定哪些内置云控制措施与您的业务要求相对应。您可以根据需要创建自定义云控制措施。

3. 确定是将框架部署到您的 Google Cloud组织，还是部署到特定文件夹和项目。您只能向每个组织、文件夹或项目部署一个框架。合规管理器支持已启用应用的文件夹。

4. 复制现有框架并进行修改，使其满足您的要求。如果需要，您可以创建自定义框架。

5. 将框架部署到相应的组织、文件夹或项目。

准备工作

• 如需获得应用框架所需的权限，请让管理员向您授予组织的以下 IAM 角色：

  • Compliance Manager Admin (roles/cloudsecuritycompliance.admin)
  • 查看发现结果信息中心： Compliance Manager Viewer (roles/cloudsecuritycompliance.viewer)
  • 如需部署包含基于组织政策的云控制措施的框架，则为以下角色之一：
    • Organization Policy Administrator (roles/orgpolicy.policyAdmin)
    • Assured Workloads Administrator (roles/assuredworkloads.admin)
    • Assured Workloads Editor (roles/assuredworkloads.editor)
  • 如需在部署框架时创建文件夹，则为以下角色之一：
    • Folder Admin (roles/resourcemanager.folderAdmin)
    • Folder Creator (roles/resourcemanager.folderCreator)
  • 如需在部署框架时创建项目，则为所有角色：
    • Project Billing Manager (roles/billing.projectManager)
    • Project Creator (roles/resourcemanager.projectCreator)
    • Project Deleter (roles/resourcemanager.projectDeleter)
  • 如需将数据安全状况管理 (DSPM) 框架分配给已启用应用的文件夹中的应用，您需要具备以下所有角色： App Hub Viewer (roles/apphub.viewer)

  如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

  用于部署具有组织政策的框架的角色包含所需的 orgpolicy.policies.create、orgpolicy.policies.update 和 orgpolicy.policies.get 权限。

  用于创建框架的角色包含所需的 resourcemanager.folders.get、resourcemanager.folders.create 和 resourcemanager.folders.delete 权限。

  用于创建项目的角色包含所需的 resourcemanager.projects.get、resourcemanager.projects.create、resourcemanager.projects.delete 和 resourcemanager.projects.createBillingAssignment 权限。

  用于将 DSPM 框架分配给应用的角色包含所需的 apphub.locations.list、apphub.applications.list 和 apphub.applications.get 权限。

  您也可以使用自定义角色或其他预定义角色来获取这些权限。

查看框架

完成以下步骤，以查看内置框架或您已创建的其他框架的配置。

1. 在 Google Cloud 控制台中，前往合规性页面。

   转至“合规性”

2. 选择您的组织。

3. 如需查看所有可用的框架，请点击配置标签页。

   该信息中心会显示可用的框架、简要说明、支持的平台以及应用了相应框架的资源。

4. 如需查看特定框架的详细信息，请点击框架名称。

创建框架

确定哪些云控制措施适用于组织内或者特定文件夹或项目内的资源后，您就可以创建框架了。您可以创建自定义框架，也可以复制现有框架并对其进行修改。复制框架时，系统会包含所有内置云控制措施的最新版本。

1. 在 Google Cloud 控制台中，前往合规性页面。

   转至“合规性”

2. 选择您的组织。

3. 在配置标签页中，点击创建自定义框架。

4. 完成下列操作之一：

   • 如需使用现有框架，请完成以下操作：

     1. 选择从现有框架开始。

     2. 选择要复制的框架。

     3. 点击添加。

   • 如需创建自定义框架，请选择开始新建。

5. 为您的框架输入名称、唯一标识符和说明。点击 Continue。

   如果您要复制现有框架，系统会显示现有框架中包含的云控制措施列表。

6. 如需添加所需的云控制措施，请完成以下操作：

   • 如需添加现有云控制措施，请点击添加云控制措施。选择您需要的所有云控制措施，然后点击添加。

     添加控制措施时，请验证控制措施的类型（检测性、预防性或审核性）。请勿在您要用于监控环境和检测违规行为的框架中添加仅限审核的控制措施。您无法部署包含仅审核控制措施的框架。

   • 如需创建自定义云控制措施，请点击创建自定义云控制措施。如需了解相关说明，请参阅创建自定义云控制措施。

7. 点击继续。

8. 添加云控制措施所需的任何其他参数。

   例如，如果您想启用 Data Security Posture Management (DSPM) 云控制措施（例如数据访问权限治理云控制措施），请指定主账号必须使用的位置。如需详细了解 Data Security Posture Management 控制措施，请参阅数据访问权限治理云控制措施。

9. 点击创建。

部署框架

将框架部署到组织、文件夹或项目，以便您可以使用框架的云控制措施来控制和监控这些资源。您可以向每个组织、文件夹或项目部署多个框架。如果您部署的框架仅包含高级数据安全云控制，则可以将该框架部署到使用 App Hub 管理的启用应用文件夹中的应用。

文件夹和项目通过 Google Cloud 资源层次结构继承框架。因此，如果您在组织级和项目级部署框架，则这两个框架中的所有云控制措施都将应用于项目中的资源。如果云控制措施定义存在任何差异，项目中的资源将使用较低级别的云控制措施。例如，如果云控制措施规则在组织级设置为“允许”，而在项目级设置为“拒绝”，则项目级设置“拒绝”会应用于项目中的资源。

作为最佳实践，我们建议您在组织级别部署一个框架，其中包含可应用于整个企业的云控制措施。然后，您可以将更严格的框架部署于需要它们的文件夹和项目。

1. 在 Google Cloud 控制台中，前往合规性页面。

   转至“合规性”

2. 选择您的组织。

3. 在配置标签页中，对于要部署的框架，依次点击 more_vert 更多操作 > 应用于资源。

4. 选择以下一个选项：

   • 如需仅监控偏移，请选择监控。

   • 如需监控偏移并主动防止违规行为，请选择监控和预防。

5. 选择要将框架部署到的资源。您可以选择现有的组织、文件夹或项目。对于 DSPM，您可以选择一个应用来部署仅包含 DSPM 高级云控制措施的框架。如果您选择主动预防违规行为，则可以创建一个新文件夹或项目，并将框架部署到该文件夹或项目。

6. 完成下列操作之一：

   • 如果您选择了监控，请完成以下操作：

     1. 验证信息。
     2. 如果您选择了已启用应用的文件夹，并且您的框架仅包含高级 DSPM 云控制措施，请选择要监控的应用。
     3. 点击监控。

   • 如果您选择了监控和防范，请完成以下操作：

     1. 点击下一步。查看云控制措施和模式。
     2. 点击继续。
     3. 如果显示，请验证某些云控制措施所需的其他信息。
     4. 点击下一步。
     5. 查看您的选择，然后点击强制执行。

部署框架后，您可以监控环境是否偏离了您定义的云控制措施。Security Command Center 会将偏移实例报告为发现结果，您可以查看、过滤和解决这些发现结果。在您部署框架后，与云控制措施相关的发现结果大约需要 6 小时才会显示。

修改自定义框架

创建框架后，您可以更改其名称和说明、添加或移除云控制项，以及更新任何参数。您只能修改自己创建的框架，而无法修改内置框架。

1. 在 Google Cloud 控制台中，前往合规性页面。

   转至“合规性”

2. 选择您的组织。

3. 在配置标签页中，点击要修改的框架。

4. 在框架详细信息页面上，验证框架是否未分配给任何资源。如果需要，请移除作业。

5. 依次点击操作 > 修改。

6. 在更新框架详细信息页面中，根据需要更改名称和说明。点击继续。

7. 如需更改框架中包含的云控制措施，请完成以下操作：

   • 如需添加现有云控制措施，请点击添加云控制措施。选择您需要的所有云控制措施，然后点击添加。

   • 如需创建自定义云控制措施，请点击创建自定义云控制措施。如需了解相关说明，请参阅创建自定义云控制措施。

   • 如需移除云控制措施，请选择相应云控制措施，然后点击移除。

8. 点击继续。

9. 添加云控制措施所需的任何其他参数。

10. 点击保存。

从已部署的框架中移除资源

您可以移除已分配给已部署框架的组织、文件夹或项目。移除资源意味着框架不再为资源层次结构的相应节点生成发现结果。

移除资源后，相关发现结果的状态会在 7 天后更改为 Inactive。

1. 在 Google Cloud 控制台中，前往合规性页面。

   转至“合规性”

2. 选择您的组织。

3. 在配置标签页中，点击要从中取消分配资源的框架。

4. 在框架详细信息页面上，点击操作 > 管理资源分配。

5. 在分配的资源表中，找到要移除的资源，然后点击 delete 删除。

6. 查看确认消息，然后点击取消分配。

将框架更新到较新的版本

随着服务部署新功能或出现新的最佳实践，Google 会定期发布对内置框架的更新。

您可以在配置标签页的框架信息中心或框架详情页面中查看内置框架的版本。

如果发生以下更新，Google 会在控制台和版本说明中通知您：

• 在框架中添加或移除了内置云控制措施。
• 内置云控制措施已更新。

如需更新框架，请完成以下操作：

1. 在 Google Cloud 控制台中，前往合规性页面。

   转至“合规性”

2. 选择您的组织。

3. 在配置标签页中，点击要更新的框架。

4. 在框架详细信息页面上的已分配的资源表格中，查看被标识为有更新的任何分配的更新状态。

5. 如需应用更改，请完成以下操作：

   1. 移除资源分配。

   2. 将框架重新部署到资源，以便合规性管理工具可以继续评估资源并创建发现结果。

删除自定义框架

如果不再需要某个框架，请将其删除。您只能删除自己创建的框架，而无法删除内置框架。

1. 在 Google Cloud 控制台中，前往合规性页面。

   转至“合规性”

2. 选择您的组织。

3. 在配置标签页中，点击要从中取消分配资源的框架。

4. 在框架详细信息页面上，验证框架是否未分配给任何资源。如果需要，请移除作业。

5. 依次点击操作 > 删除。

6. 在删除窗口中，查看消息。输入 Delete，然后点击确认。

后续步骤

• 监控框架的合规性（预览版）。
• 使用合规管理器（预览版）审核您的环境。
• 在控制台中查看和管理发现结果。